3年も潜伏し続けた凶悪マルウェア、なぜ今まで見つけられなかったのか？：799th Lap

3年も身を潜めていたマルウェアの存在が明らかになり、その調査が進められている。数百台ものLinuxサーバが被害に遭っているという推測もある。そのマルウェアは他と違う、特異な機構を持っているという。

[キーマンズネット]

　多種多様なマルウェアが生まれては駆除するというイタチごっこが続いている。

　マルウェアとセキュリティ対策とのせめぎ合いが続く中で、3年も存在が確認されなかったマルウェアが見つかった。脆弱（ぜいじゃく）性を抱えた数百万台もの「Linux」サーバが不正に利用されたのではと推測されている。そのマルウェアの挙動を調査したところ、特異な機構が見つかった。一体、他のマルウェアとは何が違うのか？

　そのマルウェアの名は「perfctl」。少なくとも2021年から3年もの間Linuxサーバを狙って活動していた。セキュリティ対策をかいくぐる回避機能を備えているため、ほとんど検出されることがなかったという。恐らく数百万台のLinuxサーバが標的になり、数千台がその被害を受けていたのではないかと推測される。

　perfctlを発見したのは、セキュリティ対策企業Aquaの研究部門であるAqua Nautilusだ。同部門の研究チームが2024年10月3日（現地時間）に公式ブログに記事を掲載してその存在を報告した。Tech系メディア「Ars Technica」が記事でまとめて紹介している。

　記事によれば、perfctlはLinuxサーバに存在する設定ミスを悪用して不正にインストールされたとされている。システムへの感染に成功すると、システムのリソースを勝手に使って暗号資産をひそかにマイニングする。マイニングにはオープンソースのマイニングツール「XMRig」が使われ、暗号資産「Monero（XMR）」をマイニングしてはその成果を悪意ある第三者に送信していた。システムリソースを100％使用することもあるというから厄介だ。

　このような凶悪マルウェアがなぜこれまで見つからなかったのだろうか。perfctlは、Linux管理ツールの「perf」とコマンドラインツールで使われる略語「ctl」を組み合わせて命名されたと考えられている。perfctlの実行時は、Linux環境でよくみかけるプロセス名（「httpd」や「sh」など）に偽装したプロセスやファイルが出現する。そのため「何か変だ」とユーザーがシステムを確認したとしても気が付きにくいのだ。

　他にもperfctlは幾つかのルートキットを使ってその存在を隠蔽（いんぺい）していた。ユーザーがシステムにログインした時はマイニングを停止し、XMRigの動作や外部との通信が検出されないようにしていた。外部への通信には一般的な「UNIXドメインソケット」と、匿名通信が可能な「Tor」を併用し、「pcap_loop」関数をフックする。さらに、プロキシジャッキングツールも利用することで外部への不正な通信が察知されにくかったのだという。

　管理者がperfctlのプロセスに関連するファイルを削除しても完全に削除さることはなく、システムを再起動するたびに再びperfctlが起動して稼働する仕組みだ。持続的に稼働可能な仕組みを持ちながらマイニングを続けてきたperfctlがどれほどの暗号資産をマイニングしたかは明らかではないが、脆弱性を抱えた数百万台のLinuxサーバが不正に利用されただろうというのが、研究チームの推測だ。

　研究チームはブログで、次のようにperfctlの検出手段を幾つか挙げている。

• CPU使用率の急上昇を監視する
• /tmp、/usr、/rootに疑わしいファイルがないか確認する
• 予期しない場所でhttpdやshといったプロセスが実行されていないかどうかを確認する・~/.profile、~/.bashrc、/etc/ld.so.preloadなどに不正な変更がないか確認する
• 外部IPアドレスへのTor通信を監視する
• 暗号資産マイニングツールやプロキシジャッキングサービスへのデータ送信を探す

　利用しているLinuxサーバに心配があるならブログを参照して確認するといいだろう。

　長期間にわたって潜伏し暗躍していたマルウェアが白日の下にさらされることになったのは歓迎すべきことだ。できれば完全に対処し、悪意ある攻撃者を不正なマイニングで潤すようなことがないような状況になればいいが。

上司X：　3年間も潜伏していた、なかなかヤバめなマルウェア「perfctl」が発見された、という話だよ。

ブラックピット：　Linuxサーバに忍びこんで暗号資産を勝手にマイニングですか。なんと卑劣な。

上司X：　しかも3年ぐらい見つからなかったというね。

ブラックピット：　しばらく前にRedditにも報告があったみたいですけど、大きな話題にはならなかったんですね。

上司X：　そうなんだよなあ。それだけ隠蔽能力に優れていたマルウェアなんだろう。

ブラックピット：　誰かがログインすると活動を停止して、その間にマイニングですものね。もうなんと卑劣な！

上司X：　個人情報を抜き取るマルウェアも腹が立つが、こうして他人や他社のリソースを奪って私腹を肥やそうとするのはもっとムカつくな。

ブラックピット：　確かにそうですね。マルウェアなんて何らかの利益を求める悪いヤツらの道具なんですから。高い隠蔽性を持つとなれば、卑劣極まりない！　3年もよくもよくも！

上司X：　まあまあ。キミが直接害を被ったわけでもないのに随分怒るじゃないか。気持ちは分からないでもないよ。しかし、その存在が確認されたというだけでも大きな成果と言えるじゃないか。今後は確実な駆除方法と防御方法が明示されることに期待したいものだな。

ブラックピット（本名非公開）

年齢：36歳（独身）
所属：某企業SE（入社6年目）

昔レーサーに憧れ、夢見ていたが断念した経歴を持つ（中学生の時にゲームセンターのレーシングゲームで全国1位を取り、なんとなく自分ならイケる気がしてしまった）。愛車は黒のスカイライン。憧れはGTR。車とF1観戦が趣味。笑いはもっぱらシュールなネタが好き。

上司X（本名なぜか非公開）

年齢：46歳
所属：某企業システム部長（かなりのITベテラン）

中学生のときに秋葉原のBit-INN（ビットイン）で見たTK-80に魅せられITの世界に入る。以来ITひと筋。もともと車が趣味だったが、ブラックピットの影響で、つい最近F1にはまる。愛車はGTR（でも中古らしい）。人懐っこく、面倒見が良い性格。