België (Nederlands)
Belgique (français)
Česká republika
Danmark
Deutschland
España
France
Italia
Magyarország
Nederland
Norge
Polska
Portugal
România
Schweiz (Deutsch)
Slovensko (česky)
South Africa
Suisse (français)
Suomi
Sverige
Türkiye
United Arab Emirates
ビジネスをランサムウェアから保護することは困難です。特に、さまざまなオペレーティング システムが使用されており、それぞれに独自のレベルのセキュリティとリスクが混在する環境ではなおさらです。従業員が Windows、MacOS、Linux、モバイルの OS を組み合わせて使用している可能性が高い場合、ビジネス セキュリティに一貫性を持たせることは難しくなります。
この記事では、Linux ランサムウェアを取り上げます。Linux ランサムウェアとは何か、Linux が提供するセキュリティの範囲、Linux を実行しているデバイスを標的にするランサムウェアの種類、脅威に対して実行できる保護対策について説明します。
どんな規模のビジネスでも、エンタープライズクラスのセキュリティをご利用いただけます。アバスト ビジネス ハブをダウンロードし、30 日間リスクなしでお試しください。
一般的に Linux ランサムウェア とは、Linux オペレーティング システム(Ubuntu や Debian などのディストリビューションを含む)をベースにしたシステムを攻撃することがある種類のマルウェアのことです。この種類の攻撃はデバイスまたはネットワークに侵入し、重要なドキュメントを特定して、それらを暗号化します。多くの場合、初めて攻撃に気づくのは、暗号化されたファイルの復号化を引き換えに支払いを要求するメッセージを受け取ったときです。個人の場合でも恐ろしいことですが、ビジネスでの場合は運営や顧客の信用に取り返しのつかない損害を及ぼす可能性があります。
Linux は強力なセキュリティ対策があることで定評があり、ビジネス サーバーの選択肢として人気がありますが、実際はどんなオペレーティング システムもマルウェアの攻撃を完全に防げるわけではありません。マルウェアの性質上、フィッシング、脆弱なパスワードの使用、利用可能なアップデートの更新を怠るなど、人為的なエラーが侵入の原因になることがよくあります。
Linux の利点の 1 つはセキュリティ更新が定期的であるだけでなく、一般的には非常に効果的とされている最高のセキュリティをオペレーティング システムに適用できるという点です。
もう 1 つの利点は、Linux では自動的に制限されているアクセス権が割り当てられ、悪意のあるハッカーがユーザー アカウントにアクセスできるようになっても、安全なデータにアクセスしたり、管理者の権限を得たりすることがほぼ不可能であるということです。
Windows と Mac のオペレーティング システムは Linux よりも広く普及していますが、悪意のある行為者は、Linux はビジネス サーバー用のシステムとして人気があることを知っています。ハッカーは、Linux システムにアクセスすることで、単一のエンドポイントではなく、サーバーにアクセスする可能性が高くなります。このことから、ビジネスでは自己満足に陥らず、ウイルス対策ソフトウェアを使用して攻撃されるリスクを軽減する必要があります。
Linux サーバーを使用しているビジネスでは、Linux ランサムウェアに対する懸念がますます高まっています。疑わしいネットワーク アクティビティや他のレッド フラグを特定できるようになるには、処理を理解していることが重要です。攻撃者からのアプローチはさまざまですが、以下は Linux ランサムウェアによる攻撃の典型的な段階を表しています。
Linux ランサムウェアがネットワークにアクセスして拡散を行うためには、一般的に脆弱性を特定することが必要です。パッチが適用されていないシステム処理やサービス内の不備といった簡単なものも、こういった脆弱性に含まれます。毎日の使用に影響することがなければ、脆弱性は簡単に見過ごされてしまいます。
Linux ランサムウェアの一部の形態はスキャナーを使用し、管理者のアクセス権を使用することができる SQL インジェクションの脆弱性を特定することができます。既知の脆弱性を修正するには、アップデートと修正プログラムを適用することが重要です。
ランサムウェアはひとたび侵入すると、悪意のある実行可能ファイル(ワーム、トロイの木馬、ウイルス)のダウンロードを要求し、その後それらをネットワークのローカル ディレクトリに配置します。そしてこの時点から、機能し始めます。ランサムウェア自体に特定のアクセス権を付与したり、ブート時やリカバリー モードで実行する機能を使用したりする場合があります。
場合によっては、ランサムウェアは権限昇格を利用して、特に高いレベルの管理者のみが使用できる機能にアクセスすることができます。このバイパスによって、マルウェアは任意のデータの閲覧や編集が可能になります。
ランサムウェアはシステムをスキャンして、共有フォルダや特定の拡張子を持つファイルを探します。これらのターゲットは事前に決定されており、ドキュメント ファイル(PDF、DOC)、クラウド ストレージまたはネットワーク ストレージに関係するソフトウェアを含む可能性が高くなります。
企業はまだマルウェアに気づいていないかもしれませんが、サーバーには定着しており、すでに身代金要求の対象とするファイルを確保しています。
Linux システムを攻撃するこの段階で、ランサムウェアは標的ファイルの暗号化バージョンを作成し、元のファイルを削除します。使用される暗号化の種類によっては、これが取り返しのつかないことになります。
多くの暗号化方式はデータの暗号化と復号化に鍵のペアを使用しているので、非対称方式と呼ばれています。通常、一方の鍵は公開され、視認できますが、もう一方の鍵は非公開で作成者のみが保持します。ランサムウェアはサイバー犯罪者のサーバーとコンタクトし、公開鍵を取得して暗号化処理を始めます。
この時点でデバイスがネットワークに繋がっていなければ、攻撃者はユーザーがオンラインに戻るのを待ち、ファイルの暗号化も行います。
一般的な暗号化の種類には以下があります。
最後の段階で、身代金要求書を使った恐喝の要求が行われます。これは、スタートアップのメッセージ、デスクトップ上に配置されたドキュメント、暗号化されたファイルの場所などで提示されます。通常、身代金要求には支払いの指示が含まれています。一部には期限やカウントダウンが含まれているものもあり、身代金が時間によって増えるのがわかったり、期限内に支払いが行われないとファイルを永久に消去するという脅しをかけたりするものがあります。
この時点で、ランサムウェアはそのタスクを完了します。
Tycoon の最初のインスタンスは、2019 年に特定されました。通常これは、中小企業や高等教育機関を攻撃するために使用されます。Linux と Windows デバイスの両方を感染させることができます。
システムのアクセス権は、悪意のある Java 画像ファイルを含む ZIP アーカイブを通じて取得されます。その後、安全でないリモート デスクトップ プロトコルが使用され、Java オブジェクトが実行されるとシステムが暗号化され、身代金要求のメモが残されます。
攻撃では、ビットコインによる支払いに 60 時間の猶予を与えます。場合によっては、金額が毎日増加します。
この攻撃は、Linux ベースのネットワークに接続されているストレージ(NAS)デバイスに焦点を当てます。配布は通常、偽物のアップデートや ZIP アーカイブを含む感染したファイルを通じて行われます。
QNAPCrypt の侵入経路は、SOCKS5 プロキシ(転送中のデータ パケットを保護する VPN 代替手段)で不備のある認証で、検出率は低いです。システムに侵入すると、マルウェアはハッカーのサーバーにビットコイン ウォレットと RSA 公開鍵をリクエストしてから、被害者のデータを暗号化します。
暗号化が完了すると、身代金情報が .txt ファイルに残されます。被害者には身代金支払いを行うための一意のビットコイン ウォレットが渡され、攻撃者は検出を回避することができるようになります。
近年では RansomEXX (別名 Defrat777)が Linux デバイス上で最も一般的なランサムウェアの形態の 1 つになりました。Windows のマルウェアとして誕生しましたが、Linux サーバーを攻撃するために頻繁に使用されるようになり、特にブラジル政府、テキサス州運輸省、チェコ共和国のブルーノ大学病院などに対する攻撃で知られています。
この種類のランサムウェアは「大物狙い」と呼ばれ、大規模な組織や政府を標的として多額の身代金支払いを確保する目的でたびたび使用されています。このマルウェアは複数のエンドポイントを攻撃するのではなく、サーバーに直行し、ファイルのソースへのアクセスを制限するため、Linux サーバーがこの種類の攻撃の主な目標になります。
RansomEXX は通常悪意のある Word ドキュメントを含むメールで配信されます。ドキュメントを開くと、トロイの木馬がユーザーのシステムにダウンロードされ、ファイルを暗号化し、256 ビットの暗号化キーを生成します。その後、そのキーは 1 秒ごとに再暗号化されます。
Erebus は Windows ベースのランサムウェアとして 2016 年に初めて確認されました。Linux システムに初めて使用されたのは、2017 年に注目を浴びた 韓国のウェブ ホスティング会社である NAYANA への攻撃です。153 台の Linux サーバー、3,400 以上のビジネス ウェブサイトが影響を受けました。ビットコインで 100 万ドルの身代金が支払われましたが、この金額は当時の最高記録になりました。
Erebus はユーザーが悪意のあるリンクをクリックしたり、感染したメールの添付書類を開いたりすることによって感染します。さらに、偽物のインストーラーなどの悪意のあるソフトウェアからシステムにアクセスすることもできます。
このランサムウェアは、データベース、アーカイブ、ドキュメントなど、暗号化するファイルの種類を幅広くスキャンします。使用される暗号化処理は、3 種類の異なる暗号システム(RSA-2048、AES、RC4)を混合して使用されるため、解読が困難です。また、このランサムウェアはオペレーティング システムのボリューム シャドウ コピーも削除してしまうので、復旧がさらに困難になります。
KillDisk は Linux に適応される前に Windows で始まったもう 1 つのランサムウェアです。Linux バージョンの KillDisk は異なる 64 ビット暗号化キーのセットで各ファイルを暗号化します。その後ブートローダーを上書きしてシステムによる起動を妨げ、その代わりにビットコインでの支払いを要求する身代金要求メモを全画面でユーザーに提示します。
Linux バージョンの KillDisk は、Windows バージョンとは異なる点があります。Linux 攻撃中にデータを解読するために必要なキーが、ローカルに保管されたりサーバーに送られたりすることがないのです。つまり、この暗号化ツールは身代金要求というより破壊を目的として作成された可能性が高いということです。暗号化キーが存在しない場合、ファイルは身代金の支払いに関係なく復元されない可能性が高くなります。
Linux ランサムウェアは特にビジネス ユーザーにとって増大する脅威です。ランサムウェア攻撃からビジネスを守るために取るべき行動には以下が挙げられます。
詳しくは、「Linux サーバーを保護する方法」についての記事をご覧ください。
Linux は最高レベルの OS セキュリティを提供しますが、それだけでお使いのビジネス データやサーバーの安全や安心を確保することはできません。Linux 専用のマルウェア対策とエンドポイント プロテクションで会社を保護しましょう。
