知って得するセキュリティのはなし その11
ASUSノートPCのソフトウェアアップデートにマルウェア混入、「サプライチェーン攻撃」が原因
1.このニュースをざっくり言うと
- 3月25日(現地時間)、セキュリティベンダーのKaspersky社およびSymantec社より、ASUS社が同社ノートPC等にBIOS・ドライバ等のアップデートを提供する「ASUS Live Update」にマルウェアが混入されていたと発表されました。
- 2018年6月~11月にASUS社のアップデート配信サーバに正規の証明書が用いられた不正なアップデートファイルが置かれる攻撃が発生していたことをKaspersky社が今年1月に発見したもので、同社では今回発生した攻撃を「Operation ShadowHammer」と呼んでいます。
- Kaspersky社の発表では、同社セキュリティ製品の利用者だけでも57,000人以上が不正なASUS Live Updateをインストールしたことが確認された他、全世界で100万人以上が影響を受けた可能性があるとしており、国別ではロシア・ドイツ・フランスが大半を占める他、日本等でも少数の被害が出ているとしています。
- 3月26日にはASUS社より、Live Updateの最新バージョン3.6.8と、機器が影響を受けていないかチェックする診断ツールがリリースされています。
2.執筆者からの所感等
- 今回のような、ソフトウェア開発者のアカウントを乗っ取る等の行為により、配布物にマルウェアを混入させることを「サプライチェーン攻撃」と呼び、2017年9月にはWindows用の人気ソフトウェア「CCleaner」において同様の攻撃の事例が報告されています(AUS便り 2017/09/25号参照)。
- マルウェアが混入したソフトウェアが開発者の正規の署名でリリースされることにより、アンチウイルスによる検出を回避しやすい状況を得るのがサプライチェーン攻撃を狙う理由とされます。
- ソフトウェア開発のみならず、Webサイトの運営・保守においても、同様の攻撃によりページやWebアプリケーションに内部からマルウェアを仕込まれる可能性があり、提供者サイドにおいては、末端の協力者等に至るまで十分なセキュリティ対策を行うよう徹底することが重要となるでしょう。