■FTPバウンス攻撃(FTP Bounce Attack)
ファイル転送プロトコルである「FTP」の脆弱性を利用し、FTPサーバを中継点にして別のホストを攻撃する手法。
この攻撃では、ネットワーク・アドレスと攻撃対象のコンピュータならびにサービスのポート番号を含んだFTPのポート・コマンドをFTPサーバに送ることによって実行される。攻撃者は、そのFTPサーバを中継して、攻撃対象のコンピュータに対し、SMTPやNNTPなどのコマンドを含んだファイルを送信する。攻撃対象のコンピュータは、SMTPなどのコマンドを実行してしまうため、例えばSMTPコマンドを含んでいた場合は、偽の電子メールを発信してしまうことになる(偽の電子メールの受信先を攻撃対象とすることも可能)。
攻撃の手順を順番に追ってみる(FTPサーバAが中継サーバすなわち踏み台であり、ホストBが攻撃対象)。
- 攻撃者は、脆弱性を持つFTPサーバAに対して、SMTPコマンドを含んだファイルをアップロードする。
- 攻撃者は、ホストBのアドレスとSMTPのポート番号を含んだポート・コマンドをFTPサーバAに対して送る。
- 1.でアップロードしたファイルの転送を指示する。
- FTPサーバAは指示どおりホストBにファイルを送る。
- ホストBはFTPサーバAからのSMTPコマンドを受け取ったとして動作するため、結果として偽の電子メールを送信する。
このようにFTPサーバを経由して攻撃が行われると、攻撃対象からはFTPサーバが攻撃してきたように見える。そのため、攻撃者を特定することが困難になる。
FTPバウンス攻撃の対策は、0から1023までのTCPポート番号へのデータ・コネクションを開かないことだ(ポート・コマンドを拒否するように設定する)。また、ポート・コマンド自体を実行不能にすることも防御策として有効である。大部分のファイル転送は、PASVコマンドにより行われるので、実用上、困ることはない。 |