編集部からのお知らせ
Topic 本人認証の重要性
宇宙ビジネスの記事まとめダウンロード

サーバ管理ツールにバックドア--香港で被害発生

ZDNet Japan Staff

2017-08-16 13:44

 韓国のNetSarang Computerが開発するサーバ管理ツールにバックドアが仕掛けられ、8月15日に香港で被害が確認された。同社は、Kasperskyと問題に対処していることを明らかにした。

 Kasperskyによると、7月に顧客の金融機関で不審なDNSクエリが検知され、調査からNetSarangのツールで使用されているnssock2.dllのコードライブラリに、バックドア「Backdoor.Win32.ShadowPad.a」が仕掛けられているのを特定した。

 NetSarangは、8月7日に事態を公表。7月18日にリリースした「Xmanager Enterprise 5.0 Build 1232」「Xmanager 5.0 Build 1045」「Xshell 5.0 Build 1322」「Xftp 5.0 Build 1218」「Xlpd 5.0 Build 1220」の各ビルドに混入していたことが分かった。8月7日時点で被害は確認されていなかったが、Kasperskyが15日に香港での被害発生を明らかにした。

バックドアの混入を明らかにしたNetSarang''
バックドアの混入を明らかにしたNetSarang

 Kasperskyの解析では、ShadowPadが混入したnssock2.dllファイルはNetSarangの証明書で署名されていたが、それ以前の3月時点では混入は認められなかった。攻撃者はこの間に、何らかの方法で正規証明書を使ってファイルを改ざんし、ユーザーにマルウェアを配布していた可能性があるという。

 ShadowPadは暗号化された状態でシステムに侵入する。攻撃者のC&Cサーバから特定のパケットを受信すると有効になり、ドメインやユーザー名、システムの日付、ネットワーク構成などの情報を)を盗んでC&Cサーバに送信する。C&Cサーバのドメインは7月に登録され、Kasperskyは7月中旬に攻撃が開始されたとみる。

バックドア「ShadowPad」が有効化されるまでのプロセス(出典:Kaspersky)''
バックドア「ShadowPad」が有効化されるまでのプロセス(出典:Kaspersky)

 NetSarangは、8月5日付けで問題を修正した各ビルドをリリースしており、ユーザーにアップデートを強く推奨している。

 Kasperskyは、今回の攻撃がサプライチェーンを狙う脅威の危険性を物語る事例であり、攻撃者が機密情報を盗むためにソフトウェアのコンポートを繰り返し標的にするだろうと解説。NetSarangとの迅速な対応によって大規模被害は回避できたとし、協力することがユーザーの保護につながるとした。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. ビジネスアプリケーション

    なぜ、2021年にすべてのマーケターが「行動経済学」を学ばねばならないのか?

  2. セキュリティ

    SIEMとEDRが担うべき正しい役割とは?企業のセキュリティ部門が認識しておくべき適切なツールの条件

  3. クラウドコンピューティング

    デザインシンキングによるAIと課題のマッチング!現場視点による真のデジタル改善実現へ

  4. 経営

    なぜ成長企業の経営者はバックオフィス効率化に取り組むのか?生産性を高めるための重要な仕組み

  5. 仮想化

    Microsoft 365を利用する企業が見逃す広大なホワイトスペースとは?

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]