PuTTYのSSH認証でのpassphrase盗まれる問題

「PuTTY」(putty.org)は有名なWindows版経由SSHクライアントソフトです。PuTTY日本語版は日本でUNIXサーバ管理者達がよく使っているSSHクライアントソフトです。
本日（つい最近）puTTYのSSHキー認証機能でプライベートキーとpassphraseを盗まれるセキュリティ問題が発見されました、問題の説明は下記となります。

「PuTTY」でSSHキー認証機能を使うとSSHセッションの接続前にSSHキーと「passphrase」情報が聞かれて、PuTTYソフトでphassphrase確認仕組みの確認問題があり、偽SSHサーバへ繋がれてしまう可能性が出ます。GUIでどのサーバに繋がっているかと確認情報が少ないから、偽SSHサーバのspoofセキュリティ攻撃可能性もあります。シナリオ的には例えば下記の情報となります↓

1. PuTTY Windows版ユーザーがPuTTYキー/passphrase認証設定で登録されているサーバ情報に接続ボタンを押します。
2. その登録されたサーバは実は最近ハッキングされて偽物SSHサービスに切替しまう状態でした（短くしますと「偽SSHサーバ」と呼びましょう）
3. PuTTYからの偽SSH繋ぎリクエストがサーバに来まます…
4. 認証キ情報が「偽SSHサーバ」に届いて、この時にクライアントのSSH認証キーが偽SSHサーバで見られまして、「偽SSHサーバ」は必ず「Wrong password」テキストデータをPuTTYクライアントに回答したら…
5. ユーザー側のPuTTYで「もう一度SSHキー/passphraseを入力下さい」とのプップアップが出ました。
6. ユーザーはその時に殆ど接続をリトライしSSHキー/passphraseの情報を手で入力して「偽SSHサーバ」にもう一度接続をしますと…。
7. 「偽SSHサーバ」が入力されたクラインとのpassphraseをゲットしてしまいます
※上記のシナリオのンサップショット画像は下記となります。

※上記の画像に書いた情報は偽SSHサーバからのスクリプトの回答でした↑

この問題が出たらどうやって分かるのか？本物SSHサーバと違いは何でしょうか？

1. 本物サーバですとWrong Passwordの回答が直ぐに出ます、偽SSHサーバ仕組みは少しディレーがかかる
2. Password/Passphraseはずっと上手く行かない
3. Password/Passphraseのpromptの情報は認証キー名前の情報のままとなる、いつもののpromptと違う状況

本件のセキュリティ問題について下記のソフトに影響があります↓

「GUI Plink」と「PuTTY」のSSH認証キー仕組み
OS: Windows

ワークアラウンド↓

直接SSHサーバと認証キーやり取りを無しにすれば本件の問題が解決です、詰りPageant Agentを使って下さい

リファレンス↓

http://www.chiark.greenend.org.uk/~sgtatham/putty/wishlist/gui-auth.html
http://seclists.org/fulldisclosure/2010/May/405

---
株式会社ケイエルジェイテック
http://www.kljtech.com
セキュリティモニターセンター