Linux は魅力的な標的:クラウドを含むインフラを狙い始めた攻撃者の意図は?

Defenders Be Prepared: Cyberattacks Surge Against Linux Amid Cloud Migration

2022/09/06 DarkReading — Linux を実行するシステムの数と、それを攻撃する件数は、Windows に遠く及ばないだろうが、Linux ベースのサーバやテクノロジーに対する脅威アクターたちの関心は、このところ著しく高まってきている。今週に Trend Micro が発表したレポートによると、特にクラウドでの Linux インフラにおいて、ミッションクリティカルなアプリケーションやデータをホストする企業が増加していることが、その背景にあるようだ。Trend Micro は、Linuxシステムを標的とするランサムウェア攻撃が、2022年上半期に 75% 増加 (前年同期比) したことを確認している。


また、Linux ベースのランサムウェアによる攻撃は、2021年上半期の 1,121件に対し、2022年上半期は 1,961件に増大したことも報告されている。

Linux/VMware ESXi へのランサムウェア攻撃が急増

この増加は、脅威アクターたちが Linux プラットフォームを標的とし、また、数多くの組織で仮想マシンやコンテナの管理に使用される ESXi サーバを標的とする取り組みを拡大するという、これまでの Trend Micro の観測と一致している。

この傾向について同社は、REvil/DarkSide ランサムウェア・ファミリーの運営者が先導しており、昨年10月に Linux/VMware ESXi システム向けの LockBit ランサムウェア亜種がリリースされたことで、勢いが増していると説明している。

今年に入り、Trend Micro の研究者たちは、ESXiサーバ を標的とする Cheerscrypt と呼ばれる別の亜種が出回っていることを確認している。また、他のセキュリティ・ベンダーからも、Linux システム上のデータを暗号化する Luna/Black Basta といった、ランサムウェアの観測報告が寄せられている。

現状のランサムウェアは、Linux システムを標的とする最大の脅威であるが、それだけではない。今年の初めに VMware が発表したレポートでは、Linux 環境を攻撃するために設計されたクリプト・ジャッキングや RAT (remote-access Trojans) の使用も増加していることが指摘されている。

たとえば、VMware は、脅威アクターが XMRig などのマルウェアを用いて Linux マシンの CPU サイクルを奪い、Monero などの暗号通貨をマイニングしていることをも発見した。

Trend Micro の VP of Threat Intelligence である Jon Clay は、「Linux 上の暗号マイニング・マルウェアは今年の上半期で増大しているが、その背景にあるのは、クラウド・ベースの暗号マイニングの拡大があるのだろう」と指摘している。

VMware のレポートでは、Linux システムを標的とする Cobalt Strike などのツールの使用が広がり、Cobalt Strike の Linux 実装である “Vermilion Strike” の出現も確認されている。

VMware も Trend Micro と同様に、特に Linux インフラの仮想環境において、ワークロード用ホスト・イメージを攻撃するランサムウェアの量と精巧さが高まっていると指摘する。同社 は、Linux システムに対するランサムウェア攻撃の多くは、日和見的ではなく、標的型であり、データ流出などの強奪スキームを組み合わせていると説明している。

攻撃者にとって魅力的なエントリーポイント

Windows は、そのインストール・ベースの規模からして、依然として最も標的にされやすいオペレーティング・システムである。Jon Clay によると、2022年上半期に Trend Micro が顧客のためにブロ ックした 630億件の脅威のうち、Linux ベースはごく一部に過ぎない。2022年上半期の Linux の脅威検出数は数百万件だが、同じ期間における Windows システムに対する攻撃は数十億件あったという。

しかし、Linux システムに対する攻撃の増加は、Linux がビジネス・コンピューティング・インフラの重要な領域で利用され始めていることにより、問題視する傾向が高まっている。VMware はレポートの中で、Linux はマルチクラウド環境において、最も一般的なオペレーティング・システムであり、最も人気のあるウェブサイトの 78% がLinux により運用されていることを指摘している。したがって、これらのシステムに対する攻撃が成功すれば、組織の運営に甚大な損害が生じる可能性があるのだ。

VMware は、「Linux ベースのシステムを標的とするマルウェアは、高価値マルチ・クラウド環境に侵入する、攻撃者の手段として急速に普及してきた」と警告している。

さらに Jon Clay が、セキュリティ保護が遅れている可能性があると指摘する。彼は、「脅威アクターは、この OS がビジネス・オペレーションの重要な領域を担っていることを熟知し、この OS を攻撃する機会を探している。歴史的に見ると、Linux に対する脅威が少なかったことで、この OS を保護するためのセキュリティ対策に欠落や、不完全の機能が残されている可能性がある」と述べている。

Linux 環境の保護

Linux の管理者は、まず、標準的なセキュリティ・ベストプラクティスに従い、システムを保護する必要があると、研究者たちは述べている。たとえば、システムには常に最新のパッチを適用し、アクセスを最小限に抑え、定期的にスキャンを実施する。

Vulcan Cyber の Senior Technical Engineer である Mike Parkin は、リスクを評価し、パッチを管理する際に、Linux と Windows の使用方法に、大きな違いがあることに注意すべきだと述べている。Linux システムは通常、オンプレミスとクラウドの双方でサーバを構成する。Windows サーバは数多く存在するが、Windows デスクトップは遥かに多く、Windows デスクトップが標的にされることも多く、そこからサーバに侵入されることもある。

その一方で、ソーシャル・エンジニアリングに関する Linux ユーザーの意識向上は、組織の焦点となるべきだろう。

彼は、「Linux システム管理者は、一般的なユーザーと比べて、典型的なフィッシング攻撃やソーシャル・エンジニアリング攻撃に、引っかかる可能性が低いことが期待される。しかし、ここでも標準的なアドバイスが適用されるべきだ。ユーザーは、攻撃対象になるのではなく、解決策の一部になるよう、訓練する必要がある」と述べている。

Clay は、「組織が最初にすべきことは、稼働しているすべての Linux ベース・システムのインベントリーを作成し、さまざまな脅威から保護するために、Linux ベースのセキュリティ・アプローチの導入を検討することだ」とも指摘している。

彼は、「理想的には、サイバー・セキュリティ・プラットフォームの一部として、Linux システムに自動的にセキュリティ制御を導入し、Windows ベース・システムに対する制御をモデル化することだ。そこには、機械学習/仮想パッチ/アプリケーション制御/完全性監視/ログ検査などの、テクノロジーが含まれていることを確認してほしい」と述べている。

Trend Micro の調査をベースにした記事としては、9月5日の「Linux へのランサムウェア攻撃:2022年上半期は 75% 増」もあります。こちらで調べた限りでは、それぞれが別の URL を指しているようですが、記事が書かれたタイミングからして、同じ調査結果に基づくものだと推測しています。文中に記されているように、「Linux はマルチクラウド環境において、最も一般的なオペレーティング・システムであり、最も人気のあるウェブサイトの 78% がLinux により運用されている」という部分に、Linux が狙われる原因があるのでしょう。

%d bloggers like this: