【注意喚起】Linuxマルウェアによる新しい攻撃手法が発見されています
攻撃の概要
サイバーセキュリティ企業のTrellix社が2025年8月22日に発表した調査報告にて、新しい攻撃タイプのLinuxマルウェアが発見されたことが報告されています。この攻撃手法は、これまでにない巧妙な手法を使って、Linuxシステムに侵入することが判明しています。
攻撃の仕組み
1. 攻撃の始まり
* 攻撃者は、「美容製品のアンケート調査」を装ったメールを送信します。
* メールには「10元(約200円)の報酬でアンケートに答えませんか?」という内容が書かれており、メール内に「yy.rar」という圧縮ファイルが添付されています。
2. 巧妙な仕掛け
* この圧縮ファイルには、特殊な名前を持つファイルが含まれており、ファイル名自体にマルウェアのコードが埋め込まれています。
* ウイルス対策ソフトは基本的にはファイルの中身をチェックしますが、ファイル名のチェックをしないため影響があります。
3. 感染のきっかけ
* ユーザーがメールに添付されていた圧縮ファイルを解凍するだけでは感染しません。
* しかし、Linuxの管理者が自動化されたスクリプト(ファイル一覧を表示するプログラム等)を実行すると、このファイル名が悪意のあるコードとして実行されてしまいます。
4. マルウェアの動作
* システムに侵入すると、「VShell」と呼ばれるバックドア型マルウェアが端末にダウンロードされます。
* このマルウェアは、コンピュータのメモリ上でのみ動作し、ハードディスクにファイルを残さないことが知られており、正常なLinuxのシステムプロセス(\[kworker/0:2])に偽装して動作します。
なぜ危険なのか
1. マルウェアの検出が困難
* ファイル名にコードが埋め込まれているため、また動作した場合はメモリ上でのみ動作することでファイルとして保存されないため、痕跡が残りにくく、検出を困難にしています。
2. 幅広い被害
以下のような被害が発生しています。
* 遠隔操作による完全なシステム制御
* ファイルの盗取、削除、アップロード
* 他のシステムへの侵入の足がかりとして利用される可能性
3. 対象システム
* x86、x64、ARM、ARM64、またサーバー、IoTデバイス、クラウド環境など、幅広いLinux環境が標的になっています。
対策
以下の対策を実施することが重要です。
1. 基本的な対策
* 不審なメールの添付ファイルは開かない。
* 信頼できない送信者からのファイルは慎重に扱う。
* システムの定期的なアップデートを実行する。
2. 技術的な対策
* シェルスクリプトでファイル名を処理する際の入力値検証を強化する。
* プロセス監視ツールを導入する。
* 不審なネットワーク通信の監視を行う。
攻撃者について
この攻撃で使用されている「VShell」マルウェアは、過去にも中国系のハッキンググループ(UNC5174など)によって使用されていることが確認されており、国家支援型の攻撃グループが関与している可能性があります。
まとめ
この攻撃は、従来の防御手法では検出が困難な新しい手法を使用しており、特にLinux環境を利用する企業や組織は注意が必要です。システム管理者は、この新しい攻撃手法を理解し、適切な対策を講じることが重要です。
情報源:Trellix Advanced Research Center(2025年8月22日発表)
確認された脅威:VShell Linux バックドア
記載者 : 片山 昌樹(セキュリティ&マネージド事業部)