Webサーバを狙うマルウェア、NginxやLighttpdにも感染

マルウェア「Linux/Cdorked.A」はApacheだけでなくNginxやLighttpdのWebサーバにも感染を広げ、これまでに400を超すWebサーバで感染が確認されているという。

[鈴木聖子，ITmedia]

　Webサーバを改ざんし、悪質サイトにリクエストをリダイレクトするマルウェア「Linux/Cdorked.A」が見つかった問題で、セキュリティ企業のESETは5月7日、このマルウェアがApacheだけでなく、NginxおよびLighttpdのWebサーバにも感染を広げていることが分かったと報告した。

　Linux/Cdorked.Aは侵入先のコンピュータにバックドアを開き、脆弱性悪用ツールキットの「Blackhole」を仕掛けたWebサイトにトラフィックをリダイレクトするなどの機能を持つ。ESETによると、7日の時点で400を超すWebサーバで感染が確認され、人気の高いWebサイトがそのうちの50を占めるという。

　当初はApacheを使ったWebサーバが標的と考えられていたが、システム管理者から寄せられた情報を分析した結果、NginxおよびLighttpdのWebサーバでも感染が見つかった。Cdorked.Aが少なくとも昨年12月から出現していたことも分かったとしている。

　ESETのセキュリティ製品の利用者のうち、このマルウェアが原因で不正なWebサイトにリダイレクトされたユーザーは10万人に上る。ユーザーがApple iPadとiPhoneを使っている場合はBlackholeサイトにはリダイレクトせず、アダルトサイトにリンクを張ったページにリダイレクトするなど、ユーザーが使っているWebブラウザや端末に応じてリダイレクト先を切り替えているという。

　また、ユーザーのIPアドレスがブラックリストに登録されていたり、ブラウザの言語設定が日本語やロシア語など特定の言語だった場合、悪質サイトにはリダイレクトしない設定になっていることも判明。さらに、リダイレクト先のドメインが頻繁に変更されていることから判断すると、この攻撃には乗っ取られたDNSサーバが使われている可能性が大きいといい、Cdorked.Aが身を隠す機能は当初考えていたよりはるかに高度だったとESETは指摘する。

　「このマルウェアがどうやってWebサーバに感染するのかは依然として分かっていない。ただ、自己増殖の機能は持たず、特定のソフトウェアの脆弱性も悪用していないことははっきりしている」とESETは伝えている。