弊社のサーバーを使用する場合、直接、ターミナルで使用する場合もあるかとは思いますが、手元のWindowsパソコンやノートから、PuTTYを使用してsshでログインして使用することがあるかと思います。
2024年4月16日、このPuTTYに深刻な脆弱性があるとの報道が出ました。発端は、X(旧twitter)で、以下のようなPyttyに関する深刻な脆弱性に関する報告が出た事のようです。
We found a critical vulnerability in #PuTTY SSH client with NIST P-521 keys, that allows private key recovery from only 60 signatures, CVE-2024-31497! If you use #Putty or #Filezilla with ECDSA P-521, upgrade now and generate a new key! Joint work with @TrueSkrillor, details ⬇️
— Marcus Brinkmann (@lambdafu) April 15, 2024
一番、分り易い記事としては、窓の社さんから、「「PuTTY」に秘密鍵が復元できてしまう深刻な脆弱性 ~「WinSCP」など他ツールにも影響」という記事が出ています。
記事にもあるように、PuTTY 0.68からPuTTY 0.80までのバージョンがこの問題のあるバージョンで、sshやgitなどにアクセスする際に使用される秘密鍵が復元されて悪用される危険性があるようです。
対応策は、PuTTYのバージョンを0.81にアップデートする事で、こうすれば、この脆弱性の問題は回避する事が出来るようです。注意する点としましては、上記の記事にあるように、PuTTYは様々なアプリでバンドルされているので、PuTTYがバンドルされているアプリに対策版が出たら、これもアップデートしないといけない点です。PuTTYの本家のダウンロードサイトは以下のURLですが、こちらでは0.81がリリースされています。
https://www.chiark.greenend.org.uk/~sgtatham/putty/latest.html
日本語版のダウンロードサイトは、以下のURLですが、まだ、0.81は用意されていないようです。4月17日に公開されました。
https://www.ranvis.com/putty
この報告が出た事で、この脆弱性に気がついていなかったクラッカーも、利用しようとするでしょうから、PuTTYのアップデートは必須でしょう。
クラスタやWSにアクセスする時くらいしか使ってない方もいらっしゃるかと思いますが、秘密鍵をクラッカーに自由にされてしまうと、そのユーザーを踏み台にして、様々な攻撃が加えられる可能性があるので、他人事とは思わず、アップデートされますようお願いいたします。
