標的型攻撃に使われたCCleaner、マルウェアの混入経緯が判明--Avast

ZDNET Japan Staff

2018-04-18 17:21

 2017年9月に、マルウェアが混入したPC最適化ツール「CCleaner」を通じて、日本を含む複数のハイテク企業に標的型攻撃が実行された。CCleanerの開発元を買収したAvastが4月17日、マルウェア混入の原因がTeamViewerを経由した攻撃者の侵入が発端だったとする調査結果を発表した。

 Avastは2017年7月にCCleanerの開発元の英Piriformを買収、攻撃はこの買収の直後に発覚した。マルウェアが混入したCCleanerを世界で227万ユーザーがダウンロードしたが、Ciscoなどの分析で、実際にはハイテク企業への侵入を目的とする標的型攻撃だったことが判明。標的リストには、SamsungやIntel、VMware、ASUSなどのほか、NECや富士通、ソニーも含まれていた。

 Avastの調査結果によると、攻撃者はまず2017年3月11日に、Piriform社内のワークステーションで使われていたTeamViewerからシングルサインインで不正侵入した。認証は正常に行われたといい、攻撃者が事前に認証情報を入手した方法は不明ながら、どこかで漏えいしたワークステーションユーザーの認証情報を悪用した可能性があるという。

 攻撃者は当初、業務時間外の午前5時にPCを稼働させ、TeamViewer経由で2種類の不正なDLLのインストールを試みたが失敗、3度目の試行で成功し、VBScriptを使って侵入の痕跡を削除した。翌12日の午前4時に攻撃者が侵入範囲を広げ始め、別のコンピュータにリモートデスクトップサービス経由でバックドアを設置、同14日には最初に侵入したワークステーションにもマルウェアを感染させたとしている。

 ここから数週間は、攻撃者がバックドアを通じてPiriform社内のシステムなどを探索し、管理者権限などの情報を窃取していたと見られる。この段階では、サイバー攻撃ツールとして有名なバックドアの「ShadowPad」が使用されたことも分かった。

 さまざまな情報や手段を得た攻撃者は、CCleanerのビルドサーバを含む4台のコンピュータに、正規の「mscoree.dll」ライブラリに見せかけたShadowPad(4月4日にコンパイルされた記録が見つかる)を設置した。ここで攻撃できる段階に達したが、攻撃は実行されず、7月19日にAvastがPiriformを買収、8月2日に買収後としては最初のバージョンになるCCleanerがリリースされた。攻撃者は攻撃基盤を確立しながらも、いったん見合わせ、9月に入って実行に踏み切ったようだ。

 またAvastは、この攻撃と同様のShadowPadが以前に韓国やロシアで発生した攻撃でも使われ、ロシアのケースでは2014年にShadowPadが開発されていることを突き止めた。こうしたことから、CCleanerを使った標的型攻撃は新しいものではなく、それ以前から展開されてきた攻撃活動の一つだった可能性も考えられるという。

 調査結果を踏まえてAvastは、企業を買収する際のデューディリジェンスでは、財務面や法務面だけでなく、サイバーセキュリティにも重点を置く必要があると、自らの経験談を語っている。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]