シマンテック・ホステッド・サービスの最新のMessageLabs Intelligence Reportには、マルウェアやメールを介した脅威の現状と、その長期的な傾向に関する興味深く有用な情報が満載されています。特に興味深いのは、「Linuxマシンは、Windowsマシンに比べてスパムを送信する可能性が5倍高い」という記述です。
Windowsオペレーティングシステムに関連するセキュリティリスクはしばしば誇張されている、あるいは少なくとも相対的な脅威レベルは市場シェアの関数であり、LinuxやMac OS Xの市場シェアが90%であれば、それらのシステムは少なくとも現在のWindowsと同じくらい脆弱であり、悪意のある攻撃の標的になるだろう、と私は率先して指摘する一人です。とはいえ、LinuxがWindowsよりもスパムを拡散する可能性が5倍高いというのは、センセーショナリズムを狙った歪んだ計算のように思われます。
Linuxがスパムの発信源となっている問題について、他のマルウェアセキュリティ専門家にも確認してみました。その結果、これらの指標の背後にある根本的な原因については意見が一致し、最終的にはLinuxがスパムメッセージの過剰な発信源となっている可能性があるという結論に至りました。
nCircleの主任研究エンジニア、タイラー・レグリー氏は次のように語った。「実のところ、この報告書はかなり奇妙に感じますし、リモートフィンガープリンティングの手法にも疑問を感じます。もし彼らが自社のサーバーに届くメールに対してパッシブフィンガープリンティングを使っていたとしたら、メール送信元のホストの正確なフィンガープリンティングを必ずしも得られるとは限らないでしょう。オープンリレーやISPの「スマートホスト」を使ってメールサーバーをフィンガープリンティングしている可能性もあります。また、Linuxに起因するスパムの多くはダイレクトマーケティングメールから来ている可能性もあると彼らは認めています。これらのメールは、正規のメールサーバー(Linuxが稼働している可能性が高い)から送信されるはずです。」
FireEyeのセキュリティ研究者はメールで、「これらのLinuxボックスがTCPポート25を開いていて、オープンSMTPリレーとして悪用されているとしても驚きません。マルウェアは感染した(Windows)マシンの場所を隠すためにこれを行っています。現代のマルウェアは、システムを長期的に制御するように設計されています。なぜなら、これらのマルウェアインフラを構築する主なコストは、感染したシステムを「取得」するために必要な時間と労力だからです」と述べています。
ウェブルートの主任脅威調査アナリスト、アンドリュー・ブラント氏も、この報告書に疑わしい点があると述べています。「報告書のスパムインデックス機能は、特定のオペレーティングシステムに固有の問題や脆弱性とはほとんど関係のない問題を過度に強調しているように見えます。文脈が不明瞭なスパムインデックスは奇妙に思えます。特定のオペレーティングシステムを実行しているマシンに何らかのアクティブな感染が存在するかどうかはわかりません。」
しかしブラント氏は、最初の2人の専門家と基本的に同じ結論に達しています。「Linuxサーバーは、設定ミスによって(あるいはそれが良い考えだと考える誰かによって意図的に)オープンメールリレーにされてしまう可能性が非常に高いです。オープンリレーはスパマーがスパムを配信するために頻繁に利用されますが、オープンリレーを備えたマシンの管理者は通常、これらのボックスを綿密に監視していないため(サーバーの所有者が監視対象を把握していれば、そもそもボックスはオープンリレーとして設定されていないはずです)、理論上は、ブロードバンド接続された一般的なWindowsデスクトップマシンよりも、IPアドレスあたりはるかに多くのスパムをオープンリレーから送信できる可能性があります。」
シマンテックは、Linuxスパム問題についてより詳細な調査結果も発表しています。シマンテックは、「ほとんどの場合、PostfixやSendMailといったオープンソースのメール転送エージェント(MTA)が稼働しているマシンが、開いたままになっていたことが分かりました。これは、Linuxからのスパムがこれほど多い理由の一つとして、多くの企業が独自のメールサーバーを導入し、コスト削減のためにオープンソースソフトウェアを使用しているため、ポート25をインターネットに開いたままにしておくと悪用される危険性があることに気づいていないことが挙げられます」と述べています。
つまり、スパムメッセージの真の発信源は、依然として侵入されたWindows PCである可能性が高く、おそらくは大規模なボットネットの一部であると考えられます。しかし、設定ミスや不適切なLinuxシステムが中継として利用されており、発信元システムが隠蔽されているため、結果としてLinuxがスパムの原因であるかのように見せかけ、実際には単に通過しているだけである可能性が高いのです。
Webroot の Brandt 氏は、「自分が何をしているのかわかっていない場合、またはオープン メール リレーの問題を理解していない場合、大規模なパイプで Linux サーバーを実行すると、問題の一因となる可能性があります」と説明しています。
FireEyeのエンジニアは、この件を巧みにまとめています。「このレポートは、LinuxのIT管理者が最新のマルウェアの脅威に注意を払う必要があることを正しく指摘しています。マルウェアはLinuxホストに直接感染することはないかもしれませんが、マルウェア感染ライフサイクルの一環として、Linuxシステムを偵察し、悪用します。」
Linux管理者の方は、ボットネットがスパムメールを拡散するために悪用できるオープンメールリレーがシステムに存在しないことを確認してください。これにより、Linuxのセキュリティに関する評判が向上するだけでなく、スパムメッセージの真の送信元を特定するための不明瞭なレイヤーが排除され、侵害されたシステムをオフラインにしてクリーンアップできるようになります。一石二鳥の効果があります。
TonyのFacebookページをフォローするか、[email protected]までメールで連絡を取ることができます 。また、 @Tony_BradleyPCWとしてもツイートしています。
