ニュースで話題になっている最新のボットネットはWindows上で動作しているわけではありません。XOR DDoSマルウェアは、Linuxシステムのみで構成されたボットネットを構築しました。
このボットネットは、強力な分散型サービス拒否(DDoS)攻撃を用いてサーバーを攻撃するように設計されています。Akamaiによると、現在では150Gbpsを超えるトラフィックをサーバーに送り込むほど強力です。
いいえ、Linuxデスクトップは脆弱ではありません
XOR DDoSマルウェアは昨年9月に初めて確認されました。一部のウェブサイトでは、このマルウェアはLinuxシステムのセキュリティ脆弱性を悪用して感染する、と報告されていますが、実際にはそうではありません。XORは、インターネットにアクセスできるSSHサーバーを備えたLinuxシステムを見つけ出し、パスワードを総当たり攻撃で推測し、侵入が許可されるまで何度も試行を繰り返します。
セキュアシェル(SSH)は、コンピュータ上のリモートシェルへのアクセスを提供するサーバーであり、ログインしたユーザーは誰でも任意のコマンドを実行できます。一般的なLinuxデスクトップシステムでは、デフォルトでSSHサーバーが有効化・設定されていないため、この攻撃の影響を受けません。つまり、SSHサーバーを有効化し、インターネットからアクセスできるようにしている場合にのみ、XOR DDoSマルウェアを警戒する必要があるということです。
Linux、BSD、Chrome OS、そして Windows 以外の世界の最新情報を知りたいですか? Windows 以外の世界のコラムページをブックマークするか、RSS フィードをフォローしてください。
適切に構成されていないLinuxサーバーは脆弱である
LinuxシステムにSSHサーバーをインストールし、インターネットからアクセス可能にしていると、攻撃を受ける可能性があります。XOR DDoSはインターネット上でこれらのシステムをスキャンし、アクセスが許可されるまでパスワードの推測を試みます。そして、ルートキットのような技術を使って自身を偽装するXOR DDoSマルウェアをコンピューターにインストールします。
これは、設定が不十分なSSHサーバーを悪用しているだけです。適切に設定されたSSHサーバーは、別のポートで実行され、見つけにくく、パスワードだけでなく秘密鍵を要求し、数回ログインに失敗すると自動的にブロックされるはずです。これにより、攻撃を防ぐことができます。SSHサーバーへのアクセスを、必要な特定のIPアドレスに制限することも効果的です。
XOR DDoSは、設定が不十分なSSHサーバーをクラッキングしようとする悪意のある攻撃者の1つに過ぎません。パブリックSSHサーバーを運用している人は、サーバーログで頻繁に攻撃の試みを目にするでしょう。
Linuxベースのルーターも問題を抱えている
残念ながら、これは自分で構築したLinuxサーバーに限った話ではありません。多くのルーターはLinuxを使用しており、家庭用ルーターは時代遅れだったり、セキュリティパッチが適用されていなかったり、安全にセットアップされていなかったりすることがよくあります。Linuxベースのルーターは、SSHサーバーを適切に保護し、インターネットからアクセスできるようにしておかないと、このマルウェアに侵入される可能性があります。家庭用ルーターのセキュリティは悪夢です。
Linuxは完璧に安全ではありませんが、大きなLinuxエクスプロイト事例は今のところありません。真の問題は、実社会において、設定が不十分なLinuxシステムがいかに多く存在するかということです。Linuxはシステムを安全にする魔法の弾丸ではありません。適切にロックダウンする必要があります。
