「Operation Windigo」というコードネームの大規模かつ複雑な攻撃活動について報告したホワイトペーパーが、セキュリティ研究者によって公開されました。この攻撃が始まった 2011 年以来、25,000 台を超える Linux/UNIX サーバーが侵入を受けて、SSH(Secure Shell)資格情報を盗み出された結果、Web にアクセスしたユーザーが悪質なコンテンツにリダイレクトされ、スパム送信を送り付けられるようになりました。cPanel や Linux Foundation といった著名な組織も被害を受けていたことが確認されています。標的となるオペレーティングシステムは、OS X、OpenBSD、FreeBSD、Microsoft Windows、そして Linux の各種ディストリビューションです。発表されたホワイトペーパーによると、Windigo は毎日平均 3,500 万通のスパムメッセージを送信しています。このスパム活動のほかに、700 台以上の Web サーバーが現在、1 日当たりおよそ 50 万の訪問者を悪質なコンテンツにリダイレクトしています。
このホワイトペーパーでは、悪質なコンポーネントとして主に次の 3 つが挙げられています(名前は ESET 社の検出名)。
- Linux/Ebury - サーバーを制御し資格情報を盗み出すために使われる OpenSSH バックドア
- Linux/Cdorked - Web トラフィックのリダイレクトに使われる HTTP バックドア
- Perl/Calfbot - スパムの送信に使われる Perl スクリプト
悪質な攻撃者による長期的な攻撃活動も、最近では一般的になってきました。適切なリソースを持ち、何らかの動機や欲求があれば、攻撃者は労力に見合った十分な見返りを得ることができます。特定の組織を狙って、重要な情報を選定して盗み出すことを目的とする攻撃もありますが、Operation Windigo の目的は、Web リダイレクト、スパム、ドライブバイダウンロードによる金銭的な利益です。
シマンテックの保護対策
シマンテック製品をお使いのお客様は、以下のシグネチャによって、Operation Windigo で使われているマルウェアから保護されています。
ウイルス対策
- Backdoor.Trojan
- Linux.Cdorked
- Linux.SSHKit
- Linux.SSHKit!gen1
- Trojan.Dropper
- Trojan.Tracur!gen5
- Trojan.Tracur!gen8
侵入防止システム
ESET 社によって確認された Operation Windigo の詳しい内容は、ESET 社のブログで公開されています。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/jaにアクセスしてください。