仮想化システムおよびLinuxサーバーに対する攻撃

LinuxやESXiベースのシステムがランサムウェア攻撃の被害に遭うケースが増えています。サーバーの保護について考えましょう。

ランサムウェア - 今世界中の企業や組織が、この攻撃に頭を抱えています。企業や組織は、それぞれランサムウェア攻撃に対する防御策を練るのは必須ですが、それよりも優先してやらなければならないことは、何をいち早く保護すべきか、組織内で検討することでしょう。WindowsワークステーションやActive Directoryサーバー、その他のマイクロソフト製品などが有力な候補となる場合が多く、このような考え方が最も合理的です。ただし、ここで注意が必要なのは、サイバー犯罪の手法は常に進化しているということです。最近では、仮想化(バーチャリゼーション)システムやLinuxサーバーを対象とした悪質なツールも開発されています。2022年には、Linuxシステムを対象とした攻撃の合計件数が75%増加しました。

このような攻撃が増えているのはなぜか。その理由は明確で、オープンソースや仮想化が広く普及し、LinuxやVMWare ESXiで運用されるサーバーの台数が増え続けているからです。これらのサーバーには重要な情報が大量に保存されていることが多く、暗号化されてしまうと、事業が一瞬にして停止してしまう可能性があります。これまでは、Windowsシステムのセキュリティ対策にのみ目が向けられていたため、Windows以外のサーバーが格好の標的になっています。

2022年から2023年にかけての攻撃

  • 2023年2月、ランサムウェア「ESXiArgs」を使った攻撃が急速に広がり、VMware ESXiサーバーを所有する多くの企業が被害を受けました。攻撃者は、CVE-2021-21974の脆弱性を悪用して、仮想マシンを無効化し、.vmxf、.vmx、.vmdk、.vmsd、.nvramのファイルを暗号化しました。
  • 悪名高いランサムウェア集団Clop は、Fortra製のファイル転送サービスであるGoAnywhereの脆弱性CVE-2023-0669を悪用した大規模攻撃で世間に知れ渡りました。そしてこのグループは、ランサムウェアのLinux版を限定的に使用していたことが、2022年12月に明らかになりました。Windows版とは大きな違い(最適化や防御的手法の有無)がありますが、Linuxのアクセス権やユーザーの種類に対応しており、Oracle製データベースのフォルダーをターゲットにしています。
  • ランサムウェア「BlackBasta」の新しいバージョンは、ESXiのハイパーバイザーを攻撃するよう設計されています。複数のプロセッサを使用するマルチスレッド処理で、ChaCha20アルゴリズムを使用する暗号化方式が採用されています。ESXiファームは通常、マルチプロセッサになっているため、このアルゴリズムによって環境全体を暗号化する時間が短縮されます。
  • ハッカー集団Contiも解散の直前、ESXiを標的としたランサムウェアを準備していました。あいにく、Contiが開発したコードの多くが漏洩したため、多くのサイバー犯罪者が利用できる状態となっています。
  • Rustベースのランサムウェア「BlackCat」は、ESXiの仮想マシンの無効化や削除も可能です。それ以外の点では、Windows版と大差のないコードとなっています。
  • 2022年に検知されたランサムウェア「Luna」は、始めからクロスプラットフォームになっており、Windows、Linux、ESXiのシステムで実行することが可能でした。ランサムウェア集団LockBitも当然、この流れに注目し、マルウェアのESXi対応バージョンを関係者に提供するようになりました。
  • これらよりも以前の攻撃には、RansomEXXやQNAPCryptなどのキャンペーンがあり、Linuxサーバーに大きな被害が出ています。

サーバーに対する攻撃手法

Linuxサーバーへ侵入するには通常、脆弱性が悪用されます。OSやウェブサーバー、その他の基本アプリケーションだけでなく、ビジネスアプリケーションやデータベース、仮想化システムに存在する脆弱性が、攻撃者の武器になります。特にオープンソースのコンポーネントの脆弱性が極めて深刻なことは、昨年のLog4Shellのケースで明らかになっています。最初の侵入を果たした後、多くのマルウェアは、さらに別の手法や脆弱性を利用して、権限の昇格やシステムの暗号化を行います。

Linuxサーバーで特に重要な保護対策

Linuxサーバーへの攻撃が成功する可能性を最小限に抑えるために、推奨する対策は次のとおりです。

ヒント