Asus は、ソフトウェア更新システムによって被害者にプッシュされたスパイウェアを含んだソフトウェア更新を約 100 万台のノートパソコンから削除するために、ソフトウェア更新ユーティリティの更新をリリースしました。
そして息を吸います。
台湾のPC大手ASUSは火曜日、ファームウェア・ドライバーとBIOSソフトウェアを最新の状態に保つツール「Live Update」のクリーンなバージョンを公開しました。このツールはASUS製コンピューターにバンドルされており、ユーザーはダウンロードしてインストールする必要があります。昨年6月から11月にかけて、「ShadowHammer」と呼ばれるサイバースパイ活動が行われ、何者かがASUSのソフトウェア更新サーバーに侵入し、Live Updateのコピーにバックドアを仕掛けました。
約100万台のAsusノートパソコンがソフトウェアアップデートのために自動チェックインした際、Asusのシステムから不正なLive Updateのコピーがダウンロードされました。このコピーはAsusのセキュリティ証明書を用いて暗号署名されており、以前の正規版と同じファイルサイズだったため、一見問題のないように見えました。そして、それをインストールしたのです。つまり、これらのマシンは意図せずしてAsusのサーバーからインターネット経由でスパイウェアを取得し、実行していたのです。この不正なユーティリティは、バイナリにハードコードされたネットワークMACアドレスで識別される約600のターゲットをスヌーピングするように設計されていました。こうして、数十万台のAsusノートパソコンが不正なLive Updateのダウンロードによって潜伏中のバックドアに感染し、数百台がスパイ活動の対象となりました。
この乗っ取られたユーティリティは、Kaspersky Labによって1月に発見され、今週になって明らかになりました。このオンラインツールを使えば、MACアドレスに基づいて、自分のマシンが乗っ取られたかどうかを確認できます。
現在、Asus は、同社のノートパソコンにインストールできる、スパイウェアのない Live Update バージョンをリリースしており、これには将来の改ざんを検出できる追加のセキュリティ機能も含まれています。
カスペルスキーによると、スパイウェアは不正なソフトウェアアップデートを通じて「約100万台」のASUS PCに侵入しているという。
続きを読む
「Asus Live Updateは、Asusノートパソコンに付属する独自のツールで、システムが常にAsusの最新のドライバーとファームウェアを利用できるようにするためのものです。当社のLive Updateサーバーに対する高度な攻撃により、ごく少数のデバイスに悪意のあるコードが埋め込まれました。これは、ごく少数の特定のユーザーグループを狙ったものです」とAsusは本日発表しました。
「ASUSのカスタマーサービスは、影響を受けるユーザーに連絡を取り、セキュリティリスクが除去されるように支援を提供しています。
また、ASUSは、Live Updateソフトウェアの最新バージョン(バージョン3.6.8)で修正を実施し、ソフトウェアアップデートやその他の手段による悪意のある操作を防ぐための複数のセキュリティ検証メカニズムを導入し、強化されたエンドツーエンドの暗号化メカニズムを実装しました。
「同時に、今後同様の攻撃が起きないように、サーバーからエンドユーザーまでのソフトウェアアーキテクチャも更新・強化しました。」
ASUSはまた、顧客が自分のPCが感染しているかどうかを確認できるスキャンツール(.zipファイル)を作成したと発表しました。おそらくこのダウンロードにはマルウェアは含まれていないと思われます。
シマンテックはまた、カスペルスキー製品と同様に、自社のウイルス対策ツールが顧客のシステム上でバックドアを仕込んだライブアップデートを検出したことを確認した。カスペルスキーは、この不正行為に関する詳細な報告書を近日中に発表する予定だ。
ASUSの声明文から判断すると、同社はダウンロードファイルの転送中の改ざん、つまり中間者攻撃を効果的に阻止することに注力しているようだ。しかし、Kasperskyは、バックドアを仕込んだユーティリティはASUSのアップデートサーバー上にホストされていたと主張している。つまり、コードはネットワーク経由で転送される途中ではなく、ソースコードで改ざんされたということだ。ASUSが中間者攻撃を阻止するための努力は、同社がダウンロードサーバーのセキュリティを十分に強化し、アップデートが再び改ざんされないようにする限り、全く問題ない。
また、ASUSは声明の中で、ShadowHammerは無作為のネットユーザーではなく、特定の組織または団体を標的とした、名前の明かされていない国家のスパイによって実行されたと示唆しました。同社はこの侵入を、高度な持続的脅威(APT)によるものと表現し、以下のように定義しています。
ネットワーク アダプタの MAC アドレスがバックドアを仕掛けられた Live Update ビルドに組み込まれていたという事実は、ShadowHammer の背後にいるスヌープがターゲットの内部動作を十分に把握していたことを示唆しています。
セキュリティ企業トリップワイヤーの製品管理および戦略担当副社長ティム・アーリン氏は、ASUSはネットユーザーがこの攻撃について抱くであろう疑問や、それにどう対処すべきかという疑問の多くに答えていないと指摘した。
「ASUSは修正プログラムをリリースしたかもしれないが、既に侵入を受けている場合は、それだけでは不十分かもしれない。影響を受けたユーザーは、攻撃者が本当に自分たちを狙っているのかどうかを確認し、侵入の程度を評価する必要がある」とアーリン氏はThe Registerに語った。
「今回の攻撃は、ASUSのアップデートという非常に広範なプラットフォームを悪用しましたが、その後、当初侵害を受けた少数のプラットフォームを戦略的に標的にし、さらなる攻撃を仕掛けました。ASUSによる修正では、誰が、なぜ標的にされたのかを理解することができません。」
サプライチェーンへの侵入は、メーカーやソフトウェアメーカーからのセキュリティアップデートのインストールをためらうべきではありません。専門家からのアドバイスは、自動パッチの適用を継続することです。この種の攻撃は極めて稀ですが、全くないわけではありません。一方、修正プログラムが提供されている既知の脆弱性を狙ったエクスプロイトは、決して消えることはありません。®
