Dirty COWは2016年末に発見され、すべてのLinuxベースのシステムに影響を与えるコンピュータセキュリティの欠陥です。驚くべきことに、このカーネルレベルの欠陥は2007年からLinuxカーネルに存在していましたが、2016年まで発見されず、悪用されることもありませんでした。

本日は、この脆弱性とは何か、どのようなシステムに影響するのか、そしてどのように身を守ればよいのかについて解説します。

汚れた牛の脆弱性は何ですか？

Dirty COWの脆弱性は、特権の昇格攻撃であり、本質的には、あらゆるLinuxベースのシステム上でルートユーザーアクセスを得るために使用できることを意味します。セキュリティ専門家は、このような悪用は珍しくないとしていますが、その使い勝手の良さと11年以上も前から存在していることは、かなり心配なことです。

実際、Linus Torvalds氏は、2007年に発見したものの、"理論的な探求 "として無視していたことを認めている。

Dirty COWは、カーネルのメモリ管理システムにおけるコピーオンライト（COW）機構に由来している。悪意のあるプログラムは、ファイルの読み取り専用マッピングを書き込み可能マッピングに変換するために、競合する条件を設定する可能性があります。その結果、低権限のユーザーがこの欠陥を悪用して、システム上で特権を昇格させることができます。

ルートアクセスを獲得することで、悪意のあるプログラムはシステムに無制限にアクセスできるようになります。そこから、システムファイルの変更、キーロガーの配備、デバイスに保存されている個人データへのアクセスなど、さまざまなことが可能になります。

どのシステムが影響を受けるのか？

Dirty COW脆弱性は、2007年にリリースされたバージョン2.6.22以降のすべてのバージョンのLinuxカーネルに影響します。Wikipediaによると、この脆弱性はカーネルバージョン4.8.3, 4.7.9, 4.4.26 以降でパッチが適用されているとのことです。2016年にパッチが公開されましたが、この問題に完全に対応できていなかったため、2017年11月に後続のパッチが公開されました。

現在のカーネルバージョン番号を確認するには、Linuxベースのシステムで次のコマンドを使用します。

uname - r

Ubuntu、Debian、ArchLinuxなどの主要なLinuxディストリビューションは、いずれも適切なパッチをリリースしています。ですから、まだの方は、必ずLinuxカーネルをアップデートしてください。

ほとんどのシステムでパッチが適用されているので、リスクは減少しているのでは？ そうとは言い切れません。

ほとんどの主流システムにはパッチが適用されていますが、その他のLinuxベースの組み込み機器には、まだ攻撃に対して脆弱なものがあります。ほとんどの組み込み機器、特に安価な機器では、**マーチャント**からアップデートを受け取ることはありません。残念ながら、どうすることもできないのです。

そのため、IoT機器を購入する際は、アフターサービスが充実している信頼できる販売元から購入することが重要です。

AndroidはLinuxカーネルをベースにしているため、ほとんどのAndroid端末も影響を受けます。

アンドロイド端末での汚れた牛

ZNIUは、Dirty Cowエクスプロイトをベースとした、Android向けの最初のマルウェアです。ZNIUは、Android 7.0 NougatまでのすべてのAndroidデバイスをルート化することができます。

トレンドマイクロ社のレポートによると、2017年9月時点でZNIUを搭載した不正アプリが30万個以上野放しになっていることが判明しています。中国、インド、日本を含む50カ国のユーザーが影響を受けています。これらのアプリのほとんどは、**アプリやゲームに偽装されています。

zniu android malwareの仕組み

ZNIUの影響を受けたアプリは、しばしばソフトポルノアプリとして悪意のあるウェブサイトに表示され、ユーザーは騙されてダウンロードさせられてしまうのです。Androidはアプリを簡単にサイドロードできるため、多くの初心者がこの罠にはまり、ダウンロードしてしまうのです。

感染したアプリケーションが起動すると、そのコマンド＆コントロール（C&C）サーバーと通信する。そして、Dirty COWの脆弱性を悪用して、自分自身にスーパーユーザー権限を付与します。この脆弱性はリモートで悪用することはできませんが、悪意のあるアプリケーションがバックドアを仕込み、将来的にリモートコントロール攻撃を行うことは可能です。

アプリケーションはルートアクセスを獲得した後、オペレータの情報を収集し、サーバに送り返します。そして、SMSを利用した決済サービスを通じて、オペレーターと取引する。そして、オペレーターの決済サービスを通じてお金を集める。トレンドマイクロの研究者は、中国に拠点を置く仮想企業に直接支払いが行われるとしている。

ターゲット企業が中国国外にある場合、オペレーターとこうしたマイクロトランザクションを行うことはできませんが、他の悪意のあるアプリケーションをインストールするためのバックドアを仕掛けることはできます。

マルウェアの興味深い点は、気づかれないように月々約3ドルのマイクロトランザクションを実行することです。また、取引が完了するとすべてのメッセージを削除することができるため、発見が困難となります。

亜鉛の汚染から身を守るには

Googleはこの問題に迅速に対応し、2016年12月に問題を修正するパッチをリリースしました。ただし、このパッチはandroid 4.4kitkat以降を搭載している端末で動作します。

2018年1月現在、約6％の端末がまだ4.4kitkat以下のバージョンのAndroidを搭載しています。

これだけ聞くと大したことはないように思えますが、それでも相当数の人が危険にさらされているのです。

Android 4.4 KitKat以上の端末の場合、最新のセキュリティパッチがインストールされていることをご確認ください。確認するには、設定> 「バージョン情報**」を開いてください。一番下までスクロールして、Androidのセキュリティパッチレベルを確認します。

インストールされているセキュリティパッチが2016年12月より新しい場合は、本脆弱性から保護されているはずです。

また、Googleは、Google Play Protectが影響を受けるアプリをスキャンし、安全を確保することができることを確認しています。ただし、googleplay Protectは、Googleアプリを正しく使用するために、お使いの端末が認証されている必要があることを覚えておいてください。googleplay Protectなどの独自アプリは、互換性テストに合格した後、**マーチャント**によってのみ搭載することができます。良いニュースは、ほとんどの主要な**ベンダーがGoogleの認定を受けていることです。ですから、よほど安い模造品のAndroid端末でない限り、心配することはありません。

Androidのアンチウィルスアプリは、このような特権昇格攻撃を検知することはできますが、阻止することはできません。ウイルス対策アプリは、他の機能（盗難防止など）には有効かもしれませんが、この場合、あまり意味がないことは確かです。

アンドロイド8.0oreoでは、提供元不明のアプリのインストールがより安全になりましたが、それでも注意深く進める必要があります。

安全確保：重要なポイント

Dirty Cowの情報漏洩が多数のシステムに影響を与えたことは周知の通りです。ありがたいことに、各社が迅速に対応し、事態を収拾してくれました。Ubuntu、Debian、Arch-Linuxなど、ほとんどのLinuxベースのシステムには、パッチが適用されています。Googleは、Android上で影響を受けるアプリをスキャンするPlayProtectを配備しています。

残念ながら、影響を受けるLinuxカーネルを搭載した組込みシステムを稼動させている相当数のユーザーは、セキュリティアップデートを受け取ることができず、危険にさらされている可能性があります。安価なノックオフのアンドロイド端末**は、Googleの認定を受けていないため、購入者を危険にさらしています。そのような購入者には、セキュリティアップデートはもちろん、Androidのバージョンアップも提供されません。

したがって、これらの**商人**から機器を購入することをスキップすることが非常に重要である。もし、あなたがたまたま持っていたとしても、すぐに無視することです。ここでは、懐に穴が開かない最高のAndroid**を紹介します。それ以外の人は、タイムリーにアップデートをインストールすることを心がけ、常識的な範囲でインターネットを安全に利用しましょう。

あなたのLinuxシステムは、Dirty COW脆弱性またはZNIUマルウェアの影響を受けたことがありますか？セキュリティアップデートを適時にインストールしていますか？以下のコメント欄で、あなたのご意見をお聞かせください。