(DarkReading)Linuxランサムウェアが重要インフラに重大な脅威をもたらす
以下はDark Readingのサイトの記事の翻訳です。
Linuxディストリビューションを実行している組織は、ランサムウェア攻撃からシステムを守る準備をする必要がある。回復力を確保するためのステップと、アクセス制御などの基本的なことが、大きな混乱を減らす。
ジョン・ミラー
CEO兼共同創設者、Halcyon
2023年7月18日
Linuxシステムは、わが国の重要インフラの大部分を含む、最も重要なオペレーションの多くを裏で動かしており、現在、より多くのランサムウェアグループがLinuxバージョンを導入している。これらのシステムがランサムウェア攻撃によって中断された場合、大惨事を引き起こす可能性がある。
これらのシステムに対するランサムウェア攻撃は、コロニアル・パイプラインの混乱をほんのささいな出来事のように見せる可能性があるため、私たちはこの急速に拡大する脅威に対処するために必要な準備をすべて行っておく必要がある。残念ながら、このことが今日のランサムウェア・ギャング(その多くは無限のリソースを持つ国家に所属している)にとって、Linuxをさらに魅力的なものにしている。
なぜLinux?
ほとんどの人はLinuxに馴染みがないか、Linuxが日常生活にどれだけ影響を及ぼしているかを十分に理解していない。Linuxオペレーティング・システムはデスクトップの3%未満しか稼働していないのに対し、Windowsは約80%で稼働している。Linuxはフロントオフィスや家庭であまり目にすることがないため、Linuxの脅威はWindowsに影響を与えるものほど注目されない。
ほとんどの人が知らないのは、Linuxはウェブ・サーバーの約80%を動かし、エネルギーや製造業などの分野で使用される、制約のある組み込み機器やIoT機器用の最も一般的なオペレーティング・システムだということだ。Linuxはまた、米国政府や軍のネットワーク、金融・銀行システムのほとんどを動かし、インターネットのバックボーンを動かしている。
さらにLinuxは、ほとんどの組織のデータベース・サーバー、ファイル・サーバー、電子メール・サーバーを動かしている。LinuxはITスタックを統合し、ネットワークの管理を容易にする。そのため、攻撃者がLinux環境にアクセスした場合、組織の最も重要なシステムとデータにアクセスできることになる。
Linuxはデスクトップやラップトップでの知名度が低く、市場シェアも小さいため、Linuxの防御は後回しにされがちだ。実際、ほとんどの端末向けセキュリティ・ソリューションはLinuxをカバーしていないため、選択肢は少ない。そのため、Linuxシステムの防御は大きな課題となっている。
Linuxランサムウェア
2022年、Linuxシステムを標的にしたランサムウェア攻撃は前年から75%増加した。ランサムウェア・ギャングがLinuxバージョンを導入するペースは加速しており、現在ではConti、LockBit、RansomEXX、Revil、Hiveといった最も悪名高いギャングからの攻撃が発生している。また、Black Basta、IceFire、HelloKitty、BlackMatter、AvosLockerのようなグループがLinuxの機能を追加するなど、あまり知られていない新興の脅威行為者もLinuxに焦点を当てている。
では、なぜ突然Linuxサーバーに注目するようになったのだろうか?攻撃者がLinuxサーバーへの関心を高めているのには、いくつかの理由がある。すなわち、Linuxサーバーを混乱させることは、多くの苦痛を与える可能性があり、攻撃者は、より多くの苦痛が、より高い身代金要求によって、より多くのドルを彼らのポケットに入れることにつながることを知っている。
Linuxシステムの「常時稼動、常時利用可能」という性質は、脅威行為者にとって大きな標的となり、Linuxシステムを侵害することは、標的となった組織のネットワーク全体に横展開するための戦略的な橋頭堡を提供する。また、Linuxはオープンソースであるため、攻撃者はLinuxシステムがどのように実行されているかをより深く理解することができ、攻撃のカスタマイズに先手を打つことができる。
また、Linuxはカスタマイズ性が高いため、大規模なネットワーク環境に適したオペレーティング・システムとなっている。つまり、脅威行為者は、一度Linux端末への永続的なアクセス権を獲得すれば、ネットワークをかなりのレベルでコントロールすることができ、ネットワークへの侵入を進めるための強力なネットワーク・ツールの数々を手に入れることができるのだ。
今こそ準備の時だ
ここで重要なことは、重要なLinuxディストリビューションを実行している組織は、最近までランサムウェアに狙われることがほとんどなかったこれらのシステムを守る準備を始めるべきだということだ。Linuxシステムを保護できるセキュリティ・ソリューションの選択肢は市場にほとんどなく、ランサムウェアの阻止に特化した専用ソリューションもない。
ランサムウェア攻撃後の組織の回復力を確保するための具体的な対策は、組織の業務内容によって異なる。一般的に、組織はランサムウェア攻撃に備えて、少なくとも以下のような基本的な対策を講じる必要がある:
- エンドポイントの保護: エンドポイントプロテクション:既存のエンドポイントプロテクションプラットフォーム(EPP/DR/XDR)とともにランサムウェア対策ソリューションを導入し、ランサムウェアに特化した適用範囲のギャップを埋める。
- パッチ管理: すべてのソフトウェアとオペレーティング・システムを常にアップデートし、パッチを適用する。
- データのバックアップ: 重要なデータをオフサイトにバックアップし、ランサムウェア攻撃時の破損から保護する。
- アクセス制御: ネットワークのセグメンテーションと最小権限(ゼロトラスト)のポリシーを導入する。
- 意識向上: 従業員意識向上プログラムにより、危険な行動に対する教育を行い、フィッシング手法の回避について指導する。
- レジリエンス・テスト: ランサムウェア攻撃をシミュレートしたソリューションを定期的にテストし、標的となるシステムの効果的な検出、防止、対応、完全復旧を確認する。
- 手順テスト: 定期的に模擬演習を実施し、すべての関係者が常に攻撃に対応できるように準備する。
Linuxシステムを標的にした攻撃は、これまでのランサムウェア攻撃の規模をはるかに超える深刻な混乱を引き起こす可能性がある。Linuxシステムを守る努力を倍増させなければ、壊滅的な結果を招くかもしれない。しかし、今準備をすることで、大規模な混乱の脅威とその潜在的な影響を減らすことができる。
