米US-CERTは8月26日、盗んだSSH鍵を使ってLinuxベースのコンピュータインフラに攻撃を仕掛ける事例が発生していると伝えた。攻撃者は盗んだSSH鍵を使ってシステムにアクセスした後、ローカルカーネルエクスプロイトを使ってroot権限を取得し、「phalanx2」というrootkitをインストールする。 phalanx2は感染したコンピュータからSSH鍵を盗み出して攻撃者に送信し、攻撃者はこれを使って別のサイトやシステムを攻撃する。 US-CERTは管理者に対し、自動化されたプロセスの一部としてSSH鍵を使っているシステムをチェックし、ユーザーにはパスワードやパスフレーズを設定した鍵を使わせるなどの危険回避措置を取るよう勧告。 もし感染が確認された場合は、鍵を使ったSSH認証を無効化し、影響を受ける全システムでSSH鍵の検証を実施、鍵の所有者すべてに通知することが望ましいとしている。
![盗んだSSH鍵でLinuxを攻撃する手口が見つかる](https://cdn-ak-scissors.b.st-hatena.com/image/square/7e51372d18138e90ed2c8d95d693065718b5e361/height=288;version=1;width=512/https%3A%2F%2Fimage.itmedia.co.jp%2Fimages%2Flogo%2F1200x630_500x500_enterprise.gif)