
Linuxにウイルス対策は不要と考えていませんか? それは大きな間違いです。Linuxは、クライアントとして使用される場合と、サーバーとして使用される場合があります。クライアントがターゲットになることはもちろん、サーバーの場合はウイルスを感染させるためにLinuxの脆弱性を悪用するケースもあります。
特にサーバーとして使用しているLinuxでは、脆弱性の悪用によってWebサイトを改ざんされてウイルスを仕込まれた場合、サイトにアクセスしてきた人のパソコンをウイルス感染させる「加害者」になってしまうことになります。安心してアクセスしてもらうためにも、Linuxのウイルス対策は重要です。ここでは、Linuxに感染するウイルスやそれによる被害、そして対策について説明します。
1:Linuxもウイルスに感染する
Linuxに感染するウイルスは以前から存在していますので、「ウイルスに感染しないから」という理由でLinuxを使用している場合は認識を改める必要があります。ただ、Linuxを狙うウイルスは数が少ないため、感染しないと思われがちなことも確か。数が少ない理由のひとつに、単純にクライアントとして使用するユーザーが少ないことが挙げられます。最近のウイルスは、ランサムウェアなど金銭目的のものが多く、より金銭を得るために攻撃者はユーザーの多いOSを狙う方が効果的なのです。
Linuxは、価格が安いことや動作が軽快であること、カスタマイズの自由度が高いことなどから、サーバーやクライアントに利用されています。LinuxはオープンソースのOSであるため、技術者が開発しやすい反面、攻撃者にも研究されてしまうという問題もあります。前述したようにクライアントはユーザー数が少ないことからウイルスの発生件数も少ないですが、効率のいい攻撃手法が確立されれば攻撃が増加する可能性もあります。また、サーバーに対してはウイルスよりも脆弱性を狙う攻撃が多くなっていますので、その対策は必須です。
1-1:最近、見つかったLinuxを標的としたウイルス
最近確認された、Linuxに感染するウイルスをいくつか紹介しましょう。傾向としては、ほとんどが「トロイの木馬」に分類されるマルウェアであり、感染したパソコンにバックドアを開き、そこから攻撃者へ重要な情報を送信したり、悪意のあるファイルをダウンロードさせられます。そのほとんどが「危険度1」と影響は非常に軽微であるとされています。ただし、今後もこの状態が続くとは限りません。また、WindowsとLinuxの両方に感染するウイルスも確認されているので、統合的な対策が必要です。
1-1-1:リモートファイルをダウンロードして実行する「Linux.Kaiten」
2014年7月18日に発見された「Linux.Kaiten」は、トロイの木馬に分類されるマルウェアです。このトロイの木馬は、ユーザーが手動でインストールして実行することで感染します。感染するとバックドアを開き、リモートファイルをダウンロードして実行します。ダメージレベルは「Medium」とされています。
1-1-2:バックドアを開くトロイの木馬「Linux.Netweird」
2014年7月15日に発見された「Linux.Netweird」は、侵入先のコンピュータでバックドアを開くトロイの木馬です。また攻撃者は情報を盗み取り、リモートからLinux上にファイルをダウンロードして実行する可能性があります。ダメージレベルは「Medium」とされています。
1-1-3:ユーザー資格情報と認証キーを盗み取る「Linux.SSHKit!gen1」
2014年2月28日に発見された「Linux.SSHKit!gen1」は、侵入先のコンピュータでバックドアを開くトロイの木馬です。感染すると、ユーザー資格情報と認証キーを盗み取ります。ダメージレベルは「Medium」とされています。
2:Linuxのウイルス対策
2-1:セキュリティソフトを導入する
Linuxといえども、セキュリティソフトによる対策は必須です。Linuxにはサーバー用途とクライアント用途がありますが、一般的にサーバーの場合は企業向けのセキュリティソフト、クライアントの場合は個人用のセキュリティソフトを導入します。企業向けの場合は複数のライセンスに対応しているので、WindowsやMacを含む企業内のすべてのクライアントを保護することができます。
またサーバー用途の場合は、ウイルスだけでなく脆弱性を悪用しようとする攻撃が活発です。そのため、セキュリティソフトによる対策はもちろん、ファイアウォールや不正侵入対策、脆弱性対策といった総合的なセキュリティ対策が重要になります。
2-2:具体的な11個の感染予防策
感染予防を含む基本的なオンラインセキュリティとして、下記を実行することが理想的です。この中にはシステムで対応できるものもあれば、ユーザーひとりひとりが意識すべき「心がけ」もあります。
[システム面:危険を未然に防ぐ]
・ファイアウォールを利用する
ファイアウォールを利用して、一般に公開されていないサービスへのインターネット経由による接続をすべてブロックします。原則として、明示的に外部に提供したいサービスへの接続を除いては、すべての着信接続を拒否しましょう。
・ファイルの自動実行機能を無効にする
ファイルの自動実行機能を無効にして、ネットワークドライブやリムーバブルドライブ上の実行可能ファイルの自動実行を阻止し、ドライブの接続が不要なときは切断しましょう。書き込みアクセスが不要な場合は、読み取り専用モードのオプションが利用可能であれば有効にします。
・不要なサービスは停止するか削除する
不要なサービスは停止するか削除します。Linuxに限らず、OSによって特に必要のない補助的なサービスがインストールされることがあります。このようなサービスは攻撃手段として悪用される可能性があるため、不要なサービスを削除することで攻撃の危険性を軽減できます。
・常に最新の修正プログラムを適用する
常に最新の修正プログラムを適用しましょう。公開サービスのホストコンピュータや、HTTP、FTP、メール、DNS サービスなど、ファイアウォール経由でアクセス可能なパソコンでは特に注意が必要です。
・特定の拡張子を持つファイルをブロックする
.vbs、.bat、.exe、.pif、.scr などの拡張子を持つファイルは、脅威の拡散に頻繁に使用されるため、それらのファイルが添付されたメールをブロックまたは削除するようにメールサーバーを設定しましょう。
[システム面:すでに侵害されている場合]
・脆弱性を悪用されているサービスは無効にする
ネットワークサービスの脆弱性が悪用されている場合は、修正プログラムを適用するまでそれらのサービスを無効にするか、サービスへのアクセスをブロックしましょう。
・Linuxクライアントが感染した場合
ネットワークに接続しているパソコンが感染した場合は、直ちにネットワークから切断して感染拡大を防止します。被害状況を分析し、信頼できるメディアを使って復元します。
[ユーザー面]
・パスワードポリシーを徹底させる
パスワードポリシーを徹底させます。強固なパスワードは、侵害されたコンピュータ上のパスワードファイルの解読を困難にします。これにより、攻撃による被害を回避、または最小限に抑えることができます。
・権限は必要最小限に
パソコンのユーザーとプログラムには、必要最小限の権限を付与するようにします。ルートまたはUACパスワードの入力が要求されたときは、管理者レベルのアクセスを要求するプログラムが正規のアプリケーションであることを確認しましょう。
・ファイル共有時の注意
ファイル共有が不要な場合は、設定を解除します。ファイル共有が必要な場合は、ACLとパスワード保護機能を使用してアクセスを制限します。また、共有フォルダへの匿名アクセスを無効にし、強固なパスワードが設定されたユーザーアカウントにのみ共有フォルダへのアクセスを許可します。
・予期しない添付ファイルは開かない
予期しない添付ファイルは開かないようにしましょう。インターネットからダウンロードしたソフトウェアは、ウイルススキャンを実行して安全であることを確認してから実行します。ブラウザの脆弱性に対応した修正プログラムが適用されていない場合、侵害されたウェブサイトにアクセスするだけで感染することがあります。
3:Linuxがウイルス感染したらどうなるのか
Linux環境を狙うウイルスも、基本的にはWindowsを狙うウイルスと同様の動作をします。クライアント用途においては「トロイの木馬」がその多くを占めており、トロイの木馬がバックドアを開き、攻撃者と通信を行ってさらにマルウェアをダウンロードし、情報を盗み出すパターンが多くなっています。一方、サーバー用途の場合はマルウェアを埋め込まれるなど、Webサイトが改ざんされるケースが多くなっています。
3-1:重要な情報を盗み出されてしまう
バックドアを開くタイプでは、ウイルスは攻撃者が用意したサーバーと通信するためのポートを開き、待機状態に入ります。そして攻撃者からの指示に応じて、Linuxクライアントのシステム情報などを送信したり、ファイルのダウンロードやアップロードを行います。これにより情報が漏えいしたり、さらなるウイルスに感染する危険性があります。最悪の場合は感染したLinuxクライアントを乗っ取られ、外部から遠隔操作されてしまいます。
3-2:ウイルスの拡散に悪用される
Linuxクライアントやサーバーに侵入したウイルスにより、ネットワーク内にある別のパソコンにウイルスを拡散されてしまう可能性があります。バックドアを開いた場合は攻撃者が次々にウイルスを送り込んでくることもできるため、ネットワーク内にあるWindowsパソコンにウイルス感染が広がる可能性もあります。同様に、Webサイトを改ざんしてウイルスをダウンロードさせるようにしたり、悪意のあるサイトにリダイレクトするようにされることもあります。
3-3:他のサイトやサービスの攻撃に利用される
パソコンに「ボット」と呼ばれる不正プログラムを仕込まれる可能性もあります。ボットとは、主に攻撃者が感染パソコンを遠隔操作するために使用されるもので、大量のボット感染パソコンでネットワークが構成されます。攻撃者はネットワークされたボット感染パソコンを使って、特定のWebサイトやサービスにDDoS攻撃を行ったり、迷惑メールの送信を行ったりします。また、ボットネットワークをビジネスとして攻撃を請け負ったり、貸し出すこともあります。
4:Linuxに対応するセキュリティソフト
4-1:Linuxに対応する商用セキュリティソフト
「Linux対応」とされている商用のセキュリティソフトをまとめました。ほとんどがサーバー用途向けとなっています。機能や価格などから検討するとよいでしょう。
各製品へのリンクは以下になります。
Symantec Endpoint Protection(ブロードコム – 旧シマンテック)
ServerProtect for Linux(トレンドマイクロ)
McAfee Complete Endpoint Protection – Business(マカフィー)
エフセキュア Linux セキュリティ(エフセキュア)
Kaspersky Endpoint Security for Linux(カスペルスキー)
4-2:Linuxに対応する無料セキュリティソフト
「Linux対応」とされている無料のセキュリティソフトをまとめました。こちらはクライアント用途向けが多くなっています。
各製品へのリンクは以下になります。
Bitdefender:Antivirus Scanner for Unices
F-PROT Antivirus for Linux Workstations – FREE for home users
5:最後に
サイバー攻撃者は、常に効率のいい攻撃手法を探しており、そのためには対象を選びません。現在はWindowsとAndroidが主な標的になっていますが、これはユーザーが多いことと、すでにウイルスなどの攻撃手法が大量に存在していることが原因と考えられます。もし、Linuxでも効率のいい攻撃手法が発見されれば、Linuxを標的とした攻撃が大量に発生するかも知れません。常に標的にされる可能性を意識してLinuxを運用しましょう。