ロシアのウイルス対策ソフトメーカーであるカスペルスキーが2019年3月、台湾エイスースのノートパソコンを狙ってマルウエア(ウイルス)が配布されているとブログで明らかにしました(図1)。エイスースは、国内ではパソコンパーツの大手メーカーとして有名ですが、調査会社のリポートによれば、世界で5、6番手のシェアを持つパソコンメーカーです。

図1●エイスースのサーバーが悪用されたことを伝えるカスペルスキーのブログ
攻撃者は台湾エイスースのサーバーに不正侵入し、同社のノートパソコンに標準で搭載されるユーティリティーソフト「ASUS Live Update」の最新版をバックドアが付いたものに置き換えた。
[画像のクリックで拡大表示]

 カスペルスキーは、ウイルスはエイスースのノートパソコンに標準で搭載されるユーティリティーソフト「ASUS Live Update」にバックドアが仕込まれたものとしています。ASUS Live Updateは、ノートパソコンのBIOSやデバイスドライバーのアップデートを管理するソフトです。自身のアップデートも管理します。

 攻撃者は、バックドア付きのソフトをどのように配布し、攻撃を展開したのでしょうか。今回はこの事件を調査しました。

サーバーに不正侵入

 攻撃者がバックドア付きのソフトを配布するために利用したのは、エイスースのサーバーでした。

 ASUS Live Updateは、エイスースが用意したアップデート用サーバーにアクセスし、BIOSやデバイスドライバー、そして自身の最新版がないかどうかをチェックします。この仕組みを攻撃者は悪用しました。

 攻撃者はまず、アップデート用サーバーに不正侵入し、ASUS Live Updateの最新版をバックドア付きのものに置き換えます(図2の「攻撃者の準備1」)。

図2●エイスースのアップデートシステムを悪用した攻撃の流れ
攻撃者は、バックドア付きのソフトを利用して、別のウイルスに感染させようとした。
[画像のクリックで拡大表示]

 ノートパソコンのASUS Live Updateは、サーバーに自身の最新版があるかどうかを確認します。そして最新版があれば、アップデートを要求します(同(1))。すると、ノートパソコンのASUS Live Updateは、攻撃者が用意したバックドア付きのソフトに書き換えられてしまいます(同(2))。

 バックドアとは、外部のコンピューター(C2サーバーなど)と通信して別のウイルスをダウンロードしてインストールしたり、指示を受けて動作したりするウイルスの機能です。今回の攻撃では、「asushotfix.com」というドメインのC2サーバーが用意されていました(同「攻撃者の準備2」)。

 バックドア付きのソフトは、C2サーバーと通信して、別のウイルスをダウンロードしたようです(同(3))。海外のセキュリティーベンダーや専門家による解析で、別のウイルスは「logo.jpg」または「logo2.jpg」というファイル名で配布されていたことが分かっています。いわゆるjpg偽装したファイルだとみられますが、どのような動きをするウイルスだったかは不明です。

▼BIOS
Basic Input/Output Systemの略。パソコンに搭載されたファームウエアの1つ。現在のBIOSは、UEFI(Unified Extensible Firmware Interface)という仕様をサポートするため、UEFIと呼ぶこともある。
▼C2
Command & Controlの略。
▼jpg偽装
拡張子を変えてファイルの目的を隠す偽装方法の1つ。jpgファイルは本来画像ファイルだが、jpg偽装したファイルには攻撃用のコードなどが含まれる場合がある。

この先は有料会員の登録が必要です。「日経NETWORK」定期購読者もログインしてお読みいただけます。有料会員(月額プラン)は初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら