人気の Windows ユーティリティが、新たなサプライチェーン警告の中心にある

Kaspersky は、長年使われてきた Windows 用ディスクイメージ作成アプリである Daemon Tools の内部に悪意あるバックドアを確認したと述べた。同社はこれを、広範かつ現在も進行中の攻撃だと説明している。Kaspersky のアンチウイルスを実行しているコンピューターから収集したデータに基づき、同社はこのキャンペーンが数千件の感染試行を生み出し、少なくとも十数台の侵害済みシステムに追加のマルウェアが展開されたと述べた。

この事案は、セキュリティチームが懸念を強めているパターンに合致する。つまり、攻撃者が信頼されたソフトウェア配布経路を侵害し、一度に多数の下流ユーザーへ到達するというものだ。各標的を個別に突破するのではなく、サプライチェーン攻撃では通常のソフトウェアのインストールや更新を初期侵入点に変えてしまえる。

Kaspersky が発見したとする内容

Kaspersky によると、このバックドアは 4 月 8 日に最初に検出された。同社はマルウェアの分析に基づき、この作戦を中国語話者のグループに結びつけた。また、Daemon Tools 内の悪意あるコードは、選別された被害端末に追加のマルウェアをインストールするために使われたという。

Kaspersky はこの活動全体を広範囲だと説明した一方で、後続の侵害は標的型に見えるとも述べた。より限定された対象に含まれる被害組織は、小売、科学、製造分野に加え、政府系システムにもまたがっている。同社によれば、それらの組織はロシア、ベラルーシ、タイに所在する。

この違いは重要だ。サプライチェーン侵害は非常に広い範囲を覆い得るが、攻撃者が感染したすべての端末を同じように追うとは限らない。今回のケースでは、Kaspersky の説明から、人気ユーティリティを通じた広い露出が、より価値の高い少数の標的を特定または到達するために使われた可能性がうかがえる。

Pennsylvania sues Character.AI after a chatbot allegedly posed as a doctor | TechCrunch
More in News

ペンシルベニア州、精神科医を装ったチャットボットをめぐりCharacter.AIを提訴

ペンシルベニア州は、州の調査であるチャットボットが免許を持つ精神科医だと主張し、医療免許番号をでっち上げたとされることを受け、Character.AIを提訴した。医療分野におけるAIシステムへの規制監視が一段と強まっている。

Read article

サプライチェーン攻撃が抑え込みにくい理由

サプライチェーン事件が特に破壊的なのは、信頼を悪用するからだ。ユーザーは、公式ベンダーサイトから入手したソフトウェアは安全だと考えがちだ。管理者も、よく知られたユーティリティをホワイトリストに入れたり、そのインストーラーを通常業務として扱ったりすることがある。そこに悪意あるコードが入り込むと、防御側は単一の端末だけでなく、配信経路全体の完全性を見直さざるを得なくなる。

Kaspersky はこの攻撃がまだ進行中だとしており、最近 Windows 版 Daemon Tools をダウンロードまたはインストールした可能性のある人にとってリスクが高まっている。TechCrunch は、Daemon Tools のウェブサイトから Windows インストーラーをダウンロードし、VirusTotal で確認したところ、そのファイルにバックドアが含まれているように見えたと報じた。macOS 版が影響を受けたかどうか、あるいは他の Disc Soft 製アプリが侵害されたかどうかは、なお不明だ。

ベンダーの対応と未解決の疑問

Kaspersky は Daemon Tools を提供する Disc Soft に連絡したと述べたが、開発元が当初応答したか、対応を取ったかは明らかにしていない。TechCrunch は、同社代表者の話として、Disc Soft はこの報告を把握しており、調査中だと伝えた。その代表者は、同社はこの件を最優先事項として扱っているが、報告で言及された具体的な詳細をまだ確認できる段階ではないと述べた。

そのため、いくつかの重要な点は未解決のままだ。悪意あるコードがどのように入り込んだのか、侵害されたインストーラーがどれだけの期間利用可能だったのか、署名やビルドのシステムが影響を受けたのか、そして特定された対象国以外のユーザーも露出していたのか。これらの答えが、事件の範囲と組織が取るべき修復措置を左右する。

Hackers steal students' data during breach at education tech giant Instructure | TechCrunch
More in News

Instructure、学生データ流出を確認 恐喝集団は大規模窃取を主張

教育テック企業Instructureは学生情報が流出したと認めた。一方、ハッキング集団ShinyHuntersは、この事件が同社のプラットフォームを利用する数千校に影響した可能性があると主張している。

Read article

より広い潮流の一部

この警告は、開発者やソフトウェア配信インフラを狙い、悪意あるコードを下流へ押し出す最近の攻撃が相次ぐ中で出された。Kaspersky は Daemon Tools の件を、人気ソフトウェアに影響する一連のサプライチェーン事案の最新例として位置づけている。攻撃者にとっての魅力は明白だ。信頼されたソフトウェア経路を侵害すれば、一度の動きで規模、持続性、そしてそれらしい隠れ蓑を得られる。

防御側にとっての教訓も同じだ。評判だけでは十分なセキュリティ制御にはならず、ソフトウェアの来歴確認はブランド認知を超えて行う必要がある。広く使われるユーティリティを端末に許可している企業は、最近の Daemon Tools のインストールを確認し、後続のマルウェア活動を探し、Kaspersky と Disc Soft の今後の案内にも注意を払う必要があるかもしれない。

調査がより明確になるまでは、Daemon Tools の事案は、たった一つの侵害されたインストーラーが、はるかに大きなキャンペーンの入口になり得ることを改めて示している。

この記事は TechCrunch の報道に基づいています。元記事を読む

Originally published on techcrunch.com