Linuxベースのシステムは至る所にあり、インターネットインフラの中核をなしているが、低消費電力のIoTデバイスなどがLinuxマルウェアの主な標的となりつつある。
自動車、冷蔵庫、ネットワーク機器など、インターネットに接続された膨大な数のデバイスがオンラインになっている中、IoTデバイスは特定のマルウェア活動、すなわち分散型サービス拒否(DDoS)攻撃などの標的となっている。
セキュリティベンダーのCrowdStrikeは新しいレポートの中で、2021年に観測されたLinuxベースのマルウェアファミリーで最も広まったのは、「XorDDoS」「Mirai」「Mozi」だとしている。この上位3つのマルウェアファミリーが、2021年におけるLinuxベースのIoTマルウェアの22%を占めたという。また、IoTデバイスに広くデプロイされているLinuxベースのOSを標的とするマルウェアは2021年、2020年と比べて35%増加している。さまざまなLinuxビルドやディストリビューションがクラウドインフラの中核で利用されており、モバイルやIoTは脅威アクターに大きな機会をもたらしているとCrowdStrikeは指摘する。
2019年に出現したとみられるMoziは、分散ハッシュテーブル(DHT)を使用するP2Pボットネットだ。脆弱な「Telnet」のパスワードや既知の脆弱性を悪用し、ネットワーク機器、IoTデバイス、ビデオレコーダーなどのインターネット接続製品を標的とする。Moziは、DHTを使用することで、正当なDHTトラフィックを盾にC2通信を隠す。2021年に観測されたMoziのマルウェアサンプルは2020年の10倍だったとCrowdStrikeは指摘している。
大規模DDoS攻撃に利用できるLinuxボットネットを構築するために用いられているXorDDoSマルウェアは、少なくとも2014年から存在しているとみられる。このマルウェアはインターネットをスキャンし、パスワードや暗号鍵の強度が十分ではないSSHを稼働させているLinuxサーバーを特定した後、パスワードを推測し、攻撃者が遠隔地からサーバーを制御できるようにする。
XorDDoSは、従来ではルーターや、インターネットに接続されたスマートデバイスを標的にしていたが、最近ではクラウド上で公開されている脆弱な設定の「Docker」クラスターを標的にするようになっている。Dockerコンテナーは元来、より大きな帯域幅や、高速なCPU、大量のメモリーを搭載しているという点で、暗号資産(仮想通貨)の採掘を企む攻撃者にも魅力あるものとなっていた。その一方で、DDoSマルウェアを仕掛ける攻撃者は、不正に使用できるネットワークプロトコルの数が多いIoTデバイスが有効だと考えている。多くのIoTデバイスが既に感染している状況になっているため、Dockerクラスターが代わりに標的として狙われるようになったようだ。
CrowdStrikeによると、XorDDoSの一部の亜種は、ポート2375をオープンしているDockerサーバーをスキャン、探索するようになっている。このポートは暗号化されていないDockerソケットを提供しており、このポートを介して遠隔地からDockerホストに対するパスワード不要のルートアクセスが可能になる。つまり攻撃者は、マシンへのルートアクセスを得ることができる。
また同社によると、XorDDoSマルウェアサンプルの数は2021年、2020年と比べて123%近く増加した。
Miraiも、強度が不足しているパスワードを使用しているLinuxサーバーを標的とし、拡散している。同社によると、Miraiの亜種の中で流通量が多いのは「Sora」「IZIH9」「Rekai」などで、2021年にそれぞれ33%、39%、83%増加した。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。