2022年04月04日 08時00分 公開
特集/連載

「Linuxベースのクラウドは危険」 VMwareが警告する納得の理由なぜLinuxが狙われるのか

VMwareが、Linuxが危険にさらされていると警鐘を鳴らす。なぜLinuxが狙われるのか。攻撃者にとってLinuxが魅力的なターゲットになってしまった理由を明らかにする。

[Alex Scroxton,Computer Weekly]

 「Linux」は最も一般的なクラウドOSの地位を確立した。だが新たな攻撃ルートにもなっているため、セキュリティ業界は対策を急ぐ必要がある。

 VMwareはLinuxを標的とするマルウェアに関するレポートを公開した。

 VMwareのジョバンニ・ビーニャ氏(脅威インテリジェンス担当シニアディレクター)は言う。「できる限り少ない労力で効果を最大化するため、Linuxを標的とするマルウェアをツールセットに加えている」

攻撃者がLinuxを狙うメリット

iStock.com/Orla

 「攻撃者は、エンドポイントからより価値の高い標的に侵入するのではなく、1台のサーバを侵害するだけで莫大(ばくだい)な利益とアクセスを入手できることに気付いた。重要なインフラサービスと機密データにアクセスできるため、パブリッククラウドとプライベートクラウドを価値の高い標的と見なしている」

 「現在のマルウェア対策はWindowsベースの脅威を重視している。パブリッククラウドとプライベートクラウドの多くはLinuxベースの攻撃に対して脆弱なままだ」

 レポートは、Linuxベースのランサムウェアが新たに開発された証拠を明らかにしている。その例にはDarkSideのランサムウェアや「VMware ESXi」のホストイメージを暗号化する「Defray777」などがある。

 VMwareによると、これは攻撃者がクラウドでより価値のある資産を攻撃する必要があると判断した明らかな兆候だという。

 クリプトマイニングはランサムウェアよりも影響は少なく、クラウドを破壊するわけではないように思える。そのため検出が難しくなる恐れがある。この点を利用して攻撃者が素早く報酬を得る方法が2つある。マルウェアで暗号ウォレットを盗み出す方法と、CPUサイクルを金銭化するために暗号通貨をマイニングする方法だ。こちらは「Monero(XMR)」が狙われることが多い。

 クリプトマイナーの89%は「XMRig」関連のライブラリを利用する。これらのライブラリやモジュールをLinuxサーバ内で発見したら、ハッキングされている証拠になる。

Linuxでも広がる恐れのある「Cobalt Strike」の亜種

 ペネトレーションテストツールおよびフレームワークの「Cobalt Strike」は、Windowsを標的とする攻撃者に長い間利用されてきた。2021年にはLinuxを標的とするリバースエンジニアリングバージョン(通称「Vermilion Strike」)が見つかり、攻撃者のオプションになりつつある。

 2020年2月から2021年11月までに1万4000を超えるアクティブなCobalt Strikeチームサーバが見つかった。クラックおよび漏えいしたCobalt Strike顧客IDは56%に上る。つまりCobalt Strikeユーザーの半数以上がサイバー犯罪者か、違法使用者ということだ。

 VMwareのブライアン・バスキン氏(脅威調査部門マネジャー)は言う。「さらに多くのランサムウェアファミリーがLinuxベースに向かう動きが増えている。Log4jの脆弱性を悪用する攻撃も増える可能性がある」

 「『Exposing Malware in Linux-Based Multi-Cloud Environments』を利用すれば、Linuxベースのマルウェアの性質を理解し、マルチクラウド環境にランサムウェア、クリプトマイニング、リモートアクセスツールが広がる脅威を軽減できる」

ITmedia マーケティング新着記事

news072.jpg

超リッチなイーロン・マスク氏の「言論の自由」は、あなたのそれと同じなのか?
Twitter買収の大義名分とされる「言論の自由」。しかし、同じことを語っているつもりでも...

news204.jpg

新卒の営業職が仕事をやりたくない時期、最多は「5月」 ―― RevComm調査
新卒営業社員は5月に最初の「壁」を感じるようです。

news069.jpg

「メタバース」でどうやってもうけるの? Meta(旧Facebook)が考える収益化への道
Metaの中核をなすメタバースプラットフォームのマネタイズ計画が明確になりつつある。高...