innovaTopia

ーTech for Human Evolutionー

News Category

AI(人工知能)
量子コンピューター
スペーステクノロジー
サイバーセキュリティ
VR/AR
テクノロジーとエンタメ
チャットボット
ブロックチェーン
半導体
バイオテクノロジー
ニューロテクノロジー
ロボティクス
ヘルスケア
テクノロジーと社会
サステナブル

もっと見る

エネルギー
ナノテクノロジー
メタバース
ドローン
モビリティ
スマート農業
スマート工場
3Dプリンター
デジタルツイン
IoT
エッジコンピューティング
デジタルアイデンティティ
ビッグデータ
クラウドコンピューティング
テクノロジーと経済
未分類

Falco・Tetragon・Microsoft Defenderも回避:ARMOが発見したLinux「io_uring」悪用の新型マルウェア回避手法

Falco・Tetragon・Microsoft Defenderも回避:ARMOが発見したLinux「io_uring」悪用の新型マルウェア回避手法 - innovaTopia - (イノベトピア)

Last Updated on 2025-04-30 08:01 by admin

2025年4月29日、イスラエルのクラウド・Kubernetesセキュリティ企業ARMOは、Linuxカーネルのio_uringインターフェースを悪用することで、主要なLinux向けエンドポイント保護製品(Falco、Tetragon、Microsoft Defenderなど)がシステムコール監視に依存しているため、マルウェアが検知を回避できる「死角」が存在することを発表した。

ARMOは「Curing」と名付けた概念実証プログラムを開発し、io_uringのみを用いることで、これらのセキュリティツールのデフォルト設定では検知されないことを実証した。Tetragonはカスタム設定で検知可能だが、通常設定では検知できない。Falcoは修正に取り組んでおり、Microsoft Defenderは検知機能を実装していると表明している。

io_uringは2019年にLinuxカーネル5.1で導入され、非同期I/Oを効率的に行うためのAPIである。Googleは2023年、io_uring関連の脆弱性に対して約100万ドルのバグ報奨金を支払い、ChromeOSやAndroid、社内サーバーでの利用を制限した。ARMOはio_uringを悪用するマルウェアの検知方法も提案し、CuringのコードをGitHubで公開している。

from:Watch out for any Linux malware sneakily evading syscall-watching antivirus

【編集部解説】

io_uringは、Linuxカーネル5.1以降で導入された非同期I/Oフレームワークです。従来のI/O処理よりも高速かつ効率的なデータ転送を実現する一方で、システムコール監視型のセキュリティ製品にとっては「死角」となり得ることが今回明らかになりました。
多くのEDRやアンチウイルス製品はシステムコールをフックして不審な挙動を検知しますが、io_uring経由の処理はこれをバイパスできるため、攻撃者が既にシステムにアクセスしている場合、マルウェアの検知や活動の追跡が困難になります。

ただし、io_uring自体が権限昇格や侵入を可能にするわけではなく、あくまで「検知回避」の技術です。また、Dockerなど多くのコンテナ環境ではseccompプロファイルによってio_uringがデフォルトで無効化されている場合も多く、全てのLinuxサーバーが即座に危険に晒されているわけではありません。

Googleが2023年にChromeOSやAndroidなどでio_uringの利用を制限したのは、過去に多くの脆弱性が報告され、バグ報奨金だけで約100万ドルを支払ったことが背景にあります。
今後はeBPFやKRSIなど新たな監視技術の導入や、セキュリティ製品側のアップデートが進むことで、io_uring経由の異常挙動も可視化できるようになると期待されます。

この事案は、パフォーマンスとセキュリティのバランス、そして新技術の導入が新たなリスクを生む現実を示しています。運用現場では、不要な機能の無効化やセキュリティ監視体制の見直しが今後より重要になるでしょう。

【用語解説】

io_uring
Linuxカーネル5.1(2019年)で導入された非同期I/O処理API。ユーザー空間とカーネル空間がリングバッファを共有し、高速なI/Oを実現する。

システムコール
アプリケーションがOSの機能を利用するための標準的な呼び出し手段。多くのセキュリティツールはこれを監視する。

Falco
Sysdig社が開発したクラウドネイティブ向けリアルタイムセキュリティ監視ツール。

Tetragon
eBPFベースのKubernetes・Linux向けランタイムセキュリティ&可観測性ツール。

Microsoft Defender
Microsoftが提供する総合セキュリティソリューション。エンドポイント保護や脅威検知を提供。

ARMO
本件でPoC「Curing」を開発したイスラエルのセキュリティ企業。クラウドネイティブ環境向けのセキュリティ自動化・可視化を提供。

【参考リンク】

Falco公式サイト(外部)
クラウドやコンテナの挙動監視に強みを持つリアルタイムセキュリティツールの公式サイト。

Tetragon公式サイト(外部)
eBPFベースでKubernetesやLinuxの挙動を監視できるセキュリティ&可観測性ツール。

ARMO公式サイト(外部)
クラウドネイティブ環境向けのセキュリティ自動化・可視化プラットフォームを提供。

Microsoft Defender公式サイト(外部)
Microsoftによる総合セキュリティ製品群。エンドポイント保護や脅威検知などを提供。

io_uring日本語解説(外部)
io_uringの仕組みやメリットについて日本語で分かりやすく解説した記事。

【参考動画】

【編集部後記】

みなさんは普段、Linuxやクラウドサービスのセキュリティ対策についてどこまで意識されていますか?
今回のような技術の進化が新たなリスクを生む一方で、私たちの暮らしやビジネスの可能性も広げています。
もし「自分ならどう守るか」「どんな活用ができるか」など、感じたことやアイデアがあれば、ぜひSNSでシェアしてみてください。
みなさんの視点や経験が、次のイノベーションのヒントになるかもしれません。

【関連記事】

サイバーセキュリティニュースをinnovaTopiaでもっと読む

投稿者アバター
TaTsu
デジタルの窓口 代表 デジタルなことをまるっとワンストップで解決 #ウェブ解析士 Web制作から運用など何でも来い https://digital-madoguchi.com
自己紹介の全文を表示
ホーム » サイバーセキュリティ » サイバーセキュリティニュース » Falco・Tetragon・Microsoft Defenderも回避:ARMOが発見したLinux「io_uring」悪用の新型マルウェア回避手法

Latest News