仮想通貨人気が続く中、サイバー犯罪者はさまざまな仮想通貨発掘マルウェアを開発し、継続的に微調整を加えながら攻撃に利用しています。事実、トレンドマイクロは、広範なプラットフォームおよびデバイスで一貫して仮想通貨発掘マルウェアを検出しています。
2018年10月には、Linux PC に感染する仮想通貨発掘マルウェア(「Coinminer.Linux.KORKERDS.AB」として検出)が確認されました。このマルウェアには、不正な仮想通貨発掘プロセスを監視ツールから隠ぺいするルートキットコンポーネント(「Rootkit.Linux.KORKERDS.AA」として検出)が付属しています。これにより、ユーザは不正なプロセスの存在に気付くことが困難になり、感染を示す兆候は PC のパフォーマンス低下のみとなります。また、このマルウェアは、自身とその設定を更新する機能も備えています。
続きを読むトレンドマイクロが 2017 年 7 月に発見および報告した Linux のシステム管理機構である「systemd」の DNS リゾルバ機能における脆弱性「CVE-2017-15908」は、影響を受ける多くの Linux ディストリビューションに対して「Denial of Service(DoS、サービス拒否)攻撃」を可能とします。攻撃者が管理する DNS サーバに systemd が DNS 問合せを送信すると、サーバは特別に細工したパケットを返信します。このパケットを受信すると、systemd が無限ループに陥り、CPU 使用率が 100% になります。
続きを読む「Dnsmasq」は、小規模サーバや組み込み機器に DNS/DHCP サーバを構築するために利用される事実上の標準ソフトウェアです。2017 年 10 月 2 日、Google のセキュリティリサーチャ がバージョン 2.78 より前の Dnsmasq に存在する7 つの脆弱性を確認しました。特定のオプションでDnsmasq を実行している場合、これらの脆弱性は、「遠隔でのコード実行(Remote CodeExecution、RCE)」、情報流出、「Denial of Service(DoS、サービス拒否)攻撃」を可能にします。
続きを読むLinux および Unix 用の標準的な Windows 相互運用性プログラムスイート「Samba」に、 2010 年 3 月から存在していた脆弱性「CVE-2017-7494」が確認されました。2017 年 5 月に更新プログラムがリリースされていますが、この脆弱性を利用した攻撃は現在も続いています。Samba の開発チームが公開したセキュリティに関する勧告によると、この脆弱性を利用することで、書き込み可能な共有フォルダにアップロードした共有ライブラリの実行が可能になります。これに成功すると、攻撃者は、コマンド実行ツール「シェル」を起動し、任意のコマンドを実行して端末を操作できるようになります。影響を受ける Samba のバージョンは、3.5.0 以降のすべてのバージョンです。
続きを読む2017 年 6 月 10 日、韓国の Web ホスティング企業「NAYANA」が暗号化型ランサムウェア「Erebus(エレブス)(「RANSOM_ELFEREBUS.A」として検出)」による攻撃を受け、同社が管理する153台のLinuxサーバが感染し、ホストしていた3,400以上の企業のWebサイトへの影響が確認されました。
NAYANA は、6月12日、同社の Web サイトで告知し、管理するすべてのサーバのファイルを復号するために、攻撃者が「Bitcoin(ビットコイン、BTC)」で 550BTC(162万米ドル)にも上る高額な身代金を要求していることを明らかにしました。そして6 月 14 日の告知で、攻撃者との交渉の結果、身代金が 397.6BTC(2017 年 6 月 19 日の時点でおよそ 101 万米ドルに相当)に減額され、6 月 17日の告知で3 回に分けた支払いのうち、既に 2 度目の支払いを完了していることを発表しました。また同社は、6 月 18 日、50 台ごとに 3 次に分けて実施されるサーバ復旧作業の計画と進行状況を公開しています。2次のサーバのいくつかではデータベース(DB)エラーが発生しているとのことです。1 次と 2 次のサーバ復旧が成功した後で、3回目の支払いが行われる予定です。
金額は異なるものの、今回の事例は、身代金を支払ったにも関わらずファイルを完全に修復することができず、2 度目の身代金を請求されたカンザス州の病院の事例を思い起こさせます。
2016年9月に初めて確認されたErebusは、「malvertisement(不正広告)」によって拡散し、システムに対する未許可の変更を防ぐWindowsの機能「User Account Control(UAD)」を回避する手法を利用していました。本記事では、Linux版Erebusについて、現時点で判明している注目すべき手法について解説します。
続きを読む2017 年 6 月 10 日、韓国の Web ホスティング企業「NAYANA」が管理する 153 台の Linux サーバが暗号化型ランサムウェア「Erebus(エレブス)」(「RANSOM_ELFEREBUS.A」として検出)の亜種に感染したことが判明し、大きな注目を集めています。この攻撃により、NAYANA のサービスを利用するおよそ3,400 の企業の Web サイト、データベース、マルチメディアファイルが影響を受けています。
続きを読むLinuxは、企業や IoT機器メーカに長い間好まれてきたオペレーティングシステム(OS)です。Linux搭載機器は、さまざまな業界のスマートシステムに導入されています。多様なサービスの運用を連結するIoT機器なくしては、重要なシステムの運営ができなくなっているとも言えるでしょう。Linuxの普及に伴い、Linuxを狙う脅威の増加も確認されています。トレンドマイクロは、2016年9月、「Linuxを狙う脅威の最新動向」として一連の Linux脅威について報告しました。中でも最も注目されているのは、「MIRAI」(「ELF_MIRAI」ファミリとして検出)です。
続きを読む2016年は、ランサムウェアの被害が増大した年でした。サイバー犯罪者はランサムウェアをさらに凶悪化させ、企業や個人ユーザの重要データを人質にさらに多くの身代金を得ることに成功しました。昨年新たに確認されたランサムウェアは 2016年9月末までの段階で既に 146ファミリに達し、2015年の 29ファミリと比べ大きく増加しています。ランサムウェアの急速な拡大と発展の背景には、プラットフォーム、機能、手法の全ての面で改良に力を注ぐサイバー犯罪者の奔走があります。
続きを読む2016年末、Linux を搭載した IoT機器を狙う「Mirai」(「ELF_MIRAI」ファミリとして検出)による、大規模な「分散型サービス拒否(DDoS)」攻撃が数々の被害を発生させました。これらの事例は、「モノのインターネット(Internet of Things、IoT)」のエコシステムが、機能していない事実を明らかにしました。Mirai は、さらに拡散範囲を拡大するべく、今度は Windows PC を踏み台とするための機能を取り入れ、再び注目を集めています。
続きを読む2016年10月、Linux に存在する脆弱性「Dirty COW」が公開されました。この脆弱性には CVE識別子「CVE-2016-5195」が割当てられており、悪用された場合攻撃者がシステム管理者の権限を取得することが可能となります。「Dirty COW」は、Linux カーネルの開発者である Linus Torvalds 氏が「昔から存在していた不具合」と説明していたもので、公表後すぐに更新プログラムが公開されています。ほとんどの Linuxディストリビューションから、直ちに更新プログラムを適用するようユーザに注意喚起されています。
SELinux のポリシーによって攻撃可能な範囲は限定されているとはいえ、Android にも問題の脆弱性「Dirty COW」が存在します。トレンドマイクロは、すでに報告されている攻撃とは異なる Dirty COW を利用した別の攻撃手法を確認しました。弊社が確認した攻撃手法では、不正なコードを直接プロセスに書き込むことが可能になるため、攻撃者は狙った端末のほぼすべてが制御可能となります。現時点で、すべてのバージョンの Android がこの問題の影響を受ける可能性があります。
続きを読む
