Linuxサーバへの感染を狙うマルウェアの増加に対し、Google傘下のVirusTotalは注意を強めている。同社は、マルウェア対策に取り組む人々のための頼りになるツールを提供している。
新たに発生するマルウェアの脅威を完全に把握しておく必要があるセキュリティ研究者にとって、VirusTotalのマルウェアデータベースは欠かせないツールになっている。
誰でも、疑わしいファイルをこのウェブツールにアップロードして、「Kaspersky」「McAfee」「Symantec」など10あまりのアンチウイルス製品がそのファイルをマルウェアとして検出するかどうかをチェックすることができる。このツールは、善意の人々によって使われることを意図されているが、ある研究者が2013年に発見したところによると、悪意あるハッカーもこのサービスを使って、自分のマルウェアを世の中に送り出す前に、それをアンチウイルス製品でテストしていたという。このツールには、比較分析に欠点があるにもかかわらず、である。
VirusTotalは、「Windows」に影響を与える、悪意のあるファイルについての詳細な情報は保持しているものの、Linuxのマルウェアはこのツールにとって、依然として死角のようなものとなっていた。その理由の1つは、そうしたマルウェアがほかより珍しいからである。VirusTotalは、それぞれのLinuxファイルのサンプルについて基本的な情報は提供していたが、アンチウイルスベンダーや研究者がWindowsのマルウェアに関して受け取っているような追加情報は欠けていた。
かつてはそうした状況でも問題なかったかもしれない。しかし過去2年の間に、PCではなく、無防備なウェブサーバをターゲットとする、新種のLinuxマルウェアが登場している。
最も知られている攻撃の1つが、「Mayhem」と呼ばれているものだ。これは、UNIXやLinuxのサーバをターゲットとした、ロシアとウクライナから始まった脅威だ。それ以前には、研究者らは「Linux Cdorked」マルウェアを使っているハッカーを発見している。これもやはり、Windowsマルウェアを拡散するプラットフォームとしてウェブサーバを狙ったものだった。
1つには情報の不足が原因となって、Linuxマルウェアのサンプルに対するアンチウイルスベンダーの対応は遅くなった。Linuxマルウェアのサンプルは多くの場合、ELFファイルとして提出されている。ELFファイルは、UNIXや、UNIXに類似したシステムの実行ファイル、オブジェクトコード、共有ライブラリ、コアダンプのための標準的なバイナリファイルフォーマットだ。そのため、アンチウイルスベンダーによる検知率は低いままだった。現在では、提出されるELFファイルの数は増加しつつある。11月上旬の1週間だけでも、3万5000件超の疑わしいELFファイルがVirusTotalに提出された。これは、疑わしい「Microsoft Word」ファイルのアップロード件数である4万4000件をわずかに下回る数だ。
