昨年、ASUS のVivobookというノートパソコンを、赤坂のASUSショップでバーゲンしていたので購入しました。赤くて綺麗だったし、税込64800円という価格にやられた感じです。
が、SANS NewsBites の 3/26日号をみてびっくり。
Hackers Hijacked ASUS Live Update Utility to Install Backdoors
なので、以下にまとめておきます。全国の ASUS ユーザの皆さん、要注意です!
元ネタ
SANS NewsBites, March 26, 2019 (Vol. 21, Num. 024) です。時間があるときにさっと目を通すくらいの感じで購読中。
今回は、これを日本語訳してくれている NRI Secureさんのメールで見かけて「こりゃまずい!」と思ったのでした。
内容
かいつまんで言うと、下記のようになります。
- ASUS Live Update Utilityにバックドアが仕掛けられた
- 名称は「オペレーション シャドウハンマー(影のハンマー作戦?)」
- 攻撃は少なくとも2018年6月から11月の間に実行
- 特定のMACアドレスを持つマシンを探していて、ターゲットになるとバックドアを通じてさらにマルウェアが送り込まれる仕組み(ターゲットは600台くらい)
- Kaspersky Lab が2019年1月に発見して、ASUSに報告
- Kaspersky Lab はマシンがターゲットになっているかどうかをチェックするツールを作って公開
- 詳細は4月にシンガポールで開催される SAS 2019 (https://sas.kaspersky.com/)にて発表されるとのこと
この件が怖いのは、Editor's Note で触れられていますが、攻撃者が通常のASUSのサーバーから、正しい署名を付けて、バックドア付きのツールを配信できたこと。ユーザの知らないうちにツールが自動アップデートされて被害を受けるわけです。そんな世の中になっているんだなぁと。
ほかのベンダーでも、「ソフトウェア更新」に何か仕掛けられる、という攻撃が普通になってくるのかもしれません。怖すぎです...ASUSさん、頼みますよ。
チェックサイト
カスペルスキーさんが用意しているサイトはこちら。
こちらに、ipconfig /all コマンドなどで出てくる MACアドレス(物理アドレス)をコピペして CHECK NOW ボタンを押せば判定してくれます。早く安心したい!
もう少し詳しい情報
SecureListにあるとのことなので、読んでみます。
簡単に要約すると。
- 非常に洗練されたサプライチェーン攻撃で、技術的には過去の Shadowpad や CCleaner の事例と同じか、上回る
- ASUSは2017年のデータで世界5位のベンダーであり、攻撃対象として魅力的
- Kasperskyユーザだけでも57000台以上、被害を受けた
- 全世界ではおそらく100万人以上が影響を受けていると思われる
- 長期にわたって発見されなかったのは、正しいデジタル証明書つきで、正規のサーバから配信されていたため。
- 日本で影響を受けたのは全体の2%に満たないくらいで、ロシア、ドイツ、フランスの3か国で半分近くを占める。
日本で感染した事例は少ないようですが、こんな攻撃、いったいどうやって防げばいいのか...せめてアンテナを高くしてテンポよく対応しないとだめですね。
ASUSさんの対応
お知らせが出ています。3月27日付。こういうのは、早く気付かないとな...ASUS Live Update のバージョン 3.6.8 以降なら安心とのこと。
(こんな内容なのに、以下宣伝...良いマシン達ですよ。)