ASUS製PCの自動更新ツールがトロイの木馬化。100万人規模に影響の恐れ

正式な証明書でデジタル署名されている不正な「ASUS Live Update Utility」インストーラ

　露Kasperskyは25日、台湾ASUSのPC用アップデートツールを介して、2018年6月～11月にかけてマルウェア攻撃が行われていたことを発見、その情報を公開した。

　Kasperskyが発見したのは、BIOSやUEFI、ドライバ、アプリケーションなどを自動更新するためにほとんどのASUS製PCにプリインストールされている「ASUS Live Update Utility」が、不正なアップデートを受け取ることで“トロイの木馬”として振る舞い、追加のマルウェアを送り込むというもの。

　発見されたのは1月だが、攻撃が実行されたのは2018年6月～11月と4カ月以上前であるという。発見が遅れたのは、不正なアップデータがASUSのアップデートサーバーから配信され、ASUSの持つ正当な証明書で署名されていたためで、いわゆるサプライチェーン攻撃にあたる。

　Kasperskyでは、この攻撃を「ShadowHammer」と名付け、「Shadowpad」や「CCleaner」での事例を超えた、高度なサプライチェーン攻撃であるとしている。

　Kasperskyのソフトウェア検知によれば、5万7千人以上のKasperskyユーザーがトロイの木馬化されたASUS Live Updateをダウンロード、およびインストールしており、非Kasperskyユーザーも含めると、全世界で100万人超のユーザーがShadowHammerの影響を受けるとの予測を示している。

　Kasperskyは、1月31日にASUSに連絡を取り、ASUSでの調査に協力を行なっているという。

Kasperskyユーザーのうち不正なASUS Live Updateをインストールしていたユーザーの国別比率。日本は2%未満となっているが、あくまでもKasperskyユーザーの比率に基づいているため、実際よりも小さい値の可能性があることに留意されたい

　攻撃そのものは、無差別に攻撃するものではなく、未知のユーザーグループをターゲットにしたものと見られ、ShadowHammerはネットワークアダプタのMACアドレスをハードコーディングすることで攻撃対象を識別している。

　Kasperskyでは、200以上のサンプルから600以上のMACアドレスを抽出しており、この攻撃対象になっているのかを確認できるよう、PCのMACアドレスとマルウェアにハードコードされている事前定義されたMACアドレスのリストとを比較して、一致した場合に警告を行なうツールも提供している。このリストはWebサイトからも確認できるため、ASUS製PCユーザーは1度確認することを推奨したい。