マルウェアKinsing、Apache Tomcatサーバに新たな手法を使って潜伏：セキュリティニュースアラート

TenableはマルウェアKinsingが新しい高度なステルステクニックを使ってApache Tomcatサーバに潜伏していると報じた。KinsingはLinuxクラウドインフラを標的とし、バックドアや暗号資産のマイニング機能を仕掛けることで知られている。

[後藤大地，有限会社オングス]

　Tenable Network Security Japanは2024年5月23日、マルウェア「Kinsing」が新しい高度なステルステクニックを使って「Apache Tomcat」サーバに潜伏していることを発見したと発表した。Kinsingは「Linux」系のクラウドインフラを標的にすることで知られているマルウェアで、特にここ数年で認知度が上がっている。

1年間誰にも気付かれずに潜伏、Kinsingの新たなステルステクニックとは？

　KinsingマルウェアファミリーはLinux系のクラウドインフラを標的として不正アクセスを試み、最終的に侵入先のシステムにバックドアや暗号資産のマイニング処理機能（クリプトマイナー）を仕掛けることで知られている。下準備が整うとクラウドインフラのリソースを使ってクリプトマイニングを実行するため、ユーザーはサーバの稼働コスト増加やパフォーマンスの低下などの影響を受ける。

　今回Tenableのクラウドセキュリティ研究チームは、KinsingがApache Tomcatサーバを攻撃していることを発見した。マニュアルページのパスといったように一見すると問題がないように見えるディレクトリなどにファイルを紛れ込ませるという新しいテクニックを使って身を隠し、永続的に寄生していたという。

　Tenableのアリ・エイタン氏（リサーチマネージャー）は「クラウドでクリプトマイニングを実行することは、クラウドプラットフォームの規模と柔軟性が拡大されて可能になった最近の傾向です。従来のオンプレミスのインフラと異なり、クラウドインフラではクリプトマイニングを実行するリソースを素早く配備できるので、攻撃者にとって悪用しやすい標的となっています。この例では、単一の環境内でKinsingに感染したサーバが複数台検出されましたが、深刻な脆弱（ぜいじゃく）性のあるApache Tomcatのサーバがそのうちの1台でした」と述べている。

　Tenableは「最近、クラウドプラットフォームのスケーラビリティと柔軟性を原動力としてクラウドクリプトマイニングが新たなトレンドとなっている」と指摘している。クラウドインフラは攻撃者がクリプトマイニング用のリソースを迅速に展開でき、悪用が容易であることもその理由の一つになっている。

　同社の研究チームは、攻撃者がマニュアルパスにファイルを紛れ込ませてセキュリティソフトウェアによる検出を回避していたとし、ほぼ1年間誰にも気付かれることなくアクティブになっていたと報告した。検出されたファイル自体は2022年末に中国で初めて観測されたものであり、今回のケースでは2023年半ばに仕込まれていたことが確認されている。