ロシアのセキュリティ会社、Doctor Webによると、Linux.ProxyMというトロイの木馬がスパム・メールの大量配信を行なっていることが判明した。

当初、今年2月に見つかったこのトロイの木馬は、侵入したIoTデバイス上のSOCKSプロキシーサーバーを起動して、セキュリティ対策目的でマルウェアを解析するために仕込まれたハニーポッドを検出する能力を持っている。Linux.ProxyMは、ルーターやSTB（セットトップボックス）などを含むほとんど全てのLinux機器上で動作できる。当初、ロシア、中国、台湾が攻撃を受ける中心だったが、最近は、ブラジル、アメリカが上位を占めている。

Linux.ProxyMに感染すると、デバイスはC&C（コマンド＆コントロール）サーバーに接続して、スパム送信に必要なアドレス、ログイン名、パスワード、証明書などの情報にアクセスすることができるようになる。感染IoTデバイスが送るメッセージは、日本語に抄訳すると、

といったもので、1日平均、400通のスパムが送られるという。

スパムは、配信元サーバーが特定されれば、企業ネットレベルでもISP（プロバイダー）レベルでもブロックすることが可能だが、IoTデバイスを使って増殖を続けられてしまうと、ブロックが後手に回って配信されてしまう。上記の文面では、日本のネット利用者が騙される可能性は低いけれども、クリックさせる手口は巧妙になり続けているから、いつまで経っても油断はできない。

Linuxで動くIoTデバイスを狙うウイルスと言えば、DDoS攻撃に使われてしまうことが懸念されてきた。つまり、IoTデバイスから攻撃対象のサーバーに対して一斉に大量の情報を送りつけて、サーバーを麻痺させてしまうというもの。

Linux.ProxyMは、x86、MIPS、PowerPC、MIPSEL、ARM、Motorola 68000、Superh、SPARCと多くのアーキテクチャーに感染する能力を持つ。感染させることができれば、DDoS攻撃だけでなく、スパム配信など、考え得るあらゆる悪意ある用途に活用されてもおかしくない。監視カメラ、温湿度計、太陽光パネル、自動販売機などなど、ネットに繋がる全てのIoT機器は、知らぬ間にスパム送信元になっているかも知れない。