JPCERT/CCは2月8日、UNIX／Linux系サーバを対象としたインターネットサーバのセキュリティ設定に関する注意喚起を発表した。

注意喚起によると、攻撃者は何らかの方法で侵入したサーバにプログラムを設置し、第三者が運用しているSIPサーバなどのSIP関連機器に対し、主にSIPプロトコルで使用されるポート（5060/UDP）を対象としたスキャンや辞書攻撃を行うという。攻撃者は、このプログラムによって窃取したSIPアカウント情報をメールなどで外部に送信し、国際電話などの不正な発信に使用している可能性がある。

JPCERT/CC では、インターネット定点観測システム (ISDAS/TSUBAME) により、この5060/UDPへのスキャン活動が2010年7月頃より急増していることを観測しており、調査の結果、観測された送信元IPアドレスが国内に多数存在していることから、不正侵入されたサーバへのセキュリティ対策の実施や、同様の被害の未然防止を目的として、注意喚起を発行した。

報告された事例から、攻撃者がのプログラムは、「/.old/aloha」というパスに、svmap, svwar, svcrack, svreport, svcrashなどの名前で設置されている可能性がある。これらのプログラムが動作していないか確認してみること、ファイアウォールやIDSのログに、主に5060/UDPを対象としたスキャンを行った形跡がないかを確認するよう呼びかけている。また、OS や アプリケーションに脆弱性があるバージョンを使用しない、サーバやファイアウォールなどで適切なアクセス制限を行う、などの対策も必要としている。

(川原 龍人/びぎねっと)

[関連リンク]
注意喚起本文