![[画像] ASUSの自動更新ソフトにバックドア。更新サーバーが乗っ取られユーザーに配布](https://image.news.livedoor.com/newsimage/stf/a/e/aec9b_1186_ad8dc9c2_4b7bc28c.jpg)
公式アプリがマルウェアに感染し、アプリストアで配布されるという、いわゆるサプライチェーン攻撃は残念なことに珍しい話でもなくなってきましたが、ASUSのPCがこのサプライチェーン攻撃を受けていたようです。
ロシアのセキュリティ企業Kasperskyによると、ASUS Live Updateが利用するアップデートサーバーが攻撃を受け、アップデートによりバックドアが仕込まれたASUS Live Updateがユーザーに配布されていたとのこと。ShadowHammerと名付けられたこの攻撃は、2018年6月〜11月の間に行われていました。
ASUS Live UpdateはASUS製PCにプリインストールされているユーティリティで、BIOSやドライバなどの自動更新に使われています。
5万7000人以上のKasperskyユーザーが、バックドア入りのASUS Live Updateをインストールしていたとのこと。その内訳としては、ほとんどがロシア、ドイツ、フランスですが、日本でも2%弱の割合で見つかっています。この割合はあくまでもKasperskyユーザーの分布に影響しているもので、実際にはASUSユーザーの分布に比例するはずとのこと。そして、全世界では100万人以上が影響を受ける可能性があると指摘しています。
改ざんされたASUS Live Updateには、正規のデジタル証明書が利用されていたため、これまで発覚しなかったようです。
気になるその動作ですが、標的となる特定のMACアドレスの機器にインストールされた場合に限り、バックドアを通じて別のマルウェアをダウンロードするようになっていたとのこと。200以上のサンプルを解析した結果、攻撃対象として約600のMACアドレスが見つかっていますが、他の攻撃対象を含むサンプルがあるかもしれないとしています。
この攻撃対象に含まれない限り、バックドアを持つLive Updateは特に何もしないようです。念のため、自身のPCが攻撃対象に含まれるかをチェックするツールをKasperskyが配布しています。
この件に関して、ASUSからはまだ発表がありませんが、The Vergeによると3月26日午後(現地時間)に発表を行う予定だとしています。
ロシアのセキュリティ企業Kasperskyによると、ASUS Live Updateが利用するアップデートサーバーが攻撃を受け、アップデートによりバックドアが仕込まれたASUS Live Updateがユーザーに配布されていたとのこと。ShadowHammerと名付けられたこの攻撃は、2018年6月〜11月の間に行われていました。
ASUS Live UpdateはASUS製PCにプリインストールされているユーティリティで、BIOSやドライバなどの自動更新に使われています。
5万7000人以上のKasperskyユーザーが、バックドア入りのASUS Live Updateをインストールしていたとのこと。その内訳としては、ほとんどがロシア、ドイツ、フランスですが、日本でも2%弱の割合で見つかっています。この割合はあくまでもKasperskyユーザーの分布に影響しているもので、実際にはASUSユーザーの分布に比例するはずとのこと。そして、全世界では100万人以上が影響を受ける可能性があると指摘しています。
改ざんされたASUS Live Updateには、正規のデジタル証明書が利用されていたため、これまで発覚しなかったようです。
気になるその動作ですが、標的となる特定のMACアドレスの機器にインストールされた場合に限り、バックドアを通じて別のマルウェアをダウンロードするようになっていたとのこと。200以上のサンプルを解析した結果、攻撃対象として約600のMACアドレスが見つかっていますが、他の攻撃対象を含むサンプルがあるかもしれないとしています。
この攻撃対象に含まれない限り、バックドアを持つLive Updateは特に何もしないようです。念のため、自身のPCが攻撃対象に含まれるかをチェックするツールをKasperskyが配布しています。
この件に関して、ASUSからはまだ発表がありませんが、The Vergeによると3月26日午後(現地時間)に発表を行う予定だとしています。
外部リンクEngadget 日本版