Linuxカーネルのアーカイブを公開しているKernel.orgが8月にトロイの木馬の侵入を受けたとWebサイト上で発表、Linuxユーザの間に衝撃が走っている。
Kernel.orgが侵入に気づいたのは8月28日のこと。8月12日以前にはすでに侵入されていたと見られており、少なくとも17日間に渡って不正アクセスが行われていたとされる。最初はあるカーネルデベロッパのマシンで確認され、その後、Kernel.orgのサーバ「Hera」「Odin1」でも発見された。侵入者はセキュリティに不備があるユーザのクレデンシャルを利用してHeraへの侵入経路を確保したと見られている。
具体的なクラッキングの形跡は以下のとおり。
- SSH関連のファイル(OpenSSH、OpenSSH Server、OpenSSH Client)が書き換えられた状態で動作していた
- トロイの木馬の起動ファイルがシステムの起動スクリプトに加えられていた
- ユーザのインタラクションがいくつかの攻撃用コードとともに記録されていた
- Xnestをインストールしていないにもかかわらず、Xnestのエラーメッセージが表示された。不審に思ったデベロッパが調べてみたことで、トロイの木馬が発見された
- 開発中だったLinux 3.1-rc2はこのトロイの木馬をブロックしたらしい(どうやってブロックしたのかは不明)
Kernel.orgは言及していないが、今回の攻撃に使われたのは「Phalanx」と呼ばれるセルフインジェクション型のルートキットと見るセキュリティの専門家もいる。
侵入発覚後、Kernel.orgは被害に遭ったマシンをオフラインにしてバックアップを取った後、再インストールを実行している。近日中にはKernel.orgの全マシンを再インストールする予定だという。また、448名のKernel.orgのユーザに対してパスワードやSSHキーの変更など、クレデンシャルの強化を求めている。
Kernel.orgによればソースコードリポジトリへの被害はなく、大きなダメージは今のところなかったという。Kenel.org上にある4万近くのファイルはすべてSHA-1で暗号化されており、またコードの履歴管理はGitで分散して行われているため、仮に侵入者がコードを書き換えたとしても、Gitのチェックをすり抜けることは不可能だとされている。
もっとも関係者は今回の侵入を非常に重く見ており、侵入に至った経緯などをさらに深く調査するとともに、セキュリティ対策をより強固にしていく旨を明らかにしている。