Linuxは、そのセキュリティの高さから、マイクロソフト社のWindowsシステムをしばしば苦しめる脅威に対して、脆弱性が低いとみなされることが多いのです。しかし、サイバー犯罪者は、量より質を選ぶことに価値を見出し始めているのだろうか？

リナックスの脅威の状況は変化している

カスペルスキーやブラックベリーなどの企業や、FBI、米国○○局（NSA）などの連邦機関のセキュリティ研究者は、マルウェア作者がLinuxへの注力を強めていることを警告している。

OSは、企業秘密、知的財産、人事情報などの貴重なデータへの入り口として認識されています。Linuxサーバーは、Windows、macOS、Androidデバイスで溢れている広いネットワークに感染するための中継地として使用されることもあります。

デスクトップやラップトップで動作しているOSでなくても、遅かれ早かれ、あなたのデータはLinuxにさらされることになるのです。クラウドストレージ、VPN、メールプロバイダー、そして雇用主、健康保険会社、**サービスプロバイダー、大学などは、ほぼ間違いなくネットワークの一部としてLinuxを実行しており、現在または将来、Linux対応のIoTデバイスを持っている可能性が高いです。

過去12ヶ月の間に、複数の脅威が確認されています。Windows用マルウェアのLinuxへの移植が知られているものもあれば、10年近くもサーバーに潜んでいたものもあり、セキュリティチームがリスクの大きさを過小評価していることを示唆しています。

多くのシステム管理者は、自分たちの組織が標的になるほど重要だとは思っていないかもしれません。しかし、ネットワークが大したことなくても、取引先や顧客がフィッシング攻撃などでシステムにアクセスする誘惑に駆られ、潜入の第一歩となる可能性があることがわかります。そのため、自社のシステムをどのように保護できるかを評価することは価値があります。

2020年に発見されたリナックスマルウェア

ここでは、この1年間に確認された脅威をまとめました。

ransomexx トロイの木馬プログラム

カスペルスキーの研究者は11月に、トロイの木馬がLinuxに実行ファイルとして移植されていたことを明らかにしました。被害者には、256ビットAESパスワードで暗号化されたファイルと、データを回復するためにマルウェア作者に連絡する指示が残されています。

Windows版では、2020年にコニカミノルタ、テキサス州運輸局、ブラジルの**システムなど、重要なターゲットが攻撃されました。

RansomEXXは被害者ごとにカスタマイズされ、暗号化されたファイルの拡張子や身代金請求書のメールアドレスに組織名が含まれています。

ジッツオクリーム - 12

gitplaste-12は、Linuxを搭載したx86サーバやIoTデバイスに感染する新しいワームです。GitHubやPastebinを利用してコードをダウンロードすることと、12の攻撃方法を持つことが名前の由来となっています。

このワームは、AppArmor、SELinux、ファイアウォールなどの防御機能を無効化し、暗号通貨の採掘装置をインストールすることができます。

イプサム

2019年5月にWindowsに登場して以来、Linuxを攻撃できるこのボットネットの新バージョンが、9月に発見されました。これは、Linuxを動作させ続けるためにメモリ**から解除し、Linuxの動作を妨げる可能性のあるセキュリティプロセスを停止させるものです。

また、Linux版では、SSHを使用してターゲットを見つける、Steamゲームサービスを悪用する、***をクロールして広告のクリックを偽装するなどの機能が追加されています。

また、Android Debug Bridge（ADB）経由で接続されたAndroid端末を好んで感染させます。

ドロウルブ

このルートキットは、FBIと○○局による8月の警告で注目されたもので、管理者やアンチウイルスソフトを回避し、ルートコマンドを実行し、ハッカーにファイルのアップロードやダウンロードをさせることが可能です。両機関によると、Drovorubはロシアのために活動するハッキンググループFancy Bearの仕業であるとのことです**。

この感染は検知が困難ですが、少なくとも3.7カーネルにアップグレードし、信頼できないカーネルモジュールをブロックすることで回避することができます。

明星

Luciferは、6月にWindows版、8月にLinux版で登場した悪質なクリプトマイニングおよび分散型サービス拒否ボットです。Linux版のLuciferは、HTTPベースのDDoS攻撃に加えて、TCP、UCP、ICMP経由の攻撃も可能にします。

パンくん x64

今年5月、研究者はマルウェア「Turla Penquin」ファミリーの新しい亜種を発見しました。これは、攻撃者がルートへのアクセスを得ることなく、ネットワークトラフィックを傍受し、コマンドを実行することを可能にするバックドアである。

カスペルスキーは、7月に欧米の数十台のサーバーにこの脆弱性を発見しました。

マルチファウンデイション

Dokiは、暗号マイナーがインストールされているDockerサーバーの設定不備に着目したバックドアツールです。

マルウェアは通常、あらかじめ決められたIPアドレスやURLにアクセスしてコマンドを受け取りますが、DokiのクリエイターはDogecoin暗号化ブロックチェーンAPIを使用する動的システムを構築しました。これにより、マルウェア運営者はたった1回のDogecoin取引でコントロールサーバーを変更できるため、コマンド基盤を停止することが困難になります。

Dokiを回避するためには、Docker管理インターフェイスが正しく設定されていることを確認する必要があります。

織物

TrickBotは、ランサムウェア攻撃や個人情報窃盗に使用される銀行トロイの木馬で、WindowsからLinuxへの移行が進んでいます。TrickBotの背後にいるグループが使用するツールの1つ、Anchoru DNSは、7月にLinux亜種でフィーチャーされました。

Linuxはバックドアとして機能し、通常、ZIPファイルを介して拡散されます。マルウェアは、クーロンタスクを設定し、DNSクエリーを介してコントロールサーバーに連絡します。

関連：フィッシングメールの見分け方

タイクーン

Tycoonトロイの木馬は、通常、ZIP アーカイブ内の侵害された Java ランタイム環境として拡散されます。研究者は6月に、中小企業や教育機関のWindowsとLinuxシステムで実行できることを発見しました。ファイルを暗号化し、身代金の支払いを要求します。

クラウドスポッター

このルートキットは、Netfilterをハイジャックし、通常のWebトラフィックにコマンドやデータ窃盗を隠蔽してファイアウォールを回避するものです。

今年2月にAmazon Web Servicesのクラウド上で初めて発見されたこのシステムは、ファイアウォールの内側にあるあらゆるサーバー上のマルウェアを制御するために使用することができます。

ミラージュ

また、2月には、トレンドマイクロ社の研究者が、PowerGhostがWindowsからLinuxに飛躍することを発見しています。これはファイルレス暗号通貨採掘装置で、システムの速度を低下させ、消耗の増加によりハードウェアを減少させます。

Linux版では、アンチマルウェア製品のアンインストールや強制終了が可能で、クーロンタスクを使ってアンチマルウェア製品を有効にしておくことができます。他のマルウェアをインストールしたり、ルートアクセスを取得したり、SSHを使用してネットワーク上に拡散することができます。

フリッツフルーグ

このピアツーピア（P2P）ボットネットは、2020年1月に初めて発見されて以来、さらに20のバージョンが発見されています。被害者は、**、大学、医療センター、銀行などです。

Fritzfrogは、ファイルレスマルウェアと呼ばれる、ハードディスクではなくRAM上に存在する脅威で、既存のソフトウェアの脆弱性を突いて攻撃を行うものです。サーバーを使う代わりに、P2Pを使って暗号化されたSSH通信を送り、異なるマシン間で攻撃を調整し、自分自身を更新し、ネットワーク上で均等に作業が行われるようにするのです。

fritzprog は文書化されていませんが、将来のアクセスを可能にするため、公開 SSH 鍵を使用したバックドアを作成します。そして、侵入したマシンのログイン情報がネットワーク上に保存される。

強力なパスワードと公開鍵認証は、このような攻撃に対する防御策となります。また、SSHポートを変更したり、使用していない場合はSSHアクセスをオフにしておくとよいでしょう。

ゆうれいがいしゃ

FinFisher** FinSpyは、ジャーナリストや活動家へのスパイ行為に関連しており、**既製品の**監視ソリューションとして機能します。これまでWindowsとAndroidで確認されていましたが、2019年11月に***団体がLinux版のマルウェアを発見しました。

FinSpyは、トラフィックの盗聴、個人データへのアクセス、感染したデバイスからのビデオやオーディオの録音を可能にします。

ムバラク大統領打倒後の2011年、残忍なエジプト保安局の事務所からFinSpyの購入契約書が発見され、世間に知られることになりました。

リナックスユーザーはそろそろ真剣にセキュリティに取り組むべき？

LinuxユーザーはWindowsユーザーほどセキュリティの脅威にさらされないかもしれませんが、Linuxシステムが保有するデータの価値と量が、サイバー犯罪者にとって魅力的なプラットフォームであることに疑いの余地はありません。

FBIや○○局が懸念しているように、自営業やLinuxを運営している中小企業も、今後大規模な組織に対する攻撃の巻き添えを食わないためには、今からセキュリティにもっと気を配る必要があるのではないでしょうか。

以下は、増加するLinuxマルウェア攻撃から身を守るための推奨事項です。

• 不明なソースからのバイナリファイルやスクリプトを実行しないでください。
• アンチウィルスソフトやルートキット検出ソフトなどのセキュリティソフトを導入する。
• curlなどのコマンドを使用してプログラムをインストールする場合は注意が必要です。そのコマンドが何をするのか完全に理解するまで実行せず、ここから先はコマンドラインを勉強してください。
• ファイアウォールを正しく設定する方法をご紹介します。すべてのネットワークアクティビティを記録し、未使用のポートをブロックし、一般的にネットワークへの露出を最低限に抑える必要があります。
• 定期的にシステムのアップデートを行い、セキュリティアップデートが自動的にインストールされるように設定する。
• アップデートが暗号化された接続で送信されることを確認する。
• SSHの鍵ベースの認証システムを有効にし、鍵を保護するためのパスワードを設定します。
• 二要素認証（2FA）を利用し、鍵はYubikeyなどの外部デバイスに保存してください。
• ログを調査して、攻撃の証拠を見つける。