検索:
ホーム   »   不正プログラム   »   Linuxを狙う脅威の最新動向

Linuxを狙う脅威の最新動向

  • 投稿日:2016年9月28日
  • 脅威カテゴリ:不正プログラム, サイバー攻撃, 脆弱性, TrendLabs Report
  • 執筆:TrendLabs フィリピン
0

Linuxを狙う脅威の最新動向

Linux は、多くの点で Windows や Mac OS X といった他のオペレーティングシステム(OS)と類似しています。他の OS で一般的に利用されるソフトウェアと同等のソフトウェアが使われ、同様にグラフィカルインターフェースが採用されています。

とはいえ Linux は、重要な点で他の OS と異なります。その1つが、オープンソースのソフトウェアである点です。つまり、Linux の開発に使用されるコードは、無料での閲覧および編集が可能であり、さらに、技術を持つユーザが開発に寄与できるよう一般に公開されています。Linux カーネルの開発者である Linus Torvalds 氏は、Linux の開発者たちが無料で寄与し続けることを奨励しました。Linux が無料であり、PCプラットフォームで動作するという理由から、多くの支持者と熱烈な開発者をまたたく間に獲得していきました。このような背景で、ユーザが任意でコアコンポーネントの選択をすることが可能となった Linux は、非常にカスタマイズ可能な OS となりました。クライアントとして使われているだけでなく、Webサーバやネットワーク、データベースなど、特定の領域での使用に多くの支持を得ている OS です。企業や組織は、Linux を、少なくとも自社システムの重要な構成要素として採用してきました。しかし、最近の複数の攻撃事例からもうかがえるように、Linux の支持の増加は、セキュリティにおけるリスクの拡大にもつながりました。以下に、Linux を狙う最新の脅威4つの例を挙げます。

「Rex(レックス)」(2016年8月)- Linux版ランサムウェア「Rex」(「RANSOM_ELFREXDDOS」として検出)」は、「分散型サービス拒否(DDoS)攻撃」を仕掛けるために感染PC をボットネットに改変し、DDoS攻撃を仕掛けられたくなければ、身代金を仮想通貨「Bitcoin(ビットコイン)」で支払うように要求します。2016年5月に確認された初期の「Rex」は、コンテンツ管理システム(CMS)「Drupal」を狙うランサムウェアでしたが、通常、CMSは自動バックアップ機能を備えているため、被害はあまり確認されませんでした。しかし、「Rex」はその後3カ月の間に更新され、機能を拡充しました。最新の「Rex」は、「Drupal」「WordPress」「Magento」といった CMS で脆弱性を抱える Webサイトをボットネットによって検索します。それから Webサイトの抱える複数の脆弱性を利用して Webサイトを改ざんし、Webサーバ上に感染します。「Rex」は、TLS による暗号化を有効にしてピアツーピア(P2P)通信「Kademlia」を利用し、他のボットから情報を受信するためにポート番号5099を監視することが確認されています。また、DDoS攻撃を仕掛けるために利用される感染サーバで、ビットコインのような仮想通貨をマイニング(発掘)する亜種も確認されているようです。

「Mirai(ミライ)」(2016年8月)- 8月初旬に確認された「Mirai」は、Linuxサーバ、そして「モノのインターネット(Internet of Things、IoT)」関連の機器を狙います。その多くは、Linux搭載のファームウェアが組み込まれたハードディスクドライブを感染させボットネット化し、DDoS攻撃を仕掛けるために利用します。「Mirai」についての報告によると、この不正プログラムは、同じく DDoS攻撃を仕掛ける機能を備えた不正プログラム「Gafgyt(ガフジット)」「Bashdoor(バッシュドア)」「Torlus(トアロス)」「BASHLITE(バッシュライト)」から発展した不正プログラムとなります。

「Unbreon(ウンブリオン)」(2016年9月)- トレンドマイクロの脅威リサーチ部門である「Forward-looking Threat Research(FTR)チーム」は、最近、明らかにポケモンに因んで名付けられた新しいルートキットを確認しました。「Unbreon」(このポケモンの日本名は「ブラッキー」)と呼ばれるこのルートキット(「ELF_UMBREON」として検出)は、Intel のプロセッサおよび「Raspberry Pi(ラズベリーパイ)」に搭載されている ARMプロセッサを組み込んだ Linux機器を攻撃します。つまり、これらのプロセッサ搭載機器すべてへと攻撃対象を拡大させています。「Unbreon」は再起動しても活動を続け、ネットワークトラフィックを傍受し、ターミナルコマンドを傍受・変換し、攻撃者による感染機器への接続を可能にする機能を備えています。

「Unbreon」の作成は 2015年初頭に開始されましたが、この作成者は、少なくとも 2013年からサイバー犯罪のアンダーグラウンドで活発に活動していることが確認されています。リサーチャーはまた、「Unbreon」の検出が特に困難であることに言及しています。ルートキットは、管理者や解析者などから気付かれないように感染し、自身と他の不正プログラムの活動を隠ぺいします。また、セキュリティ製品やフォレンジックツール、その他システムのユーティリティツールによる検出から回避するように作成されています。

「LuaBot(ルアボット)」(2016年9月)- 「LuaBot」は、Linux に感染させるため作成された最近の不正プログラムのうち、最も新しいものです。「LuaBot」についての報告によると、「Mirai」と同様、「LuaBot」も Linuxサーバと IoT機器に感染し、ほとんどが DDoS攻撃を仕掛けるためのボットネット化に利用されます。トロイの木馬型不正プログラム「LuaBot」は、ELF形式のファイルとしてパッケージされており、通常 IoT機器に搭載されている ARMプロセッサを感染対象とします。「LuaBot」の詳細と感染経路については、まだ明らかにされていません。

■ トレンドマイクロの対策

Linux を狙った最新の脅威状況を検証すると、Linux についても、多くの企業で利用される他の OS と同様にセキュリティ対策導入の重要性を浮き彫りにしています。サーバ管理者およびシステム管理者は、ネットワークのセキュリティ対策だけでは十分ではないため、多層的な対策を取ることを推奨します。エンドポイントへの攻撃経路となる、例えばスマートフォンのような端末に対しても、可能な限り同様にセキュリティ対策を講じておく必要があります。弊社のサーバ専用のセキュリティ対策製品「ServerProtect™」は、Linuxサーバおよびシステム記憶装置のセキュリティ対策の実施を簡素化および自動化しつつ、不正プログラムやルートキット、その他の情報収集型不正プログラムから、効果的にシステムを保護します。

また、様々なサーバ環境に合わせたセキュリティ対策製品「Trend Micro Deep Security™」は、Linuxサーバを「Fairware(フェアウェア)」のような暗号化型ランサムウェアによる攻撃からも保護します。管理者に警報を発信し、攻撃の途中でその不正な活動を阻止することによって、感染したエンドユーザ経由の攻撃から、膨大な機密情報を保有する企業のファイルサーバを保護します。また、「総当たり攻撃(ブルートフォース攻撃)」や、サーバからサーバへ横展開する攻撃などを初期の段階で検出し、被害の恐れを抑止するために迅速に対応します。

【更新情報】

2016/10/03 11:08 本文の一部を更新しました。

参考記事:

  • 「Linux Security: A Closer Look at the Latest Linux Threats」

翻訳:室賀 美和(Core Technology Marketing, TrendLabs)

 

Related posts:

  1. ポートスキャン機能を増強した「Mirai」、Windowsも踏み台に追加
  2. 新しいLinuxマルウェア、CGIの脆弱性を利用
  3. 潜在する脅威の顕在化-2015年以降の脅威を予測
  4. 2016年を振り返る:相次ぐ主流エクスプロイトキットの活動停止、減少傾向は続くか
Tags: Linux


  • 個人のお客さま向けオンラインショップ
  • |
  • 法人のお客さま向け直営ストア
  • |
  • 販売パートナー検索
  • Asia Pacific Region (APAC): Australia / New Zealand, 中国, 日本, 대한민국, 台灣
  • Latin America Region (LAR): Brasil, México
  • North America Region (NABU): United States, Canada
  • Europe, Middle East, & Africa Region (EMEA): France, Deutschland / Österreich / Schweiz, Italia, Россия, España, United Kingdom / Ireland
  • 電子公告
  • ご利用条件
  • プライバシーポリシー
  • Copyright © 2021 Trend Micro Incorporated. All rights reserved.