「CCleaner」のマルウェア混入は標的型攻撃か--ソニーなどが対象リストに

ZDNet Japan Staff 2017年09月21日 15時02分

  • このエントリーをはてなブックマークに追加

 コンピュータ最適化ソフトウェア「CCleaner」にマルウェアが埋め込まれて配信された問題でCisco Systemsは9月20日、今回の事態がハイテク企業の知的財産の情報を狙う標的型攻撃だった可能性を指摘した


攻撃対象リストに記載されたドメイン(出典:Cisco Systems)

 同社がCCleanerに埋め込まれたマルウェアや、マルウェアが通信する攻撃者のコマンド&コントロール(C2)サーバなどについて調査したところ、少なくとも20台以上のマルウェア感染端末に対して、C2サーバから不正なペイロードが配信されていた。見つかった配信リストのドメインに、同社やソニー、Samsung、VMwareなどの文字が記載されている。

 解析により、9月12日から9月16日の4日間に約70万台以上の感染端末がC2サーバに接続されたとみられる。マルウェアは感染端末のIPアドレス、オンライン時間、ホスト名、ドメイン名、インストールされているアプリケーションのリスト、プロセスリストといった詳細な情報をC2サーバに送信することも分かった。

 C2サーバからは、感染端末の環境に応じて異なるマルウェアが配信される設定になっていたという。Kasperskyは、このマルウェアに使われているコードに、サイバー攻撃組織「グループ72」の特徴がみられると指摘し、Ciscoも断定はできないものの類似性があるとした。グループ72は、高度な技術や豊富な資金力を持ち、米国や日本、台湾、韓国の製造や航空宇宙、防衛、メディアなどの組織に標的型攻撃を実行し続けているという。

 Ciscoは、マルウェアが混入したバージョンのCCleanerを削除したり、最新版にアップデートしたりするだけでなく、バックアップやイメージなどからシステムを再構築して、マルウェアや追加インストールされるバックドアなどを完全に除去すべきだとアドバイスする。また、C2サーバから感染端末にペイロードが配信されたとみられる組織にも通知し、対応を促したという。

 正規ソフトウェア関連のデータにマルウェアなどを埋め込んで配信する手法は、「サプライチェーン型攻撃」とも呼ばれる。6月にはウクライナを中心に、会計ソフトにマルウェア「NotPetya」が埋め込まれて配信される攻撃も発生した。

 Ciscoはサプライチェーン型攻撃の脅威が高まっていると警鐘を鳴らし、セキュリティ企業はこの状況を深刻に受け止めるべきだと指摘している。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

SpecialPR

連載

CIO
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
「企業セキュリティの歩き方」
「サイバーセキュリティ未来考」
「ネットワークセキュリティの要諦」
「セキュリティの論点」
スペシャル
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
展望2017
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
AWS Summit
PTC LiveWorx
より賢く活用するためのOSS最新動向
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
米株式動向
日本株展望
企業決算