Avast傘下の「CCleaner」にマルウェア混入、正規ルートで配信
システムクリーナーソフト「CCleaner」の正規版が改ざんされてマルウェアを仕込まれ、正規のダウンロードサーバを通じて配布されていたことが分かった。
ウイルス対策ソフトウェアメーカーAvast Software傘下のシステムクリーナーソフト「CCleaner」が何者かに改ざんされた。マルウェアを仕込まれ、正規のダウンロードサーバを通じて配布されていたことが分かった。Ciscoのセキュリティ部門Talosが2017年9月18日のブログで明らかにした。
CCleaner開発元のPiriformはAvastが7月に買収したセキュリティ企業。9月18日、同社はこの問題を認めて謝罪し、ユーザーには最新版に更新するよう呼び掛けている。
Piriformによると、マルウェアが仕込まれていたのはWindows向けの「CCleaner 5.33.6162」と「CCleaner Cloud 1.07.3191」の両バージョン。9月12日に不審な挙動を発見して調べたところ、一般へのリリース前に、CCleaner.exeのバイナリが改ざんされてバックドアが仕込まれ、影響を受けるシステム上で、リモートのIPアドレスから受け取ったコードを実行できる状態になっていたことが分かった。
悪質なサーバは既にダウンしていて、他のサーバも攻撃者に制御できない状態に置かれているとPiriformは説明し、「われわれの知る限り、損害が発生する前に脅威を鎮めることができた」と強調している。CCleaner 5.33.6162をダウンロードしたユーザーは、5.34またはそれ以降のバージョンに更新するよう促した。CCleaner Cloud 1.07.3191は自動更新で対応している。
Talosによると、マルウェアを仕込んだバージョンのCCleanerは8月15日にリリースされ、9月12日に更新版のバージョン5.34が公開されるまでの約1カ月にわたって配布されていた。この間にダウンロードされたCCleanerの実行可能ファイルには、Piriformの正規の署名が入っていたという。
CCleanerが改ざんされた経緯や、攻撃の出所および背後関係などについてはまだ捜査中とPiriformは説明する。Talosでは、外部の攻撃者が開発またはビルド環境に不正アクセスしてCCleanerのコードにマルウェアを挿入したのではないかと推測。開発環境にアクセスできるインサイダーが不正なコードを仕込んだ可能性や、アカウントが乗っ取られた可能性にも言及している。
Talosは今回の事件について、攻撃者がメーカーやサプライヤーとユーザーの間の信頼関係に付け込んでマルウェアを拡散させようとするサプライチェーン攻撃の実体を見せつける実例と位置付けている。
関連記事
- 正規のソフトウェアアップデートにマルウェア、法人顧客に配信
韓国のNetSarang Computerが顧客向けに配信したソフトウェアパッケージに何者かが改ざんを施し、マルウェアが仕込まれていたことが分かった。 - 国内正規サイトで改ざん発生、Flashの脆弱性を突く攻撃に利用
日本国内の少なくとも2組織のWebサイトが改ざんされ、Adobe Flash Playerの脆弱性を突く攻撃に利用されていたという。 - 正規サイトを使った攻撃、初めて悪用目的のサイトを上回る
Websenseの報告書によると、正規サイトをハッキングして攻撃に利用するケースが増加。国連サイトなども悪用された。 - 空港で不正Wi-Fiの提供実験 2000人以上が接続、63.5%が端末や身元を特定される
ウイルス対策ソフトメーカーのAvast Softwareがバルセロナの空港で行った実験で、MWCの参加者多数が同社が提供した実験用無料Wi-Fiに接続。63.5%の確率で端末やユーザーの身元を特定でき、アクセスしたサイトやインストールしているアプリも特定できたという。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.