正規のソフトウェアアップデートにマルウェア、法人顧客に配信
韓国のNetSarang Computerが顧客向けに配信したソフトウェアパッケージに何者かが改ざんを施し、マルウェアが仕込まれていたことが分かった。
各国で法人向けのサーバ管理ツールなどを提供している韓国のNetSarang Computerが、顧客向けに配信したソフトウェアパッケージに何者かが改ざんを施し、マルウェアが仕込まれていたことが分かったとして、ロシアのセキュリティ企業Kaspersky Labが8月15日、ブログで詳細を公表した。
Kasperskyによると、ある金融機関のネットワークで7月に不審なDNSリクエストが検出され、調べたところ、問題のリクエストはNetSarangのソフトウェアパッケージから来ていることが判明。NetSarangが配信したソフトウェアに、バックドア型マルウェアの「Shadowpad.a」が仕込まれていたことが分かった。
バックドアは7月13日付でコンパイルされた「nssock2.dll」というファイルに挿入されていた。このファイルはNetSarangの正規の証明書を使って署名されていたという。改ざんされた経緯は調査中だが、攻撃者がビルドサーバ上でソースコードまたはパッチを当てたソフトウェアを改ざんした可能性があるとKasperskyは推定している。
バックドアは専用のパケットを受け取るとアクティベートされ、盗んだ情報を外部に送信する仕組みになっていた。Kasperskyでは、香港にある企業で実際にアクティベートされていたことを確認。NetSarangのソフトウェアは世界各国の金融機関やエネルギー、製造、通信、小売りなど幅広い業界で利用されていることから、そうした企業では直ちに確認作業を行うよう呼び掛けている。
NetSarangはKasperskyからの連絡を受けて直ちに改ざんされたソフトウェアの配信を中止し、クリーンなバージョンに入れ替える措置を講じたという。
「ShadowPadの実例は、サプライチェーン攻撃が投げ掛ける危険を物語っている。密かに情報を収集できるチャンスを求めて、攻撃者が他の広く使われているソフトウェアコンポーネントでもこの種の攻撃を繰り返し試みる可能性は大きい」。Kasperskyはそう警告している。
関連記事
- Petya亜種による世界サイバー攻撃、65カ国に拡大 会計ソフト更新の仕組みを悪用か
Microsoftは、ウクライナの会計ソフトの更新の仕組みが悪用され、同国から欧州に感染が広がったと推定している。 - 世界で新手のランサムウェア攻撃が多発、重要インフラや大手企業も被害
ランサムウェア「Petya」の新しい亜種による大規模攻撃が発生。ウクライナを中心に、重要インフラがダウンするなどの大きな被害が出ている。 - WannaCryは序章? NSAツールを悪用したマルウェアが相次ぎ出現
ネットワークワームの「EternalRocks」は、NSAのツールを長期的に悪用し、感染マシンを攻撃の発射台として利用する意図をもつ。 - 「WannaCry」拡散 そのとき情シスはどうすべきだったのか
そろそろ一段落した感もある「WannaCry」騒動ですが、セキュリティ対策は「防げたから終わり」ではありません。この事件から学ぶべきことは何か、“次”に備えて何ができるかを考えてみます。 - ネットバンキングを狙う「DreamBot」が猛威 今すべき対策は
インターネットバンキングを狙う「DreamBot」が猛威を振るっています。私たちのお金を狙う、このマルウェアの餌食にならないためにできることとは?
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.