新たなLinuxセキュリティ脆弱性:initramfs経由でマルウェア注入の危険
概要
- 2025年7月、ERNWのセキュリティ研究者がLinuxディストリビューションの「重大」な脆弱性を報告。
- Ubuntu 25.04やFedora 42で実証され、OpenSUSE Tumbleweedなど一部ディストリビューションは影響を受けない。
脆弱性の仕組み
- 物理アクセスがある攻撃者が、暗号化パスワード入力画面で何度か誤ったパスワードを入力し、特定のキー操作を行うとデバッグシェルが起動。
- この低レベルのデバッグシェルから、攻撃者はUSBドライブをマウントし、**initramfs(初期RAMファイルシステム)**を改ざん。
- initramfsは署名されていないため、改ざんしてもセキュリティフラグが発動しない。
- 次回、所有者が正しいパスワードで起動すると、悪意あるコードが管理者権限で実行され、データ窃取やリモートアクセス、キーロガー設置などが可能となる。
技術的背景と「盲点」
- これは「バグ」や「設計ミス」ではなく、一部ディストリビューションで利便性のために設けられたデバッグシェルが悪用される“盲点”。
- 本来はトラブル時の復旧用だが、攻撃者にも利用可能。
実害リスクと対象ユーザー
- この攻撃は物理的な端末アクセスが前提のため、「evil maid攻撃」(ホテルの清掃員がゲストのPCを操作する…など)として知られる手法。
- 事前に準備したUSBドライブやスクリプトが必要で、高度な知識と計画性が求められる。
- 一般ユーザーが狙われる可能性は低く、高価値ターゲット(企業・政治・活動家など)向けのリスクが高い。
対策と推奨設定
- 対策は比較的容易:
- システムカーネルパラメータを調整し、パスワード失敗時にデバッグシェルではなく再起動するよう設定変更。
- initramfsの署名やデバッグシェル無効化も有効な追加策。
- Secure Boot、フルディスク暗号化、ブートローダーパスワードも重要だが、initramfsが未署名・デバッグ可能なままだと抜け穴になる。
まとめ・教訓
- UbuntuなどLinuxは基本的に安全だが、「善意の機能」が思わぬ攻撃ベクトルになることに注意が必要。
- 物理アクセスを許さない運用や、システム設定の見直しを推奨。
- 管理者やユーザーは、セキュリティ設定や運用ポリシーの定期的な点検を心がけることが重要。
「便利な機能の裏に潜む盲点」への警戒と、基本的な物理セキュリティの徹底が、Linux環境の安全を守るカギです。
