人気のタグ
おすすめのサイト
企業ニュース
2017.08.25

大企業の正規ソフトのアップデートも要注意!バックドアを仕込んだマルウエア「ShadowPad」を発見

Kaspersky Labのグローバル調査分析チーム(GReAT)のリサーチャーは、世界数百の大手企業にサーバー管理ツールを提供しているNetSarangが配信したソフトウェアパッケージに埋め込まれたバックドアを発見した。攻撃者はこのバックドアを使って侵入先のデータを窃取し、外部に送信することができるという。Kaspersky Labからの連絡により、NetSarangは直ちに悪意あるコードを削除したソフトウェアのアップデートをリリースした。

「ShadowPad」 は、これまでのサプライチェーン攻撃の中でも最大規模のひとつ。今回、素早く検知、解決していなければ、世界中の数百もの組織が攻撃の被害に遭っていた可能性がある。

2017年7月、GReATのリサーチャーが取引先のある金融機関からの依頼で、金融取引処理に関わるシステムで疑わしいDNSリクエストについて調査を開始。その結果、これらのリクエストはNetSarangのサーバー管理ソフトウェアから来ていることが判明した。このソフトウェアは、金融サービス、教育、通信、製造、エネルギー、運輸業界など、数百もの組織が導入している。調査結果の中で最も懸念したことは、NetSarangのソフトウェアはこのようなDNSリクエストを行うことを意図していないという点だった。

リサーチャーがさらに詳細に分析したところ、この疑わしいDNSリクエストはNetSarangの正規ソフトウェアのアップデートが改竄され、仕込まれたマルウェアによって実行されていることが判明した。改竄されたアップデートをインストールすると、このマルウェアは複数の特定ドメイン (指令サーバー) に対して8時間に1回、感染コンピューターのユーザー名、ドメイン名、ホスト名などの基本情報を送信。攻撃者がそのコンピューターに「興味を持った」場合は指令サーバーが応答し、バックドアを有効化して悪意あるコードをダウンロードして実行できるようになる。攻撃ツールと手法の分析結果から、中国語話者のサイバースパイ集団として知られる「Winnti」が過去に使用したPlugXマルウェアの変種と似た部分があったが、結びつきの証明には引き続き調査が必要だ。

発見した GReATのリサーチャーからの連絡を受け、NetSarangは修正したアップデートをすぐにリリースした。リサーチャーは、香港の企業でこのバックドアが有効化されたことを確認しているが、リリースされた最新のソフトウェアアップデートを適用していない組織も存在すると考えられることから、ShadowPadマルウェアは世界中の多くのコンピューターに潜んでいる可能性がある。

@DIMEのSNSアカウントをフォローしよう!

DIME最新号

最新号
2019年7月16日(火) 発売

DIME最新号の特別付録は超強力なUSBモバイル扇風機!大特集は「夏の新製品辛口評価テスト」!

人気のタグ

おすすめのサイト

ページトップへ

ABJマークは、この電子書店・電子書籍配信サービスが、著作権者からコンテンツ使用許諾を得た正規版配信サービスであることを示す登録商標(登録番号 10401024号)です。詳しくは[ABJマーク]または[電子出版制作・流通協議会]で検索してください。