古いバージョンのブラウザーを使用しています。MSN を最適にご利用いただくために、サポートされているバージョンをご使用ください。

正規のソフトウェアアップデートにマルウェア、法人顧客に配信

ITmedia エンタープライズ のロゴ ITmedia エンタープライズ 2017/08/16
正規のソフトウェアアップデートにマルウェア、法人顧客に配信: Netsarangの問題を報じるKaspersky Labsのブログ © ITmedia エンタープライズ 提供 Netsarangの問題を報じるKaspersky Labsのブログ

 各国で法人向けのサーバ管理ツールなどを提供している韓国のNetSarang Computerが顧客向けに配信したソフトウェアパッケージが何者かに改ざんされ、マルウェアが仕込まれていたことが分かったとして、ロシアのセキュリティ企業Kaspersky Labが8月15日、ブログで詳細を公表した。

 Kasperskyによると、ある金融機関のネットワークで7月に不審なDNSリクエストが検出され、調べたところ、問題のリクエストはNetSarangのソフトウェアパッケージから来ていることが判明。NetSarangが配信したソフトウェアに、バックドア型マルウェアの「Shadowpad.a」が仕込まれていたことが分かった。

 バックドアは7月13日付でコンパイルされた「nssock2.dll」というファイルに挿入されていた。このファイルはNetSarangの正規の証明書を使って署名されていたという。改ざんされた経緯は調査中だが、攻撃者がビルドサーバ上でソースコードまたはパッチを当てたソフトウェアを改ざんした可能性があるとKasperskyは推定している。

 バックドアは専用のパケットを受け取るとアクティベートされ、盗んだ情報を外部に送信する仕組みになっていた。Kasperskyでは、香港にある企業で実際にアクティベートされていたことを確認。NetSarangのソフトウェアは世界各国の金融機関やエネルギー、製造、通信、小売りなど幅広い業界で利用されていることから、そうした企業では直ちに確認作業を行うよう呼び掛けている。

 NetSarangはKasperskyからの連絡を受けて直ちに改ざんされたソフトウェアの配信を中止し、クリーンなバージョンに入れ替える措置を講じたという。

 「ShadowPadの実例は、サプライチェーン攻撃が投げ掛ける危険を物語っている。密かに情報を収集できるチャンスを求めて、攻撃者が他の広く使われているソフトウェアコンポーネントでもこの種の攻撃を繰り返し試みる可能性は大きい」。Kasperskyはそう警告している。

ITmedia エンタープライズの関連記事

image beaconimage beaconimage beacon