アバストがサポートするのは最新のブラウザです。このウェブページのコンテンツを正しく表示するには、ブラウザをアップデートしてください。

自社のビジネスに最適なソリューションをお探しですか?
選択をサポート
Skip to main content
  1. ビジネス向け
  2. リソース
  3. Protection-against-linux-ransomware

Linux ランサムウェアビジネスを保護する方法

ビジネスをランサムウェアから保護することは困難です。特に、さまざまなオペレーティング システムが使用されており、それぞれに独自のレベルのセキュリティとリスクが混在する環境ではなおさらです。従業員が Windows、MacOS、Linux、モバイルの OS を組み合わせて使用している可能性が高い場合、ビジネス セキュリティに一貫性を持たせることは難しくなります。

この記事では、Linux ランサムウェアを取り上げます。Linux ランサムウェアとは何か、Linux が提供するセキュリティの範囲、Linux を実行しているデバイスを標的にするランサムウェアの種類、脅威に対して実行できる保護対策について説明します。

アバスト ビジネス ハブを 30 日間無料でお試しください

どんな規模のビジネスでも、エンタープライズクラスのセキュリティをご利用いただけます。アバスト ビジネス ハブをダウンロードし、30 日間リスクなしでお試しください。

30 日間の無料体験版を試す
青いシャツを着た男性が紙のコーヒーカップを片手に、デスクトップ コンピューターで作業しています。

Linux ランサムウェアとは?

一般的に Linux ランサムウェア とは、Linux オペレーティング システム(Ubuntu や Debian などのディストリビューションを含む)をベースにしたシステムを攻撃することがある種類のマルウェアのことです。この種類の攻撃はデバイスまたはネットワークに侵入し、重要なドキュメントを特定して、それらを暗号化します。多くの場合、初めて攻撃に気づくのは、暗号化されたファイルの復号化を引き換えに支払いを要求するメッセージを受け取ったときです。個人の場合でも恐ろしいことですが、ビジネスでの場合は運営や顧客の信用に取り返しのつかない損害を及ぼす可能性があります。

Linux は安全ですか?

Linux は強力なセキュリティ対策があることで定評があり、ビジネス サーバーの選択肢として人気がありますが、実際はどんなオペレーティング システムもマルウェアの攻撃を完全に防げるわけではありません。マルウェアの性質上、フィッシング、脆弱なパスワードの使用、利用可能なアップデートの更新を怠るなど、人為的なエラーが侵入の原因になることがよくあります。

Linux の利点の 1 つはセキュリティ更新が定期的であるだけでなく、一般的には非常に効果的とされている最高のセキュリティをオペレーティング システムに適用できるという点です。

もう 1 つの利点は、Linux では自動的に制限されているアクセス権が割り当てられ、悪意のあるハッカーがユーザー アカウントにアクセスできるようになっても、安全なデータにアクセスしたり、管理者の権限を得たりすることがほぼ不可能であるということです。

Windows と Mac のオペレーティング システムは Linux よりも広く普及していますが、悪意のある行為者は、Linux はビジネス サーバー用のシステムとして人気があることを知っています。ハッカーは、Linux システムにアクセスすることで、単一のエンドポイントではなく、サーバーにアクセスする可能性が高くなります。このことから、ビジネスでは自己満足に陥らず、ウイルス対策ソフトウェアを使用して攻撃されるリスクを軽減する必要があります。

Linux 上のランサムウェア: 何が起こるか

Linux サーバーを使用しているビジネスでは、Linux ランサムウェアに対する懸念がますます高まっています。疑わしいネットワーク アクティビティや他のレッド フラグを特定できるようになるには、処理を理解していることが重要です。攻撃者からのアプローチはさまざまですが、以下は Linux ランサムウェアによる攻撃の典型的な段階を表しています。

1.脆弱性の悪用

Linux ランサムウェアがネットワークにアクセスして拡散を行うためには、一般的に脆弱性を特定することが必要です。パッチが適用されていないシステム処理やサービス内の不備といった簡単なものも、こういった脆弱性に含まれます。毎日の使用に影響することがなければ、脆弱性は簡単に見過ごされてしまいます。

Linux ランサムウェアの一部の形態はスキャナーを使用し、管理者のアクセス権を使用することができる SQL インジェクションの脆弱性を特定することができます。既知の脆弱性を修正するには、アップデートと修正プログラムを適用することが重要です。

ランサムウェアがコンピューター上のドキュメント フォルダに自身を添付した状態を表している図。

2.定着

ランサムウェアはひとたび侵入すると、悪意のある実行可能ファイル(ワーム、トロイの木馬、ウイルス)のダウンロードを要求し、その後それらをネットワークのローカル ディレクトリに配置します。そしてこの時点から、機能し始めます。ランサムウェア自体に特定のアクセス権を付与したり、ブート時やリカバリー モードで実行する機能を使用したりする場合があります。

場合によっては、ランサムウェアは権限昇格を利用して、特に高いレベルの管理者のみが使用できる機能にアクセスすることができます。このバイパスによって、マルウェアは任意のデータの閲覧や編集が可能になります。

ランサムウェアがネットワークのディレクトリに配置されている状態を表した図。>

3.スキャン

ランサムウェアはシステムをスキャンして、共有フォルダや特定の拡張子を持つファイルを探します。これらのターゲットは事前に決定されており、ドキュメント ファイル(PDF、DOC)、クラウド ストレージまたはネットワーク ストレージに関係するソフトウェアを含む可能性が高くなります。

企業はまだマルウェアに気づいていないかもしれませんが、サーバーには定着しており、すでに身代金要求の対象とするファイルを確保しています。

ランサムウェアがシステムをスキャンして標的にするファイルを特定した状態を表す図。

4.暗号化

Linux システムを攻撃するこの段階で、ランサムウェアは標的ファイルの暗号化バージョンを作成し、元のファイルを削除します。使用される暗号化の種類によっては、これが取り返しのつかないことになります。

多くの暗号化方式はデータの暗号化と復号化に鍵のペアを使用しているので、非対称方式と呼ばれています。通常、一方の鍵は公開され、視認できますが、もう一方の鍵は非公開で作成者のみが保持します。ランサムウェアはサイバー犯罪者のサーバーとコンタクトし、公開鍵を取得して暗号化処理を始めます。

コンピューターのウィンドウで南京錠のイメージと一緒に暗号化されたドキュメントが表示されている図。

この時点でデバイスがネットワークに繋がっていなければ、攻撃者はユーザーがオンラインに戻るのを待ち、ファイルの暗号化も行います。

一般的な暗号化の種類には以下があります。

  • AES – Advanced Encryption Standard (Rijndael)はアメリカ国立標準技術研究所が作成した標準です。鍵は 128 ビット、192 ビットまたは 256 ビットになります(数が大きいほど、暗号化が複雑)。
  • RSA – 1977 年に開発された公開鍵システムです。この名前は、3 人の作成者(Rivest、Shamir、Adleman)の頭文字を取ったものです。通常、1024 ビットまたは 2048 ビットの長さなので、解読が難しくなります。

5.要求

最後の段階で、身代金要求書を使った恐喝の要求が行われます。これは、スタートアップのメッセージ、デスクトップ上に配置されたドキュメント、暗号化されたファイルの場所などで提示されます。通常、身代金要求には支払いの指示が含まれています。一部には期限やカウントダウンが含まれているものもあり、身代金が時間によって増えるのがわかったり、期限内に支払いが行われないとファイルを永久に消去するという脅しをかけたりするものがあります。

この時点で、ランサムウェアはそのタスクを完了します。

左側に暗号化されたドキュメント、右側にランサムウェアの要求とカウントダウンを表した図

Linux ランサムウェアの種類

Tycoon

Tycoon の最初のインスタンスは、2019 年に特定されました。通常これは、中小企業や高等教育機関を攻撃するために使用されます。Linux と Windows デバイスの両方を感染させることができます。

システムのアクセス権は、悪意のある Java 画像ファイルを含む ZIP アーカイブを通じて取得されます。その後、安全でないリモート デスクトップ プロトコルが使用され、Java オブジェクトが実行されるとシステムが暗号化され、身代金要求のメモが残されます。

攻撃では、ビットコインによる支払いに 60 時間の猶予を与えます。場合によっては、金額が毎日増加します。

QNAPCrypt

この攻撃は、Linux ベースのネットワークに接続されているストレージ(NAS)デバイスに焦点を当てます。配布は通常、偽物のアップデートや ZIP アーカイブを含む感染したファイルを通じて行われます。

QNAPCrypt の侵入経路は、SOCKS5 プロキシ(転送中のデータ パケットを保護する VPN 代替手段)で不備のある認証で、検出率は低いです。システムに侵入すると、マルウェアはハッカーのサーバーにビットコイン ウォレットと RSA 公開鍵をリクエストしてから、被害者のデータを暗号化します。

暗号化が完了すると、身代金情報が .txt ファイルに残されます。被害者には身代金支払いを行うための一意のビットコイン ウォレットが渡され、攻撃者は検出を回避することができるようになります。

RansomEXX

近年では RansomEXX (別名 Defrat777)が Linux デバイス上で最も一般的なランサムウェアの形態の 1 つになりました。Windows のマルウェアとして誕生しましたが、Linux サーバーを攻撃するために頻繁に使用されるようになり、特にブラジル政府テキサス州運輸省、チェコ共和国のブルーノ大学病院などに対する攻撃で知られています。

この種類のランサムウェアは「大物狙い」と呼ばれ、大規模な組織や政府を標的として多額の身代金支払いを確保する目的でたびたび使用されています。このマルウェアは複数のエンドポイントを攻撃するのではなく、サーバーに直行し、ファイルのソースへのアクセスを制限するため、Linux サーバーがこの種類の攻撃の主な目標になります。

RansomEXX は通常悪意のある Word ドキュメントを含むメールで配信されます。ドキュメントを開くと、トロイの木馬がユーザーのシステムにダウンロードされ、ファイルを暗号化し、256 ビットの暗号化キーを生成します。その後、そのキーは 1 秒ごとに再暗号化されます。

Erebus

Erebus は Windows ベースのランサムウェアとして 2016 年に初めて確認されました。Linux システムに初めて使用されたのは、2017 年に注目を浴びた 韓国のウェブ ホスティング会社である NAYANA への攻撃です。153 台の Linux サーバー、3,400 以上のビジネス ウェブサイトが影響を受けました。ビットコインで 100 万ドルの身代金が支払われましたが、この金額は当時の最高記録になりました。

Erebus はユーザーが悪意のあるリンクをクリックしたり、感染したメールの添付書類を開いたりすることによって感染します。さらに、偽物のインストーラーなどの悪意のあるソフトウェアからシステムにアクセスすることもできます。

このランサムウェアは、データベース、アーカイブ、ドキュメントなど、暗号化するファイルの種類を幅広くスキャンします。使用される暗号化処理は、3 種類の異なる暗号システム(RSA-2048、AES、RC4)を混合して使用されるため、解読が困難です。また、このランサムウェアはオペレーティング システムのボリューム シャドウ コピーも削除してしまうので、復旧がさらに困難になります。

KillDisk

KillDisk は Linux に適応される前に Windows で始まったもう 1 つのランサムウェアです。Linux バージョンの KillDisk は異なる 64 ビット暗号化キーのセットで各ファイルを暗号化します。その後ブートローダーを上書きしてシステムによる起動を妨げ、その代わりにビットコインでの支払いを要求する身代金要求メモを全画面でユーザーに提示します。

Linux バージョンの KillDisk は、Windows バージョンとは異なる点があります。Linux 攻撃中にデータを解読するために必要なキーが、ローカルに保管されたりサーバーに送られたりすることがないのです。つまり、この暗号化ツールは身代金要求というより破壊を目的として作成された可能性が高いということです。暗号化キーが存在しない場合、ファイルは身代金の支払いに関係なく復元されない可能性が高くなります。

Linux ランサムウェア対策

Linux ランサムウェアは特にビジネス ユーザーにとって増大する脅威です。ランサムウェア攻撃からビジネスを守るために取るべき行動には以下が挙げられます。

  • アップデートを定期的にインストールします。すべてのサーバーとエンドポイントを常に最新の状態に保ちます。セキュリティ パッチとソフトウェア修正プログラムが利用可能になったら、すぐにインストールする必要があります。
  • スタッフへのサイバーセキュリティ研修を実施します。人間によるエラーを最小限にするために、すべてのスタッフがサイバーセキュリティの基礎的なレベルの研修を受けることが不可欠です。アバスト サイバーセキュリティ クイズでスタッフの理解度を把握し、さらにトレーニングで改善できる弱点を特定するのに役立ちます。
  • アクセス権を制限します。ユーザー アカウントへのアクセス権は、ポリシーで最小限にしておく必要があります。ユーザーには、業務の遂行に必要なファイルとアプリケーションへのアクセス権のみを付与します。
  • データをバックアップします。データの安全なバックアップを保持することは、攻撃による潜在的な被害を最小限にするために重要です。
  • セキュリティ戦略を確立します。多くの攻撃は、人間のミスに依存してネットワークへのアクセス権を得ます。このリスクは、スタッフ研修、セキュリティ ソフトウェアの導入、強力なパスワード、安全なメール、エンドポイント セキュリティに関するベスト プラクティスの実施といったセキュリティ戦略の導入によって大幅に軽減することができます。
  • 定期的な点検と脆弱性評価を実施します。システムを定期的に監視し、慎重に評価を行う必要があります。このプロセスの一環としてイベント ログを確認し、不審なアクティビティを特定する必要があります。
  • 対応策を用意します。オフィスにおける火災安全対応策と同じように、ランサムウェア戦略を作成し、攻撃時の対処方法をスタッフに周知徹底します。この目的は、被害を最小限に抑え、スムーズに復旧できるようにするためです。

詳しくは、「Linux サーバーを保護する方法」についての記事をご覧ください。

Linux サーバーのための高度なアンチウイルス

Linux は最高レベルの OS セキュリティを提供しますが、それだけでお使いのビジネス データやサーバーの安全や安心を確保することはできません。Linux 専用のマルウェア対策とエンドポイント プロテクションで会社を保護しましょう。

詳細を見る
閉じる

もうすぐ完了です!

ダウンロードしたファイルをクリックし、指示に従ってインストールを完了します。

ダウンロードを開始中...
注意:ダウンロードが自動的に始まらない場合はここをクリックしてください。
日本語
家庭向け
ビジネス向け
パートナー向け
会社
© 2024 Gen Digital Inc. All rights reserved.
プライバシーポリシー 製品ポリシー 法務 脆弱性を報告 セキュリティに関するお問い合わせ 現代奴隷法に関する声明 特定商取引法に基づく表示 サブスクリプションの詳細