ASUSの自動更新を悪用したサプライチェーン攻撃、ユーザーにマルウェア配信
Kaspersky LabやSymantecによると、ASUSの自動更新システムが乗っ取られ、マルウェアの配信に利用されていたという。
ロシアのセキュリティ企業Kaspersky Labは3月25日、台湾のASUSが配信したLive Updateソフトウェアにサプライチェーン攻撃が仕掛けられ、自動更新を通じてユーザーにマルウェアが配信されていたことが分かったと伝えた。この攻撃については米Symantecも26日のブログで報告している。
Kasperskyによると、ASUS Live UpdateはASUS製のコンピュータにプリインストールされているユーティリティーで、BIOSやドライバなどの自動更新に使われている。この仕組みを突いたサプライチェーン攻撃は、2018年6月〜11月にかけて発生していた。
バックドアの仕込まれたASUS Live Updateをダウンロードしてインストールしていたユーザーは、Kasperskyの利用者だけで5万7000人以上に上ることが判明。影響を受けたユーザーは世界で100万人を超すと同社は推計している。攻撃者はMACアドレスを利用して、標的とするシステムに狙いを定めていたという。
被害者はロシアや欧州、米国が多数を占め、少数ながら日本も含まれる。
不正な更新プログラムには正規の証明書が利用され、ASUSの正規のサーバでホスティングするなど巧妙な手口を使って、長期間にわたって発覚を免れていた。こうした手口からKasperskyでは、非常に高度なサプライチェーン攻撃だったと指摘する。同社はこの攻撃を「ShadowHammer」と命名している。
Kasperskyは2019年1月にこの問題を発見し、同月31日にASUSに連絡を取って、同社の調査に協力しているという。
Symantecも3月26のブログで、「ASUSの更新システムが乗っ取られ、悪質な更新プログラムの配信に使われていた」と伝えた。被害に遭ったコンピュータは50万台と推計している。
関連記事
- Google Playで提供のアプリ210本にマルウェア、ダウンロード合計1億5000万回
感染アプリがインストールされると、バックグラウンド広告を表示したり、Webブラウザを開いて指定されたURLを表示したりする。 - IoTマルウェア「Mirai」の標的が企業にシフト、攻撃の威力さらに増大の恐れ
今回見つかったMiraiの亜種には、新たに法人向けのワイヤレスプレゼンテーションシステムなどの脆弱性を突くコードが組み込まれていた。 - 仮想通貨を盗むマルウェアが「Google Play」に セキュリティ企業に発見され削除
仮想通貨を盗み出すマルウェア「Clipper」が、米Googleの公式アプリストア「Google Play」で発見された。 - 社長へのメールを秘書が開いてマルウェアに感染!? 標的型攻撃の実践演習「サイバークエスト」を模擬体験
知り合いからのメールだと信じて添付ファイルを開き、さまざまな情報が流出してしまった――そんなシナリオを演習形式で体験できる「サイバークエスト」。これを模擬体験できるセッションが、ITmedia エンタープライズ セキュリティセミナーで開催された。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.