「Samba」の脆弱性が未修正のLinuxサーバにただ乗りして、仮想通貨「Monero」のマイニング(採掘)を行う攻撃者たちが存在するという。
オープンソースプロジェクトのSambaは米国時間5月25日にパッチをリリース済みだ。セキュリティ企業のRapid7は、リモートコード実行に無防備なバージョンのSambaを実行する10万台以上のLinuxマシンがポート445および139経由でインターネットに開かれていることを確認していた。
SambaはSMBプロトコルを使って、「Windows」マシンとLinuxマシン間のファイルおよび印刷共有サービスを提供する。このSambaの脆弱性はワームのように拡散可能なので、猛威を振るった「WannaCry」ランサムウェアと比較された。WannaCryはWindowsのSMB実装の脆弱性を悪用して、ネットワーク上で急速に拡散した。
Kaspersky Labの研究者によると、このSambaの脆弱性を悪用するランサムウェアはWannaCryのように広範に拡散してはいないが、パッチがリリースされた直後から、攻撃者は金銭的利益のためにこの脆弱性を悪用し始めたという。
Sambaの脆弱性を悪用する攻撃者は、ランサムウェアをインストールするのではなく、仮想通貨マイナーをインストールして、LinuxマシンからMoneroで利益を得る。
WannaCryが猛威を振るった後、セキュリティ研究者のKafeine氏は、同じSMBエクスプロイトを使う「Adylkuzz」というマルウェアがMoneroマイニングの目的でWindowsマシンを感染させていることを発見した。さらに、セキュリティ企業のDoctor Webは先週、「Raspberry Pi」端末でMoneroマイニングボットネットを形成する初期の実験とも考えられるような現象を確認した。
Sambaの脆弱性を利用してマイニングを行う今回の企みは利益の獲得にある程度成功しているようだが、Kasperskyは感染マシンのネットワークの規模を把握していない。
1カ月の間に、攻撃者たちは約5500ドルに相当する98Monero(XMR)を獲得したという。感染したWindowsマシンを15万台以上使って、1カ月に何万XMRも獲得したとされるAdylkuzzに比べると、はるかに少ない。
しかしKasperskyによると、このMoneroマイニングLinuxボットネットは拡大しているという。当初は1日に約1XMRしか得ていなかったが、6月上旬までに、1日に約5XMRを獲得するようになったという。
提供:Getty Images/iStockphoto
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
