編集部からのお知らせ
ZDNet Japanが新しくなりました!
New! 懸念高まる産業機器のセキュリティ

サーバ管理ツールにバックドア--香港で被害発生

ZDNet Japan Staff

2017-08-16 13:44

 韓国のNetSarang Computerが開発するサーバ管理ツールにバックドアが仕掛けられ、8月15日に香港で被害が確認された。同社は、Kasperskyと問題に対処していることを明らかにした。

 Kasperskyによると、7月に顧客の金融機関で不審なDNSクエリが検知され、調査からNetSarangのツールで使用されているnssock2.dllのコードライブラリに、バックドア「Backdoor.Win32.ShadowPad.a」が仕掛けられているのを特定した。

 NetSarangは、8月7日に事態を公表。7月18日にリリースした「Xmanager Enterprise 5.0 Build 1232」「Xmanager 5.0 Build 1045」「Xshell 5.0 Build 1322」「Xftp 5.0 Build 1218」「Xlpd 5.0 Build 1220」の各ビルドに混入していたことが分かった。8月7日時点で被害は確認されていなかったが、Kasperskyが15日に香港での被害発生を明らかにした。

バックドアの混入を明らかにしたNetSarang''
バックドアの混入を明らかにしたNetSarang

 Kasperskyの解析では、ShadowPadが混入したnssock2.dllファイルはNetSarangの証明書で署名されていたが、それ以前の3月時点では混入は認められなかった。攻撃者はこの間に、何らかの方法で正規証明書を使ってファイルを改ざんし、ユーザーにマルウェアを配布していた可能性があるという。

 ShadowPadは暗号化された状態でシステムに侵入する。攻撃者のC&Cサーバから特定のパケットを受信すると有効になり、ドメインやユーザー名、システムの日付、ネットワーク構成などの情報を)を盗んでC&Cサーバに送信する。C&Cサーバのドメインは7月に登録され、Kasperskyは7月中旬に攻撃が開始されたとみる。

バックドア「ShadowPad」が有効化されるまでのプロセス(出典:Kaspersky)''
バックドア「ShadowPad」が有効化されるまでのプロセス(出典:Kaspersky)

 NetSarangは、8月5日付けで問題を修正した各ビルドをリリースしており、ユーザーにアップデートを強く推奨している。

 Kasperskyは、今回の攻撃がサプライチェーンを狙う脅威の危険性を物語る事例であり、攻撃者が機密情報を盗むためにソフトウェアのコンポートを繰り返し標的にするだろうと解説。NetSarangとの迅速な対応によって大規模被害は回避できたとし、協力することがユーザーの保護につながるとした。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

Special PR

特集

CIO

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]