過去2年で2万5000台以上のサーバがLinuxを狙うマルウェアの「Ebury」に感染し、Webトラフィックのリダイレクトやマルウェアの大量送信に使われていたことが判明した。セキュリティ企業のESETが3月18日のブログで伝えた。
同社はこの攻撃を「Operation Windigo」と命名し、詳細について解説したホワイトペーパーを公表。攻撃に使われたインフラは全て、マルウェアに感染したサーバでホスティングされていたことが分かったと報告している。
EburyマルウェアはOpenSSHのログイン情報を盗む機能を持ち、Linux、FreeBSD、OpenBSD、OS X、WindowsなどのOSが影響を受ける。感染したサーバ2万5000台のうち、1万台以上はいまだにマルウェアが駆除されていないという。
ESETによれば、感染サーバは1日当たり50万ものWebビジターを悪質なコンテンツにリダイレクトしているほか、現在のインフラを使えば1日3500万通以上のスパムメールを送信できる状態にある。
同社は欧州原子核研究機構(CERN)など各国の組織と連携して被害に遭った組織に連絡を取り、マルウェア感染の事実を知らせて対策を促してきた。
被害組織の中にはLinux Foundationが運営するkernel.orgやサーバ管理ソフトを提供するcPanelなどの大手も含まれていたが、ESETによれば、両組織ともマルウェア駆除を済ませたという。
