Linuxにおけるマルウェア

本項LinuxにおけるマルウェアではLinuxを対象にしたウイルス、トロイの木馬、コンピュータワームといったマルウェア、および対策ソフトウェアについて解説する。 LinuxやUnix系オペレーティングシステム (OS) はセキュリティに優れていると考えられているが^[1]、当然ながらマルウェアの問題はある。

Linuxは、いまだにMicrosoft Windowsが直面しているようなマルウェアの氾濫という脅威に晒されていない。マルウェアがルート権限を取得できないことと、Linuxの脆弱性の発見に対する迅速なアップデートによるものだと考えられている。^[2]

とはいえ、Linux向けにかかれたマルウェアは増加していて、2005年から2006年にかけて422から863と倍になったとのことである。^[3] Windows向けのウイルスは約114000でLinux向けのウイルスは、Windowsウイルスの総数の0.76%にあたる。

Linux のかかえる問題

Linuxのマルウェアについて、Kaspersky Labのシニア・テクニカル・コンサルタントShane Coursenは以下のように述べている。

Linuxにおけるマルウェアの発展は、単純にLinux、特にデスクトップOSとしてのLinuxの人気が高まったことに起因する。 ... OSの利用の拡大は、そのままマルウェア製作者の興味の拡大に結びつくと言っていい。^[3]

しかし、このような見方は普遍的なものとは言えない。Linuxの熟練システム管理者である Rick Moen は

[そのような議論は] Webサーバや科学技術用ワークステーションといったデスクトップ用途以外の分野におけるUnix支配を無視している。Apache httpd Linux/x86 ウェブサーバを攻略したクラッカーが、恐ろしく多くのプラットフォームをターゲットにした環境での攻撃への応用に簡単に成功し、クラッカーとしての名をはせる、などということがあるだろうか。少なくても、そんなことはまだ起こってない。^[4]

と述べている。

一部のLinuxユーザーは、外部とやり取りするファイルをスキャンするために、Linuxにアンチウイルスソフトを導入する必要性を議論している。例えば、このようなソフトウェアであるClamAVは、Microsoft Office マクロのウイルスや携帯電話むけのウイルスを除去している。^[5]。 SecurityFocus の Scott Granneman は以下のように述べている。

...ある種の Linuxマシンには間違いなくアンチウイルスソフトが必要だ。たとえば、Samba サーバとか NFS サーバには、ウイルスを広める可能性のある、WordやExcelなど仕様がオープンでなくて脆弱性のあるMicrosoftのフォーマットの文書が置かれる。 Linux メールサーバはアンチウイルスソフトを導入して、Outlook や Outlook Express のメールボックスに流れ込む前にウイルスを無害化するようになっているべきだ。^[1]

ウイルスとトロイの木馬

信頼できるソフトウェアレポジトリを使うことでマルウェアを実行する危険は大変小さくなる。なぜならパッケージ・メンテナがマルウェアでないことをチェックしているからである。この場合、安全な経路でファイルのチェックサムをダウンロードするので、古典的な中間者攻撃やARP poisoning、DNS poisoningといった手口は検出できる。電子署名を確認すれば、攻撃コードをかけるのはオリジナルの作者、メンテナ、システム管理権限を持った人（これは鍵やチェックサムファイルの取扱いによって決まる）に限られる。

つまり、トロイの木馬と、ウイルスにたいする欠陥は、完全には信頼できない開発元のソフトウェアを実行した場合と、そのような理由から標準レポジトリとしては外されたようなレポジトリからソフトウェアをインストールして実行することからくることになる。

ワームと個別攻撃

昔から、UnixライクなOSではネットワークからの要求に対応する、SSHやWebサーバといったプログラムの脆弱性が問題になっていた。また、運用に問題があり、弱いパスワードが設定されている場合や、Webサーバでは脆弱性のあるCGIスクリプトが使われている場合もある。これらはワームや個別のターゲットに対する攻撃で問題になる。セキュリティアップデートを怠っていたり、ゼロデイ攻撃の場合、この様な脅威に晒される。

バッファオーバラン

→「ASLR」を参照

古いLinuxのディストリビューションでは、比較的バッファオーバランの問題に弱かった。つまり、プログラムがバッファオーバランに関する脆弱性を抱えていた場合、カーネルによる保護は限定的で、そのプログラムを実行したユーザの権限下では任意のコードを実行することができた。setuid bitを設定することで、非特権ユーザのプログラムの欠陥からルート権限の奪取までできるこのような状況は、攻撃者にとって魅力的な状況だったと言える。この問題は、2009年のASLRのカーネル導入によって大体解決された。

クロスプラットフォームのウイルス

2007年からクロスプラットフォームのウイルスが登場するようになった。このことは、OpenOffice.org のウイルスBad Bunnyの出現によって始まった。

コンピュータセキュリティ企業SymantecのStuart Smithによれば、

「このウイルスが問題なのは、スクリプト環境、拡張、プラグイン、ActiveX、といったものがいかに攻撃されやすいかということを示すからである。機能拡張に夢中になっているソフトウェア・ベンダーでは、いつもこういった問題は忘れられているからね...。クロスプラットフォーム・クロスアプリケーション環境で生き残るマルウェアの能力は、ウェブサイト経由で配布される傾向がさらに強まってきたことと特に関係があると考えている。 このようなウイルスを使って、プラットフォームに関係なくウイルスに感染させるJavaScriptをWebサーバに置くようになるのは時間の問題だろう。」^[6]

とのことである。

ソーシャル・エンジニアリング

一般に、Linuxはソーシャル・エンジニアリングを使った攻撃に弱い。実際GNOME用の視覚効果アプリケーション・テーマファイル配布サイト Gnome-Look.org では2009年12月にDoS攻撃を行うプログラムを仕掛けたスクリーンセーバが発見された。^[7]

アンチウイルスソフト

ClamAVがGUI・ClamTkでUbuntu 8.04 Hardy Heron上でスキャンをしているところ

サーバ向けを中心として、以下のようなソフトウェアがある。

• AVG Anti-Virus (商用・フリーウェア)
• Avira (商用・フリーウェア)
• BitDefender (商用・フリーウェア)
• ClamAV (オープンソース)^[8]
• Dr.Web (商用) ^[9]
• ESET (商用)^[10][11][12]
• F-Secure Linux (商用)
• Kaspersky Linux Security (商用)^[13]
• Linux Malware Detect (オープンソース)^[14]
• McAfee VirusScan Enterprise for Linux (商用)^[15]
• Panda Security for Linux (商用)^[16]
• rkhunter (オープンソース)^[17]
• Sophos (商用)
• Symantec AntiVirus for Linux (商用)^[18]
• Trend Micro ServerProtect for Linux (商用)

マルウェアの一覧

以下にLinuxのマルウェアを挙げる。ただし、これらは基本的に過去のマルウェアのリストであり、実際の脅威は今後新しく作られるマルウェアや、新しく発見された欠陥やマルウェアに利用されてこなかったような欠陥を突く攻撃であることに注意されたい。

トロイの木馬

• Kaiten - Linux.Backdoor.Kaiten trojan horse^[19]
• Rexob - Linux.Backdoor.Rexob trojan^[20]
• Waterfall screensaver backdoor - on gnome-look.org^[21]
• Droiddream^[22]

ウイルス

42 [23][24] Arches [25] Alaeda - Virus.Linux.Alaeda[26] Bad Bunny - Perl.Badbunny[6][27] Binom - Linux/Binom[28] Bliss - requires root privileges Brundle[29] Bukowski[30] Caveat [31][32] Coin [33][34] Diesel - Virus.Linux.Diesel.962[35] Hasher [36][37] Kagob a - Virus.Linux.Kagob.a[38] Kagob b - Virus.Linux.Kagob.b[39] Lacrimae (aka Crimea) [40][41]

MetaPHOR (also known as Simile)[42] Nuxbee - Virus.Linux.Nuxbee.1403[43] OSF.8759 PiLoT[44][45] Podloso - Linux.Podloso (The iPod virus)[46][47] RELx [48] Rike - Virus.Linux.Rike.1627[49] RST - Virus.Linux.RST.a[50] (known for infecting Korean release of Mozilla Suite 1.7.6 and Thunderbird 1.0.2 in September 2005[51]) Satyr - Virus.Linux.Satyr.a[52] Staog - obsoleted by updates Vit - Virus.Linux.Vit.4096[53] Winter - Virus.Linux.Winter.341[54] Winux (also known as Lindose and PEElf)[55] Wit virus[56] ZipWorm - Virus.Linux.ZipWorm[57]

コンピューターワーム

Adm - Net-Worm.Linux.Adm[58] Adore[59] Cheese - Net-Worm.Linux.Cheese[60] Devnull Kork[61] Linux/Lion

Linux/Lupper.worm[62] Mighty - Net-Worm.Linux.Mighty[63] Millen - Linux.Millen.Worm[64] Ramen worm - targeted only Red Hat Linux distributions versions 6.2 and 7.0 Slapper[65] SSH Bruteforce[66]