正規のソフトウェアアップデートにマルウェア、法人顧客に配信

韓国のNetSarang Computerが顧客向けに配信したソフトウェアパッケージに何者かが改ざんを施し、マルウェアが仕込まれていたことが分かった。

» 2017年08月16日 09時30分 公開
[鈴木聖子ITmedia]

 各国で法人向けのサーバ管理ツールなどを提供している韓国のNetSarang Computerが、顧客向けに配信したソフトウェアパッケージに何者かが改ざんを施し、マルウェアが仕込まれていたことが分かったとして、ロシアのセキュリティ企業Kaspersky Labが8月15日、ブログで詳細を公表した。

NetsarangのWebページ NetsarangのWebページ

 Kasperskyによると、ある金融機関のネットワークで7月に不審なDNSリクエストが検出され、調べたところ、問題のリクエストはNetSarangのソフトウェアパッケージから来ていることが判明。NetSarangが配信したソフトウェアに、バックドア型マルウェアの「Shadowpad.a」が仕込まれていたことが分かった。

 バックドアは7月13日付でコンパイルされた「nssock2.dll」というファイルに挿入されていた。このファイルはNetSarangの正規の証明書を使って署名されていたという。改ざんされた経緯は調査中だが、攻撃者がビルドサーバ上でソースコードまたはパッチを当てたソフトウェアを改ざんした可能性があるとKasperskyは推定している。

 バックドアは専用のパケットを受け取るとアクティベートされ、盗んだ情報を外部に送信する仕組みになっていた。Kasperskyでは、香港にある企業で実際にアクティベートされていたことを確認。NetSarangのソフトウェアは世界各国の金融機関やエネルギー、製造、通信、小売りなど幅広い業界で利用されていることから、そうした企業では直ちに確認作業を行うよう呼び掛けている。

 NetSarangはKasperskyからの連絡を受けて直ちに改ざんされたソフトウェアの配信を中止し、クリーンなバージョンに入れ替える措置を講じたという。

 「ShadowPadの実例は、サプライチェーン攻撃が投げ掛ける危険を物語っている。密かに情報を収集できるチャンスを求めて、攻撃者が他の広く使われているソフトウェアコンポーネントでもこの種の攻撃を繰り返し試みる可能性は大きい」。Kasperskyはそう警告している。

Netsarangの問題を報じるKaspersky Labsのブログ Netsarangの問題を報じるKaspersky Labsのブログ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ