Xubuntu 公式サイトで侵害が発生:Windows を標的とする悪意の実行ファイルが拡散

Threat Actors Compromise Xubuntu Website To Deliver Malicious Windows Executable

2025/10/22 CyberSecurityNews — Xubuntu の公式サイトに侵入した脅威アクターにより、ISO の Torrent ダウンロードが悪意の ZIP ファイルへとリダイレクトされた。このインシデントは 2025年10月18日に発覚しており、サポート終了 OS の代替への関心が高まる中で、コミュニティが管理する Linux ディストリビューション・サイトに依存せざるを得ないという問題を浮き彫りにしている。Xubuntu ISO ファイルの入手を試みたユーザーにはトロイの木馬が提供され、クリップボード・データの乗っ取りによる暗号通貨の窃取にさらされた。

このインシデントが浮き彫りにするのは、サポート終了 OS の代替え需要が高まる中で、コミュニティが運営する Linux ディストリビューション・サイトに依存せざるを得ないという状況である。

この侵害が発覚したのは、r/xubuntu および r/Ubuntu コミュニティに参加している警戒心の強い Reddit ユーザーが、”xubuntu.org” のダウンロード・ページに異常を察知したときだった。

この訪問者が目にしたのは、軽量版 Ubuntu の Xfce デスクトップを搭載した正規の “.torrent” ファイルではなく “Xubuntu-Safe-Download.zip” だった。それを解凍すると、不審な実行ファイル “TestCompany.SafeDownloader.exe” と、偽造著作権表示 “Copyright (c) 2026 Xubuntu[.]org” を含む “tos.txt” ファイルが取り出された。いまが 2025年であることを考えると、きわめて異常なシグナルである。

セキュリティ分析により、この実行ファイルは悪意のものだと即座に確認された。VirusTotal スキャンではトロイの木馬と判定され、12 以上のウイルス対策エンジンが、レジストリ・キーによる永続化やクリップボード操作といった挙動を報告している。

それらの悪意のファイルをサンドボックス環境で実行すると、Xubuntu インストーラーを装う偽のダウンローダーにより、AppData フォルダに “zvc.exe” が展開された。さらに、コピーされた暗号通貨ウォレット・アドレスが、攻撃者が管理するアドレスに書き換えられることが確認された。この暗号通貨クリッパーが標的とするのは Windows ユーザーであり、取引中における資金が窃取され、検知が困難である可能性が高い。

このマルウェアは、Windows ユーザーを標的としている。つまり、2025年10月14日にサポートが終了した Windows 10 から移行する新規ユーザーを、この攻撃者が狙っていたことが示唆される。多くの非技術系ユーザーは、Windows 11 とのハードウェア非互換性を懸念し、Xubuntu のようなユーザー・フレンドリーな Linux ディストリビューションに目を向けている。しかし、ほとんどの熟練したユーザーに、このダウンロード策略が見抜かれたのは、ずさんな実行形態/誤った年号の参照/誤解を招くインターフェイスなどに要因がある。

緩和策

Xubuntu のメンテナたちとリーダーである Sean Davis は、この侵害を数時間のうちに認識し、Canonical のセキュリティ・チームと協力して拡散を食い止めた。その結果として、影響を受けたダウンロード・ページは無効化され、それ以降の配布は停止された。なお、Ubuntu の公式サーバからの直接 ISO リンクは影響を受けず、チェックサムにより検証が可能であった。

このサイトは、外部ホスティングの旧式 WordPress インスタンスに依存していた。そのため、即時の修正は困難であったと Davis は指摘したが、セキュリティ強化のため静的サイトへの移行を迅速に進めることを約束した。感染や盗難が確認された事例はなく、Wayback Machine のアーカイブによると、悪意のリンクが有効だったのは 24~48 時間程度だったという。

もう一人のコントリビューターである Elizabeth Krumbach Joseph は、この事件をホスティング・アップグレードにおける “失敗” と表現し、再発防止のための対応が進められていると述べた。また、コミュニティからは、”ubuntu.com” から Xubuntu へのリンクを一時的に削除し、混乱を避けるべきだという要請があったようだ。

外部ホスティングの旧式 WordPress で運用されていた Xubuntu 公式サイトが侵害され、ISO の Torrent リンクが悪意の ZIP へ差し替えられたことが判明しました。ZIP 内の偽ダウンローダーは Windows 向けのクリッパーを展開し、クリップボードの暗号通貨アドレスを書き換えるものです。Windows 10 のサポート終了と、移行の需要を狙った攻撃だと、この記事は指摘しています。よろしければ、Ubuntu で検索を、ご参照ください。