カスペルスキー研究所は、ASUSのパソコン約100万台が同社のアップデートサーバーからスパイウェアをダウンロードし、インストールした可能性があると主張している。
台湾メーカーのバックエンドシステムでホストされているAsus Live Update Utilityのコピーを誰かが改変し、同社のセキュリティ証明書を使用して署名し、ファイルの長さも正規版と同じにすることで、すべてが合法であるように見せかけました。このアップデートユーティリティはすべてのマシンに同梱されており、Asusから提供されるアップデートでマザーボードのファームウェアと関連ソフトウェアを定期的にアップグレードします。
最新のアップデートを入手するためにASUSのサーバーにアクセスすると、このユーティリティはASUS Live Update Utilityのバックドア版を取得してインストールするとのこと。Kasperskyによると、この不正なバージョンは2018年6月から11月にかけて提供されていたとのことです。
このユーティリティの感染ビルドは、ソフトウェアにハードコードされたネットワークMACアドレスで識別される約600台のマシンをスパイするように設計されていました。つまり、約100万台のASUS製コンピューターがトロイの木馬化されたアップデートユーティリティを実行しており、そのうち数百台がバックドア経由で積極的にスパイされていた可能性があります。
今年1月にカスペルスキー社が発見し、最近はセクシーな名前が欠かせないことから「ShadowHammer」と名付けられたこの悪質なソフトウェアは、ロシアのセキュリティ企業カスペルスキー社のウイルス対策ツールが稼働している5万7000台のマシンで発見されたようです。この数字を推計すると、このバックドアが稼働しているコンピューターは約100万台に上るとされています。ASUSは世界第5位のコンピューターメーカーです。カスペルスキー社は、まだ名前を公表していない他の3社のファームウェアにも同様のエクスプロイトコードを発見したと主張しています。
「これは非常に洗練されたサプライチェーン攻撃であり、その複雑さと技術の点でシャドウパッドやCCleanerの事件に匹敵、あるいは凌駕していると考えられる」とロシアのセキュリティ研究者らは予備報告書で述べた。
最近CCleanerをダウンロードしましたか?ああ、大変…マルウェアが詰まっていました
続きを読む
これほど長い間検出されなかった理由の一つは、トロイの木馬化されたアップデータが正規の証明書(例:「ASUSTeK Computer Inc.」)で署名されていたことです。悪意のあるアップデータは、ASUSの公式アップデートサーバーであるliveupdate01s.asus[.]comおよびliveupdate01.asus[.]comにホストされていました。
マザーボードによると、カスプセルキー社は、同社スタッフが1月31日に初めてASUSに大規模感染について報告し、2週間後に面会したと述べています。しかし、それ以降、ASUSは修正に進展が見られず、顧客への警告も行っていません。また、当社のコメント要請にも回答しませんでした。
シマンテックはまた、同社のウイルス対策ツールが1万3000台以上のマシンでバックドア付きのアップデートユーティリティを検出したと述べた。
言うまでもなく、この混乱を理由に、セキュリティ更新やパッチのインストールを延期すべきではありません。
「これは最悪のサプライチェーン攻撃だ」と、コンピュータサイエンスの非常勤教授で暗号技術の第一人者であるマット・ブレイズ氏は、今回の暴露を受けて述べた。「今日のセキュリティにとって不可欠となっている更新メカニズムの完全性に対する信頼を損なう恐れがある。しかし、今回の攻撃があったとしても、常に最新の状態にしておく方がはるかに賢明だ。本当にそうだ」
「あらゆる製品には脆弱性が存在します。それらは時間の経過とともに発見され、悪用されます。パッチを適用すれば、ベンダーを通して送り込まれる悪意のあるアップデートの餌食になる可能性はわずかですが、パッチを適用しなければ、時間の経過とともにほぼ100%の確率で攻撃を受けることになります。」
MACアドレスリストに登録されたマルウェアの受信者かどうかを確認したい場合は、オンラインツールがこちらにあります。カスペルスキー社は、このサプライチェーン攻撃に関する調査を継続しており、4月8日にシンガポールで開催される年次セキュリティジャンボリーで、この大惨事に関する詳細な報告書を発表する予定だと述べています。®
