NEWS

ニュース | 最新のニュースをお届けします

Linuxルーターを狙うワーム「ムース」がSNSをむさぼり尽くす

この記事をシェア

この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト
「We Live Security」の記事を基に、日本向けの解説を加えて編集したものです。

ペンギンをマスコット・シンボルとしているLinuxが今「ムース」(=ヘラジカ)という名のワームの攻撃を受けている。SNSの「フォロー」や「いいね」を勝手に増やすことで利益を得ている詐欺師とそれに加担している人。こうした活動はSNSの価値を台無しにしかねない。


*「ムース」(Moose)は英語で「ヘラジカ」を意味する。
 

ESETでは2015年5月26日にLinuxルーターに感染してSNS詐欺を働く新たなワームに「Linuxムース」と名をつけて分析を行い、以下の研究レポートを公開しました。

Dissecting Linux/Moose: The Analysis of a Linux Router-based Worm Hungry for Social Networks By Olivier Bilodeau & Thomas Dupuy, May 2015

新種ワーム「Linuxムース」は、乗っ取られた犠牲者のインターネット接続を悪用してポストへの「いいね」、ページの「ビュー」、他のアカウントの「フォロー」を勝手に行うのが特徴です。

このワームはLinuxベースのルーターだけではなく、他のLinux機器にも感染します。また、ルーターの限られたリソースを用いているので、競合するマルウェアを探し出して除去します。また、他のルーターを見つけて感染させることにも精力的です。

ESETによるボットネットの監視の結果によれば、この脅威「Linuxムース」の感染の仕組みは以下のとおりです。
 

マルウェアを仕掛ける人物を「オペレーター」と呼びます。この「オペレーター」がLinuxルーターに「ムース・ワーム」を仕掛けたとします。そして、そこに被害者となるユーザーが何も知らずにいつも通りSNSサイトを訪問します。するとこのワームは暗号化されていないHTTPクッキーを盗み出し、マルウェアに組み込まれているSOCKSプロキシサーバーを経由して、オペレーターのもとに送信します。すると本人(被害者)が操作していないにもかかわらずこのクッキーを悪用してオペレーターはSNSサイトで「フォロー」や「いいね」をクリックすることができるようになります。

つまりこのボットネットのオペレーターは、SNSの不正を行うことでそれなりの収益を上げているのです。

一例として、マルウェアによって操作されたプロキシを経由するHTTP要求の様子をお見せしましょう。
 

 

ネットワーク分析ツール「Wireshark」でHTTPのトラフィックをみると「ロケーション」のヘッダにユーザー名を読みとることができます(黄色のラインマーカー部分)。

また、ある一つの感染ルーターからSNSサイトに対する要求は、次のグラフのような変化がありました。

 

2015年4月30日にSNSのプロキシ要求数が急上昇し、数日間高い数値を示しました。また、ボットネットのトラフィックもほぼ同じ時期に増加が見られました。

ESETが調査した結果、攻撃を受けたSNSは以下のとおりです。Twitter/Vineが約半数を占め、Instagramも同程度に悪用されたことが分かります。
 

 

「Linuxムース」による詐欺が行われていることが確認できたSNSサイトは、以下の通りです。

Fotki (Yandex)
Instagram (Facebook)
Live (Microsoft)
Soundcloud
Twitter
Vine
Yahoo!
YouTube (Google)

なおこのワームは、ルーターにある脆弱性を狙うものではありません。もっとシンプルに、簡単に破ることができるような安易なログイン認証の設定を行っている機器を探し出しています。

したがってルーター以外の機器もまた、このワームの影響を受ける恐れがあります。たとえば輸液ポンプのような医療機器でさえ「Linuxムース」に感染する可能性があります。

とはいえ、まずはルーターが攻撃されることになるでしょう。すでに脆弱性が確認されている以下のルーターは特に注意が必要です。

Actiontec
Hik Vision
Netgear
Synology
TP-Link
ZyXEL
Zhone

ESETによる技術レポートには、この「Linuxムース」に関する詳細な分析のほか、自分たちのルーターが怪しいと感じた場合の診断方法やクリーニングの仕方についてまとめられています。そしてもっとも重要なのは、技術レポートには、再感染を避けルーター決めの予防に関する助言が提供されているということです。

しかし多くの人の関心は、「ムース・ワーム」が一体どのような目的で使われているのかではないでしょうか。

この点についてESETの研究員が調査したところ、「ムース・ワーム」は、Instagramのようなサイトに偽のアカウントを作成し、自動的にユーザーの「フォロー」を行っていました。

多くの場合「フォロー」数は急増することなく数日かけて注意深く行われます。これはおそらく疑わしいふるまいを特定するルーターに設計された自動警告システムが作動しないように設定しているからだと思われます。
 

 

しかし残念なことに、裏側でこうした不正行為が行われていたとしても、個人であれ企業組織であれ、SNSにおける評価が高まっているのならば、これ以上深く追求しない可能性が大いにあります。

アップロードした動画の「視聴」数、Twitterの「フォロー」数、Facebookの「いいね」の数が減ってしまうようなマルウェアであれば、誰もが大騒ぎするのかもしれませんが、逆の場合については、あまり問題視することがないように思えます。

とはいえ、こうしたSNS上での詐欺が横行しているということに目をつぶってはなりません。場合によっては、こうしたワームを「便利なツール」としてどこかの広告代理店やマーケティング会社が悪用している可能性も考えねばなりません。残念ながらSNS上の「水増し」操作は、本当の「ファン」や本当の「いいね」ではないのです。

しかもこのワームはSNS詐欺だけでなく、DDoS攻撃や傍聴、DNSハイジャックといった他の用途にも応用可能であり、今後の挙動にも注意が必要です。

なお、あらためて述べますが、常に最新のセキュリティパッチをインストールし、インターネットに接続された機器に対してデフォルトのパスワードや簡単に見破られるようなパスワードさえ使用しなければ、かなりガードは堅くなることでしょう。

この記事をシェア

LinuxOSのセキュリティ対策に

マルウェア情報局の
最新情報をチェック!