高性能なマルウェア「Pygmy Goat」に注意 英当局が詳細情報と対策を公開：セキュリティニュースアラート

NCSCは「Pygmy Goat」と呼ばれるマルウェアの詳細を発表した。Sophos XG Firewallを通じたバックドアアクセスの提供や複数OSでの動作、C2通信の隠密性などの特徴を持つ高性能なマルウェアとされているため注意が必要だ。

[後藤大地，有限会社オングス]

　英国立サイバーセキュリティセンター（NCSC）は2024年10月22日（現地時間）、「Pygmy Goat」と呼ばれるマルウェアの詳細情報を公開した。このマルウェアは特定の業界や個人を狙うサイバー攻撃において、情報窃取やシステム操作の手段として利用されている。

高性能なマルウェア「Pygmy Goat」に注意　感染を防ぐための4つの対策

　Pygmy Goatは「Sophos XG Firewall」で発見されたマルウェアであり、ターゲットデバイスに不正アクセスを可能にするバックドアを仕掛ける。このマルウェアは「LD_PRELOAD」環境変数を使用してsshd（SSHデーモン）プロセスに自身をロードし、「accept」関数をフックすることでリモートシェルの取得やパケットキャプチャー、cronタスク作成、リバースSOCKSプロキシサーバの設定など、多様な操作を実行する。

　さらにコマンド＆コントロール（C2）サーバとの通信において暗号化プロトコルを使用し、ネットワーク監視システムにおける通信内容把握を難しいものにしている。加えて、Pygmy Goatは通信において複数のプロトコルやポートを活用し、通常のネットワーク活動を偽装して検出を困難なものにしている。この手法によってサイバー攻撃者は長期間にわたり感染端末との通信を維持しやすくなり、標的となる組織への侵入や情報漏えいのリスクを増大させている。

　同マルウェアは複数のプラットフォームに対応することで攻撃範囲を広げ、ターゲットとなる組織や個人の環境に依存せずに感染を広げるという特徴がある。「Windows」「macOS」「Linux」といった主要なOSで動作する他、各プラットフォームに特化したバリエーションが用意されている。

　NCSCはPygmy Goatに対する主な防御策として次の項目を挙げている。

• 感染を防ぐために、使用しているソフトウェアやシステムの脆弱（ぜいじゃく）性に対して迅速に修正パッチを適用する
• アクセス制御を強化する。特権ユーザーのアクセスを限定し、必要最低限の権限のみを付与することで、サイバー攻撃者がシステム内で自由に動き回ることを防止する。また、SSHアクセスやリモートアクセスの設定を見直し、二要素認証などの追加の認証手段を導入する
• 異常な通信を監視する。C2サーバとの通信など通常とは異なる通信パターンを検知する監視システムを導入し、異常なトラフィックが発生した場合には即座に対応する体制を整える
• マルウェア対策ツールを導入するとともに、職員のセキュリティ意識を向上させる組織内の職員への定期的なセキュリティ教育を実施する。エンドポイント保護ソフトウェアを活用し、定期的なスキャンで潜在的な脅威を排除するとともに、職員がフィッシングメールや不審なリンクに注意するよう教育を実施し、人的要因による感染リスクを低減する

　NCSCはPygmy Goatに対して組織全体での対策強化を呼びかけている。特にこのマルウェアは巧妙な隠蔽（いんぺい）手法や複数の感染経路を使っているため、従来の防御手段だけでは十分ではないと警鐘を鳴らしている。また、脆弱性を悪用する攻撃手法に対して迅速なパッチの適用と、異常通信の監視の徹底が有効な対策であると呼びかけている。