企業の公式ソフトウェアや更新アップデートに直接マルウェアを仕込む「サプライチェーン攻撃」の脅威は増加し続けている

By TheDigitalArtist

ソフトウェアの「サプライチェーン攻撃」とは開発・製造・流通・配布といったサプライチェーンの過程で、ソフトウェアにマルウェアなどの悪意のあるコードを混入させるというハッキングの手口です。サプライチェーン攻撃の脅威は拡大しているとArs Technicaが報じています。

A mysterious hacker gang is on a supply-chain hacking spree | Ars Technica
https://arstechnica.com/information-technology/2019/05/a-mysterious-hacker-gang-is-on-a-supply-chain-hacking-spree/

有名企業の公式ソフトウェアや、既にインストールしているソフトウェアの更新プログラムなどは、無条件にダウンロードしてインストールしてしまいがちです。そういった更新プログラムなどに悪意のあるコードが埋め込まれると、何十万、何百万のコンピューターが「更新する」というたった1回の操作でPCにマルウェアが混入してしまうこととなり、悪意のある攻撃に対して無防備になってしまいます。CCleanerとASUSの公式ソフトウェアにマルウェアが混入された事件は、有名企業のソフトウェアがサプライチェーン攻撃を受けた例の1つです。

CCleanerの公式ファイルが改ざんされマルウェア入りの状態でダウンロード配布される - GIGAZINE

ASUS公式の「ASUS Live Update Utility」に設けられたバックドア経由でマルウェアが配布されていたことが判明 - GIGAZINE

CCleanerの事件では70万台、ASUSの事件では60万台のPCが被害に遭ったことが判明しています。過去3年において、6社のソフトウェアを配布する会社が同様の手口でサプライチェーン攻撃の標的となっていますが、背後にはあるハッカーグループの関与が疑われています。

このハッカー集団は「ShadowHammer」「ShadowPad」「Wicked Panda」など、セキュリティ会社によってつけられた通り名がそれぞれ異なりますが、「Barium」と呼ばれるハッカーグループです。Bariumは中国語を話すハッカーの集団で、犯行に使われたコードは、中国政府の関与が疑われているハッカー組織「APT17」と似通っているそうです。

By koldunov

Bariumの手口は独特で、多数のPCに侵入するにも関わらず、本当に重要な情報はごく一部のPCからしか盗み出しません。ASUSの事件では被害に遭った60万台のうち約600台、CCleanerの事件では70万台のうち約40台のコンピューターにしか重要な情報を盗み出すスパイウェアをインストールしませんでした。被害に遭ったPCのほとんどは、「インストールされているソフトウェアの一覧」や「実行中のプロセス一覧」など価値の低い情報が盗まれ、パスワードなど重要な情報が盗まれたPCはほんの一握りでした。Bariumは利益重視のハッカー組織ではないと見られています。

しかし、サプライチェーン攻撃が危険であることには変わりはありません。ロシアのコンピューターセキュリティ会社カスペルスキーのアジア調査部門のディレクターであるヴィタリー・カムリュク氏は「信頼できるはずの企業公認ソフトウェアを汚染するサプライチェーン攻撃が続くと、人は正当なソフトウェアアップデートやソフトウェア配布会社を信頼しなくなるため、この攻撃はハッキングの中でも最悪です」と断じています。カムリュク氏は「サプライチェーン攻撃は絶えず進化し、洗練され続けています。時間がたつにつれてサプライチェーン攻撃を専門とするハッカーを捕まえることは、ますます難しくなると考えられます」と語っており、この種の犯罪の深刻化を懸念しています。

また、サプライチェーン攻撃を行っているのはBariumだけではありません。ロシアのハッカーグループが「NotPetya」というマルウェアを使ってサプライチェーン攻撃を行っており、同グループの攻撃による被害総額は100億ドル(約1兆1000億円)と見積もられています。

中央銀行や国営通信、チェルノブイリ原発をシステムダウンさせたマルウェア「NotPetya(GoldenEye)」が世界レベルで大流行 - GIGAZINE