Last Updated on 2025-08-04 10:22 by まお
サイバーセキュリティ企業Nextron Systemsの研究者Pierre-Henri Pezier氏は2025年8月1日、1年間検出を回避し続けたLinuxバックドア「Plague」を発見したと発表した。
この脅威は2024年7月29日以降VirusTotalに複数のサンプルがアップロードされたが、アンチマルウェアエンジンによる検出は一度もなされなかった。
Plagueは悪意のあるPAM(プラガブル認証モジュール)として構築され、攻撃者がシステム認証を静かにバイパスしSSHアクセスを持続的に獲得することを可能にする。PAMはLinuxおよびUNIXベースシステムでアプリケーションやサービスへのユーザー認証を管理する共有ライブラリのスイートである。
このマルウェアは4つの主要機能を持つ。静的認証情報による秘密アクセス、アンチデバッグと文字列難読化による分析・リバースエンジニアリング耐性、そしてSSHセッション証跡の消去による強化されたステルス性である。
SSH_CONNECTIONやSSH_CLIENTなどの環境変数をunsetenvで解除し、HISTFILEを/dev/nullにリダイレクトしてシェルコマンドのログ記録を防ぎ、監査証跡を残さない。
From: 
New ‘Plague’ PAM Backdoor Exposes Critical Linux Systems to Silent Credential Theft
【編集部解説】
PAM(プラガブル認証モジュール)とは、LinuxやUNIXシステムにおいて認証機能を提供する基盤的なコンポーネントです。このシステムは「プラガブル」つまり着脱可能な設計により、さまざまな認証方式を柔軟にサポートできます。しかし、この柔軟性がまさに今回の脅威の温床となってしまいました。
PlagueがPAMを標的にした理由は戦略的です。PAMモジュールは特権認証プロセスにロードされるため、一度侵入に成功すれば、ユーザーの認証情報を直接盗み取り、認証チェックをバイパスできます。まさにシステムの心臓部に直接アクセスする攻撃手法なのです。
この攻撃の技術的洗練度は異常です。Plagueは段階的に進化する難読化手法を用いており、初期サンプルは単純なXORベースの暗号化から始まり、後のバージョンではKSA(Key Schedule Algorithm)とPRGA(Pseudo-Random Generation Algorithm)の複合手法を採用。さらに最新版ではDRBG(Deterministic Random Bit Generator)層まで実装されています。これは、攻撃者がセキュリティ研究者とのいたちごっこ(cat-and-mouse game)に勝利し続けるため、継続的に技術を向上させてきた証拠でもあります。
特に驚くべきは、このマルウェアのステルス性です。攻撃者のSSHセッション痕跡を完全に消去するため、SSH_CONNECTIONやSSH_CLIENTといった環境変数を意図的に削除し、HISTFILEを/dev/nullにリダイレクトしてコマンド履歴の記録を防いでいます。これにより、システム管理者が侵入に気づく可能性を極限まで下げているのです。
この脅威の最も憂慮すべき側面は、検出の困難さです。VirusTotalに66のアンチウイルスエンジンが存在するにもかかわらず、2024年7月から2025年3月にかけてアップロードされた7つのサンプルが、1つも悪意あるものとして検出されませんでした。これは現在の検出技術に根本的な盲点があることを意味します。
企業への影響は深刻です。LinuxサーバーはWebサービス、データベース、クラウドインフラの基盤として広く使用されているため、Plagueの侵入により、機密データの流出、システムの完全性の侵害、長期間にわたる潜伏による継続的な被害が懸念されます。特に、システムアップデートを経ても生き残る持続性は、一度感染すると根絶が極めて困難であることを示しています。
この事案は、従来のシグネチャベースの検出手法の限界を露呈しました。今後は、YARAルールを用いた行動分析や、PAMモジュールの整合性監視といったプロアクティブな脅威ハンティング手法の重要性が高まることでしょう。また、システムの基盤コンポーネントに対する監視強化も急務となっています。
サイバーセキュリティ業界にとって、Plagueは新たなパラダイムシフトの始まりを告げる存在かもしれません。攻撃者が検出回避技術を高度化させる中、防御側も従来の手法を見直し、より高度な検出機能の開発に取り組む必要があります。この技術的軍拡競争は、今後も激化していくことが予想されます。
【用語解説】
PAM(プラガブル認証モジュール)
LinuxやUNIXベースシステムにおいて、アプリケーションとサービスへのユーザー認証を管理する共有ライブラリスイートである。モジュラー設計により、アプリケーションコードを変更することなく認証方式を動的に追加、削除、修正することが可能だ。
SSH(Secure Shell)
ネットワーク上でリモートコンピュータに安全に接続するための暗号化通信プロトコルである。Linuxサーバーの管理において標準的に使用され、認証情報やデータを暗号化して送受信する。
VirusTotal
ファイルやURLの悪意の有無を複数のアンチウイルスエンジンで一括検査できるオンラインサービスである。現在66のアンチウイルスエンジンを使用し、マルウェア解析において業界標準のプラットフォームとして利用されている。
YARAルール
マルウェアの特徴を記述するパターンマッチング言語である。バイナリやメモリ内の特定のパターンを検出し、セキュリティ研究者や脅威ハンティングにおいて広く使用される。
KSA/PRGA
暗号学におけるRC4暗号の構成要素である。KSA(Key Schedule Algorithm)は初期化処理、PRGA(Pseudo-Random Generation Algorithm)は疑似乱数生成を行う。Plagueはこれらを難読化に応用している。
DRBG(Deterministic Random Bit Generator)
暗号学的に安全な疑似乱数生成器の一種である。予測困難な乱数を生成し、暗号化や認証において使用される。Plagueの最新版では追加の難読化層として実装されている。
【参考リンク】
Nextron Systems(外部)
サイバーセキュリティソリューションを提供するドイツの企業。THOR APTスキャナーなど高度な脅威検出ツールを開発。
Red Hat – Pluggable Authentication Modules(外部)
Red HatによるPAMの公式解説記事。PAMフレームワークの基本概念とセキュリティベストプラクティスを詳述。
OpenSSH – Client Applications(外部)
OpenSSHクライアントアプリケーションの包括的技術文書。SSH環境変数の役割と動作について詳しく解説。
【参考記事】
Plague: A Newly Discovered PAM-Based Backdoor for Linux(外部)
Nextron Systems公式ブログのPlague詳細分析レポート。7つのサンプル解析と検出手法を包括的に解説。
Stealth in 100 Lines: Analyzing PAM Backdoors in Linux(外部)
PAMバックドア全般を分析した記事。100行程度のコードで実現される認証バイパス手法について詳細解説。
【編集部後記】
今回のPlague事案を受けて、皆さんはご自身が管理されるLinuxサーバーのセキュリティについて、どのような対策を取られていますでしょうか。特にPAMモジュールの監視は盲点になりがちかもしれません。
私たち編集部も、従来のアンチウイルスソフトだけでは検出困難な脅威が存在する現実に改めて驚かされました。YARAルールを活用した脅威ハンティングや、システムログの詳細な分析など、新しいアプローチが求められる時代なのかもしれませんね。
皆さんの組織では、このような高度な脅威に対してどのような準備をされているのでしょうか。また、システム基盤の監視において、見落としがちなポイントがあれば、ぜひお聞かせください。一緒に学び合えればと思います。
