Linux は、多くの点で Windows や Mac OS X といった他のオペレーティングシステム(OS)と類似しています。他の OS で一般的に利用されるソフトウェアと同等のソフトウェアが使われ、同様にグラフィカルインターフェースが採用されています。
とはいえ Linux は、重要な点で他の OS と異なります。その1つが、オープンソースのソフトウェアである点です。つまり、Linux の開発に使用されるコードは、無料での閲覧および編集が可能であり、さらに、技術を持つユーザが開発に寄与できるよう一般に公開されています。Linux カーネルの開発者である Linus Torvalds 氏は、Linux の開発者たちが無料で寄与し続けることを奨励しました。Linux が無料であり、PCプラットフォームで動作するという理由から、多くの支持者と熱烈な開発者をまたたく間に獲得していきました。このような背景で、ユーザが任意でコアコンポーネントの選択をすることが可能となった Linux は、非常にカスタマイズ可能な OS となりました。クライアントとして使われているだけでなく、Webサーバやネットワーク、データベースなど、特定の領域での使用に多くの支持を得ている OS です。企業や組織は、Linux を、少なくとも自社システムの重要な構成要素として採用してきました。しかし、最近の複数の攻撃事例からもうかがえるように、Linux の支持の増加は、セキュリティにおけるリスクの拡大にもつながりました。以下に、Linux を狙う最新の脅威4つの例を挙げます。
「Rex(レックス)」(2016年8月)- Linux版ランサムウェア「Rex」(「RANSOM_ELFREXDDOS」として検出)」は、「分散型サービス拒否(DDoS)攻撃」を仕掛けるために感染PC をボットネットに改変し、DDoS攻撃を仕掛けられたくなければ、身代金を仮想通貨「Bitcoin(ビットコイン)」で支払うように要求します。2016年5月に確認された初期の「Rex」は、コンテンツ管理システム(CMS)「Drupal」を狙うランサムウェアでしたが、通常、CMSは自動バックアップ機能を備えているため、被害はあまり確認されませんでした。しかし、「Rex」はその後3カ月の間に更新され、機能を拡充しました。最新の「Rex」は、「Drupal」「WordPress」「Magento」といった CMS で脆弱性を抱える Webサイトをボットネットによって検索します。それから Webサイトの抱える複数の脆弱性を利用して Webサイトを改ざんし、Webサーバ上に感染します。「Rex」は、TLS による暗号化を有効にしてピアツーピア(P2P)通信「Kademlia」を利用し、他のボットから情報を受信するためにポート番号5099を監視することが確認されています。また、DDoS攻撃を仕掛けるために利用される感染サーバで、ビットコインのような仮想通貨をマイニング(発掘)する亜種も確認されているようです。
「Mirai(ミライ)」(2016年8月)- 8月初旬に確認された「Mirai」は、Linuxサーバ、そして「モノのインターネット(Internet of Things、IoT)」関連の機器を狙います。その多くは、Linux搭載のファームウェアが組み込まれたハードディスクドライブを感染させボットネット化し、DDoS攻撃を仕掛けるために利用します。「Mirai」についての報告によると、この不正プログラムは、同じく DDoS攻撃を仕掛ける機能を備えた不正プログラム「Gafgyt(ガフジット)」「Bashdoor(バッシュドア)」「Torlus(トアロス)」「BASHLITE(バッシュライト)」から発展した不正プログラムとなります。
「Unbreon(ウンブリオン)」(2016年9月)- トレンドマイクロの脅威リサーチ部門である「Forward-looking Threat Research(FTR)チーム」は、最近、明らかにポケモンに因んで名付けられた新しいルートキットを確認しました。「Unbreon」(このポケモンの日本名は「ブラッキー」)と呼ばれるこのルートキット(「ELF_UMBREON」として検出)は、Intel のプロセッサおよび「Raspberry Pi(ラズベリーパイ)」に搭載されている ARMプロセッサを組み込んだ Linux機器を攻撃します。つまり、これらのプロセッサ搭載機器すべてへと攻撃対象を拡大させています。「Unbreon」は再起動しても活動を続け、ネットワークトラフィックを傍受し、ターミナルコマンドを傍受・変換し、攻撃者による感染機器への接続を可能にする機能を備えています。
「Unbreon」の作成は 2015年初頭に開始されましたが、この作成者は、少なくとも 2013年からサイバー犯罪のアンダーグラウンドで活発に活動していることが確認されています。リサーチャーはまた、「Unbreon」の検出が特に困難であることに言及しています。ルートキットは、管理者や解析者などから気付かれないように感染し、自身と他の不正プログラムの活動を隠ぺいします。また、セキュリティ製品やフォレンジックツール、その他システムのユーティリティツールによる検出から回避するように作成されています。
「LuaBot(ルアボット)」(2016年9月)- 「LuaBot」は、Linux に感染させるため作成された最近の不正プログラムのうち、最も新しいものです。「LuaBot」についての報告によると、「Mirai」と同様、「LuaBot」も Linuxサーバと IoT機器に感染し、ほとんどが DDoS攻撃を仕掛けるためのボットネット化に利用されます。トロイの木馬型不正プログラム「LuaBot」は、ELF形式のファイルとしてパッケージされており、通常 IoT機器に搭載されている ARMプロセッサを感染対象とします。「LuaBot」の詳細と感染経路については、まだ明らかにされていません。
■ トレンドマイクロの対策
Linux を狙った最新の脅威状況を検証すると、Linux についても、多くの企業で利用される他の OS と同様にセキュリティ対策導入の重要性を浮き彫りにしています。サーバ管理者およびシステム管理者は、ネットワークのセキュリティ対策だけでは十分ではないため、多層的な対策を取ることを推奨します。エンドポイントへの攻撃経路となる、例えばスマートフォンのような端末に対しても、可能な限り同様にセキュリティ対策を講じておく必要があります。弊社のサーバ専用のセキュリティ対策製品「ServerProtect™」は、Linuxサーバおよびシステム記憶装置のセキュリティ対策の実施を簡素化および自動化しつつ、不正プログラムやルートキット、その他の情報収集型不正プログラムから、効果的にシステムを保護します。
また、様々なサーバ環境に合わせたセキュリティ対策製品「Trend Micro Deep Security™」は、Linuxサーバを「Fairware(フェアウェア)」のような暗号化型ランサムウェアによる攻撃からも保護します。管理者に警報を発信し、攻撃の途中でその不正な活動を阻止することによって、感染したエンドユーザ経由の攻撃から、膨大な機密情報を保有する企業のファイルサーバを保護します。また、「総当たり攻撃(ブルートフォース攻撃)」や、サーバからサーバへ横展開する攻撃などを初期の段階で検出し、被害の恐れを抑止するために迅速に対応します。
【更新情報】
| 2016/10/03 | 11:08 | 本文の一部を更新しました。 |
参考記事:
翻訳:室賀 美和(Core Technology Marketing, TrendLabs)