人気のLinuxディストリビューション「Linux Mint」がマルウェアに感染

この記事を公開できるように尽力してきた SophosLabs の Tim Easton に感謝します。

残念なことですが、本記事の見出しは事実です。

しかし、幸い、最悪の事態ではありません。

Linux Mint は、Distrowatch のランキング統計において昨年トップの座を堅守しており、少なくともエンドユーザーにとって非常に人気の高いディストリビューションであることは議論の余地はありません。

Mint は Ubuntu がベースになっており、Ubuntu は Debian を基盤にしていますので、これらの 3 つのディストリビューションが上位を占めているのも、もっともかもしれません。

Mint は、Ubuntu よりもわかりやすく、似て非なるルックアンドフィールを備えた Ubuntu の別バージョンと言えるでしょう。

Linux を新しく利用するユーザーにとって、特に Windows 環境とは勝手が違う Ubuntu のデスクトップや機能重視の Debian とは異なり、Mint は扱いやすいのかもしれません。

私も、低スペックのネットブックで Mint を使用していますが、処理も高速で使いやすいと感じており、使い慣れたビジュアルや機能を備えた Linux を利用したいと考えているユーザーにとって人気が高いのも頷けます。

今回の問題について

Mint の考案者でありプロジェクトリーダーである Clement Lefebvre 氏 (通称 Clem 氏) が迅速に提供した情報によると、以下のような問題が発生しています。

• Mint プロジェクトで使用されている WordPress インストール環境の一部である PHP スクリプトをハッカーが改変した。
• Mint のダウンロードページからダウンロード方法を選択すると、悪意のある PHP スクリプトによって、不正なサイトにユーザーがリダイレクトされる。
• 影響を受けるダウンロードは、Linux Mint 17.3 Cinnamon エディションというバージョンのみである (各エディションのルックアンドフィールは異なっています。MATE、KDE、および Xfce が含まれる他のバージョンもありますが、これらは影響を受けません)。
• この不正なサーバーには、32 ビットと 64 ビットの両方のバージョンの Cinnamon が含まれているが、ハッキングされたのは 64 ビットバージョンのみである。

Clem 氏は、Mint ブログで次のように述べています。

(引用文日本語訳) Q. 影響を受ける Cinnamon のバージョンは何ですか? 32 ビットまたは 64 ビットバージョンですが、それとも両方のバージョンですか?

A. 64 ビットのみが影響を受けます。32 ビットでは感染の痕跡は見つかっていません。感染している 64 ビットのバージョンはブルガリアのサーバーで見つかっています。恐らく、32 ビットバージョンについても今後感染させる予定だったのでしょう。

Clem 氏は「ブルガリアのサーバー」と述べているのは、攻撃者によって悪用されている不正なサイトのIPアドレスのことであり、このサーバーはブルガリアのどこかに配置されています。

このサイバー犯罪者は、実際の Linux Mint リポジトリはハッキングできなかったため、Mint のソースコードのセキュリティは侵害されていません。また、正式な Mint のダウンロード ISO (ディスク イメージ) や正式なダウンロードチェックサムのリストも改変されていません。

あなたが Mint ユーザーであり、、Mint 17.3 Cinnamon ISO を先週末にダウンロードし、ISO のチェックサムを正式に公開されているリストに対して検証せずに、ISO をインストールした場合、ユーザーのコンピュータはマルウェアに感染している可能性が高いです。

更新情報: Linux Mint ブログには最新情報が投稿されており、悪いニュースですが、今回の攻撃によって、Mint のオンラインフォーラムデータベースの情報が盗み出され、ユーザー名、ハッシュされたパスワード、およびユーザープロファイル情報も盗み出されました。さらに悪いことに、個人のプライベートな投稿やメッセージも盗まれています。パスワードは必ず変更してください。他のオンラインアカウントでは使用していないパスワードを必ず選択してください。[2016-02-22T12:30Z]

確認するべきこと

Mint ブログによると、感染を確認する簡単は方法は、/var/lib/man.cy ディレクトリを確認することです。このディレクトリが空である場合、恐らく感染していませんが、何かファイルがある場合には、感染している可能性があります。

SophosLabs は、このマルウェアを Linux/Tsunami-A (別名 Kaiten) として報告しています。

これは比較的古い Linux ボット (つまり ゾンビ) です。

Tsunami は、IRC サーバーに接続し (C&C サーバーに接続する手法は最近のボットではほとんど見られなくなりました。多くのネットワークでは最近 IRC トラフィックをブロックするためです)、サーバーを管理しているサイバー犯罪者からの指示を待機します。

サイバー犯罪者からの命令には、特定の対象に対するサービス拒否 (DoS) 攻撃の開始や、別のマルウェアのダウンロードと実行などがあります。

対策

• 先週末に Mint Cinnamon ISO をダウンロードしていなければ、心配は不要です。
• ISO をダウンロードしたもののインストールしていない場合、ISO を削除するだけで問題を防ぐことができます。
• Mint をすでにインストールしており、先週末にかけてアップデートしている場合 (再インストールを除く)、心配は不要です。
• /var/lib/man.cy ディレクトリにファイルが何もない場合、恐らく心配ありません。

もしも感染している場合には、新しい ISO を入手して、再インストールして、感染したバージョンと置換してください。

ところで、独自の WordPress インストール環境を実行しているのでしたら、この機会に今一度見直してみることをお勧めします。

オペレーティングシステム、WordPress のバージョン、PHP、プラグイン、およびテーマがすべて最新であることを確認して、簡単なセキュリティレビューを行ってください。

もしもの場合に備えることが重要です。

更新情報: Mint オンラインフォーラムデータベースが、今回の攻撃で盗まれており、ユーザー名、ハッシュされたパスワード、ユーザープロファイル情報、個人ユーザーのプライベートな投稿やメッセージも盗まれています。パスワードを変更し、他のオンラインアカウントでは使用していないパスワードを必ず選択してください。[2016-02-22T12:30Z]

Sophos Antivirus for Linux をご活用ください

Sophos Antivirus for Linux は、自宅と職場にあるデスクトップとサーバーで無料で利用できます。

Sophos Antivirus for Linux の詳細については、ソフォスの Web サイトをご覧ください。

---

ツールをインストールせずに、マルウェアを確認する場合には、CD や USB から起動できるスタンドアロンの Linux ベースのマルウェア除去ツールである Sophos Bootable Antivirus (SBAV) も利用できます。

SBAV は、ルートキットや、起動プロセスに影響する他のマルウェアによる干渉を避けることができるため、クリーンブート後の Windows コンピュータのスキャンで優れた効果を発揮します。

---

Linux 環境でサイバー犯罪やマルウェアが問題となっていることを今一つ信じていないユーザーの方は、ソフォスのポッドキャストWhen Penguins Attack (Linux 環境への攻撃)を視聴してください。