Kaspersky Lab、世界数百の大企業が使用する正規ソフトウェアのアップデートにバックドアを仕込んだ「ShadowPad」を発見

[本リリースは、2017年8月15日にKaspersky Labが発表したプレスリリースに基づき作成したものです]

Kaspersky Labのグローバル調査分析チーム（GReAT）※1 のリサーチャーは、世界数百の大手企業にサーバー管理ツールを提供しているNetSarangが配信したソフトウェアパッケージに埋め込まれたバックドアを発見しました。攻撃者はこのバックドアを使って侵入先のデータを窃取し、外部に送信することができます。Kaspersky Labからの連絡により、NetSarangは直ちに悪意あるコードを削除したソフトウェアのアップデートをリリースしました。

「ShadowPad」 は、これまでのサプライチェーン攻撃の中でも最大規模のひとつです。今回、素早く検知、解決していなければ、世界中の数百もの組織が攻撃の被害に遭っていた可能性があります。

2017年7月、GReATのリサーチャーが取引先のある金融機関からの依頼で、金融取引処理に関わるシステムで疑わしい DNSリクエストについて調査しました。その結果、これらのリクエストはNetSarangのサーバー管理ソフトウェアから来ていることがわかりました。このソフトウェアは、金融サービス、教育、通信、製造、エネルギー、運輸業界など、数百もの組織が導入しています。調査結果の中で最も懸念したことは、NetSarangのソフトウェアはこのようなDNSリクエストを行うことを意図していないという点でした。

リサーチャーがさらに詳細に分析したところ、この疑わしいDNSリクエストはNetSarangの正規ソフトウェアのアップデートが改竄され、仕込まれたマルウェアによって実行されていることが判明しました。改竄されたアップデートをインストールすると、このマルウェアは複数の特定ドメイン (指令サーバー) に対して8 時間に1回、感染コンピューターのユーザー名、ドメイン名、ホスト名などの基本情報を送ります。攻撃者がそのコンピューターに「興味を持った」場合は指令サーバーが応答し、バックドアを有効化して悪意あるコードをダウンロードして実行できるようになります。攻撃ツールと手法の分析結果から、中国語話者のサイバースパイ集団として知られる「Winnti」が過去に使用したPlugXマルウェアの変種と似通った部分がありましたが、結びつきの証明には引き続き調査が必要です。

発見した GReATのリサーチャーからの連絡を受け、NetSarangは修正したアップデートをすぐにリリースしました。リサーチャーは、香港の企業でこのバックドアが有効化されたことを確認していますが、リリースされた最新のソフトウェアアップデートを適用していない組織も存在すると考えられることから、ShadowPadマルウェアは世界中の多くのコンピューターに潜んでいる可能性があります。

GReATのセキュリティエキスパート イーゴリ・スメンコフ（Igor Sumenkov）は次のように述べています。「ShadowPad は、サプライチェーン攻撃がいかに危険で大規模になるかを示しています。攻撃から収集できるデータを考えると、幅広く使用されているほかのソフトウェアコンポーネントでも、今後繰り返し利用される可能性が非常に高いと言えます。幸いにも NetSarang は私たちからの知らせに迅速に対応し、クリーンなソフトウェアアップデートをリリースしたため、彼らの顧客をデータ窃取の被害から守ることができました。しかしこのケースから分かることは、大手企業はネットワーク活動を監視し、異常を検出できる最新のソリューションに頼らなければならないということです。そうすることで、高度な知識を持つ攻撃者がマルウェアを正規ソフトウェアの中に隠したとしても、悪意ある活動を突き止めることができます」

カスペルスキー製品は、ShadowPad マルウェアを以下の検知名で検知・ブロックします。

Backdoor.Win32.ShadowPad.a

■ ShadowPadの詳細は、Securelist ブログ「ShadowPad in corporate networks」（英語）をご覧ください。指令サーバーのドメインリストやバックドアの詳細情報も紹介しています。

※1 Global Research and Analysis Team（GReAT、グレート）
GReATはKaspersky LabのR&Dで研究開発に携わる中核部門として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、社内および業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。