もっと詳しく

ITコミュニティの大部分は、最近まで、Linuxマシンに保護は必要ないと考えていました。「Linuxシステムのアーキテクチャは、本質的に脆弱性がほとんどなく、攻撃者の興味を引かない。それに、オープンソースコードという形態そのものが、予想外の深刻な脆弱性に対する一種の保証となっている」。しかしながら近年は、頭の固い情報セキュリティ責任者でさえ、そのような考えには現実的な根拠がほとんどないことに気付くようになりました。

Linuxサーバーに対する脅威

サイバー犯罪がエンドユーザーの金銭のみを目的としていたころ、Linuxサーバーは確かに比較的安全でした。ところが最近のサイバー犯罪者は、はるかに多額の支払いが期待できるという理由で、かなり前から企業を標的とするようになりました。こうして、さまざまなLinuxディストリビューションにサイバー犯罪者の目が向けられるようになったのです。結局のところサーバーというものは、攻撃の目的にかかわらず(スパイ行為、妨害行為、ランサムウェアの拡散…)、攻撃者にとって戦略上の利益です。それを示す例は、少し探せばいくらでも見つかります。

  • 昨年11月、当社のエキスパートは、トロイの木馬「RansomEXX」の亜種を発見(英語記事)。この亜種はLinuxマシン上のデータを暗号化することが可能でした。特定の組織を狙った標的型攻撃用にカスタマイズされており(コードと身代金要求メッセージは標的ごとに異なる)、発見時にはすでに攻撃に使用されていました。
  • 今年の夏に検知されたランサムウェア「DarkRadiation」は、Red Hat/CentOSとDebian Linuxを攻撃するために作られたもので、感染先マシンのDockerコンテナーをすべて停止することができます(英語記事)。マルウェア全体はBashスクリプトで記述されており、メッセンジャー「Telegram」のAPIを使用して指令サーバーと通信します。
  • 今どきのAPTグループのほとんどは、Linux向けのバックドア、ルートキット、エクスプロイトコードを有しています。当社のグローバル調査分析チーム(Global Research & Analysis Team:GReAT)は、Linuxマシンを標的とする最新のAPTツールに関するレポートを昨年発表しました(英語記事)。

オープンソースコミュニティでは、ディストリビューションを慎重に調査し、脆弱性について皆で議論し、(ほとんどの場合)責任もってその情報を公開しています。しかし一方で、管理者がLinuxサーバーを常にアップデートするとはかぎりません。「壊れていないものは直すな」と考える人は、今も多いのです。

この価値観は根強いのですが、脆弱性の中にはかなり深刻なものもあります。例えば、2021年6月に公開されたCVE-2021-3560は、polkit(多くのLinuxディストリビューションに既定でインストールされているシステムサービス)内で発見されたもので、サイバー攻撃者に権限昇格を許す恐れがあります(リンク先は英語)。この脆弱性は、CVSS v3で10点中7.8という評価を受けています。

Linuxサーバーを保護するには

Kaspersky Endpoint Security for Linuxは、長年にわたり、そのような問題からユーザーを保護してきました。しかし、Linux上で動作するサーバーへの攻撃が増えてきたことを受け、ソリューションのアップデートを行い、新技術を多数導入することを決定しました。

第1に、アプリケーションコントロール機能がフル実装されました。この機能は、信頼リストに登録されているアプリケーションのみを実行、または信頼しないリストに登録されているアプリケーションをブロックする技術です。アプリケーションコントロール機能の設定に役立つように、実行プログラムの一覧作成機能のほか、カスタムカテゴリを定義する機能を追加しました。こうした機能により、非常に広範な脅威に対する効果的な保護が可能になります。

第2に、ランサムウェア対策機能を強化し、ランサムウェアをふるまいで検知するようにしました。

当社はまた、かなりの割合のLinuxマシンが、オフィスで稼働する物理マシンではなく、クラウドサーバーであることを認識しています。さらに、コンテナー化テクノロジーの発展により、コンテナー内でアプリケーションを実行可能になりました。そのため拡張性に関する問題を解決可能となり、アプリケーションの安定性が向上し、演算リソースの効率が改善されています。そこで当社が重点を置いたのは、このソリューションのパブリッククラウドへ展開し、コンテナープラットフォーム(Docker、Podman、Cri-O、Runc)を保護するシナリオです。例えば、脅威が存在するコンテナーを見つけ出して悪意あるファイルのパスを指定する(ランタイム環境で)、起動中のコンテナーに対する脅威検知モード。あるいは、ローカルおよびリポジトリ内のコンテナーイメージをオンデマンドでチェックするサービス。後者のシナリオでは、Dockerコンテナーの内部でKaspersky Endpoint Security for Linuxを起動し、ほかのコンテナーをスキャンして脅威の有無を確認することが可能です。スキャンには、CI/CDパイプラインなどにおけるコンテナーイメージのスキャンタスクを自動化する、RESTful APIが使用されます。

また、サーバーの保護の管理や、Microsoft Azure、AWS、Google Cloud、Yandex Cloudといったパブリッククラウドのコンテナーの負荷の管理が、複数の方法で行えるようになりました。第1の方法はコンソールを通じた管理で、社内のデータセンターでも、パブリッククラウドでも可能です。第2の方法は、Kaspersky Security Center Cloud Consoleを通じた管理です。導入とサポートを当社が担当するため、インフラ保護の管理に集中することができます。

Kaspersky Endpoint Security for Linuxは、Kaspersky Hybrid Cloudに含まれています。