編集部からのお知らせ
New! 記事まとめ「ISMAP-LIU」
話題の記事まとめ「通信障害と社会リスク」

サーバ管理ツールにバックドア--香港で被害発生

ZDNet Japan Staff

2017-08-16 13:44

 韓国のNetSarang Computerが開発するサーバ管理ツールにバックドアが仕掛けられ、8月15日に香港で被害が確認された。同社は、Kasperskyと問題に対処していることを明らかにした。

 Kasperskyによると、7月に顧客の金融機関で不審なDNSクエリが検知され、調査からNetSarangのツールで使用されているnssock2.dllのコードライブラリに、バックドア「Backdoor.Win32.ShadowPad.a」が仕掛けられているのを特定した。

 NetSarangは、8月7日に事態を公表。7月18日にリリースした「Xmanager Enterprise 5.0 Build 1232」「Xmanager 5.0 Build 1045」「Xshell 5.0 Build 1322」「Xftp 5.0 Build 1218」「Xlpd 5.0 Build 1220」の各ビルドに混入していたことが分かった。8月7日時点で被害は確認されていなかったが、Kasperskyが15日に香港での被害発生を明らかにした。

バックドアの混入を明らかにしたNetSarang''
バックドアの混入を明らかにしたNetSarang

 Kasperskyの解析では、ShadowPadが混入したnssock2.dllファイルはNetSarangの証明書で署名されていたが、それ以前の3月時点では混入は認められなかった。攻撃者はこの間に、何らかの方法で正規証明書を使ってファイルを改ざんし、ユーザーにマルウェアを配布していた可能性があるという。

 ShadowPadは暗号化された状態でシステムに侵入する。攻撃者のC&Cサーバから特定のパケットを受信すると有効になり、ドメインやユーザー名、システムの日付、ネットワーク構成などの情報を)を盗んでC&Cサーバに送信する。C&Cサーバのドメインは7月に登録され、Kasperskyは7月中旬に攻撃が開始されたとみる。

バックドア「ShadowPad」が有効化されるまでのプロセス(出典:Kaspersky)''
バックドア「ShadowPad」が有効化されるまでのプロセス(出典:Kaspersky)

 NetSarangは、8月5日付けで問題を修正した各ビルドをリリースしており、ユーザーにアップデートを強く推奨している。

 Kasperskyは、今回の攻撃がサプライチェーンを狙う脅威の危険性を物語る事例であり、攻撃者が機密情報を盗むためにソフトウェアのコンポートを繰り返し標的にするだろうと解説。NetSarangとの迅速な対応によって大規模被害は回避できたとし、協力することがユーザーの保護につながるとした。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    【講演資料】Sentinel運用デモ-- ログ収集から脅威の検知・対処まで画面を使って解説します

  2. セキュリティ

    SASEのすべてを1冊で理解、ユースケース、ネットワーキング機能、セキュリティ機能、10の利点

  3. ビジネスアプリケーション

    北海道庁、コロナワクチン接種の予約受付から結果登録まで一気通貫したワークフローを2週間で構築

  4. セキュリティ

    Sentinel運用デモ-- ログ収集から脅威の検知・対処まで画面を使って解説します

  5. セキュリティ

    セキュアなテレワーク推進に欠かせない「ゼロトラスト」、実装で重要な7項目と具体的な対処法

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]