2013年6月25日、韓国政府は、同国の複数の政府関連およびニュース系 Webサイトが改ざんやサーバーダウンなどの被害に遭った状況を受けて、同国のサイバーセキュリティ警報を 5段階中 1から 3 に引き上げました。同日に発生したセキュリティインシデントに関連する攻撃のうち1つは、正規ソフトウェアのインストーラファイル ”SimDisk.exe” の改変が関与しています。「SimDisk」は、ファイル共有およびオンラインストレージを提供する正規Webサイトです。改変されたインストーラは、この「SimDisk」用ソフトウェアの自動更新機能を悪用します。トレンドマイクロではこの不正な”SimDisk.exe” をすでに入手しており、解析調査を行っております。
ソフトウェアベンダの自動更新機能の大半は、ソフトウェアにセキュリティ更新プログラムを適用したり、最新版を使い続けられるようにする上でユーザにとって煩わしくないように設計されています。こうした自動更新機能は、ソフトウェアの脆弱性を利用して行われるサイバー犯罪や標的型攻撃から防御するために極めて重要となります。
正規ソフトウェアは、当然、正規の Webサイトから自動的に更新プログラムをダウンロードするように設計されています。今回の「SimDisk」の事例では、正規ソフトウェアのダウンロード元 Webサイトが攻撃を受けた結果、不正に改変されたインストーラ“SimDisk.exe”(「TROJ_DIDKR.A」として検出)に置き換えられていました。この不正なインストーラは、通常のダウンロードを装うために正規インストーラである”SimDisk.exe”のコピーを作成します。しかし、同時にもう一つの不正なファイル”SimDiskup.exe”(「TROJ_DIDKR.A」として検出)も作成します。この作成された不正なファイルは、感染の連鎖が目的通りに実行されるように、不正な Webサイトにアクセスします。
 |
|
|
トレンドマイクロでは、「TROJ_DIDKR.A」からサービス拒否(DoS)攻撃ツールへの脅威連鎖を確認しております。現在、引き続き関連事例について調査中であり、攻撃の詳細情報がわかり次第、本ブログなどで発信してまいります。ソフトウェアの自動更新機能が悪用された今回の事例から、ソフトウェアベンダは、このような領域に対する攻撃が製品を使用するユーザに与える影響を考慮し、製品に関連するサーバやネットワーク全体のセキュリティを優先的に確保すべきでしょう。
トレンドマイクロ製品をご利用のユーザは、トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」によって守られています。特に「Webレピュテーション」技術により、今回の攻撃に関連する不正な Web サイトへのアクセスをブロックします。また「ファイルレピュテーション」技術により、改変されたインストーラや関連する不正なファイルを検出し、削除します。弊社のネットワーク監視ソリューション製品「Trend Micro Deep Discovery」は、ネットワーク全体の可視化を通じて、各企業や組織のIT管理者がネットワークを防御するための対策を提供します。
※協力解析者:Harli Aquino(Threat researchers)およびNikko Tamana(Threat Response Engineer)
参考記事:
by Marco Dela Vega (Threats Researcher)
翻訳:船越 麻衣子(Core Technology Marketing, TrendLabs)
【更新情報】
| 2013/06/26 | 22:40 | トレンドマイクロでは、上述の正規インストーラによる自動更新機能を悪用する手法が他にも利用されていたことを確認しました。今回確認したファイルは、”Songsari_setup.exe” です。この “Songsari_setup.exe” が改変され、Webサイトにアクセスする不正なファイルを作成し、感染の連鎖へつながります。トレンドマイクロの製品では、こうした改変されたインストーラファイルおよび、作成またはダウンロードされたファイルを「TROJ_DIDKR.A」として検出します。
|
||
| 2013/07/01 | 15:30 | その後の更なる解析結果を反映した画像を更新しました。 |
