NTTコミュニケーションズ

Bizコンパス

サイトメンテナンスのお知らせ(2020年9月23日(水)予定)
ユーザーは守るすべなし…サプライチェーン攻撃の悪夢
2019.11.27

セキュリティ最前線第4回

ユーザーは守るすべなし…サプライチェーン攻撃の悪夢

著者 すずきひろのぶ (鈴木裕信)

 2018年夏、ASUS社製ノートパソコンに付属している自動アップデートユーティリティASUS Live Update Utilityに、マルウェアが組み込まれ、ユーザーに公式配布されるというインシデントが発生していた。

 マルウェアが組み込まれたLive Update Utility のパッケージは、ASUSにより正式な電子署名がされていたため、正規バージョンとして扱うしかなく、結果、多数のASUSノートパソコンにインストールされた。その感染数は50万台から100万台と見積もられている。ユーザーからみれば、ベンダーが提供する正規のソフトウェアやデータであるがゆえに、防御するのは極めて難しい……いや、正直にいえば防御はできない。

 これは、製品がユーザーの手に届くまでの過程を狙った「サプライチェーン攻撃」の一種としてみなして良いだろう。ベンダーが提供する正規のソフトウェアやデータが、製造工程段階もしくは流通段階でマルウェアに汚染され、その汚染されたソフトウェアが,正規のソフトウェアとして、ユーザーのシステムで利用されてしまっているのだ。

 本記事では、このASUS Live Update Utilityのケースから、ユーザー側にとっては“悪夢”ともいえる、サプライチェーン攻撃の恐ろしさを紹介する。

 

アップデートしてもしなくても、ユーザーはマルウェアを防げない

 ASUSは、ノートパソコン市場ではトップの一角を占める有力なベンダーである。もしかすると“日本では存在感が薄い”と考える人もいるかもしれないが、同社日本語サイトトップのHTMLのmetaタグには「ASUS(エイスース)は、世界第1位のマザーボードとコンシューマー市場で出荷台数世界第2位のノートパソコンをはじめ、ビデオカードなどのパソコン向け高性能パーツ、デジタルインターネットデバイスなどの開発販売を行っている総合エレクトロニクスメーカーです」とある。

 ASUS Live Update Utilityは、ASUSのノートパソコンに付属している独自のユーティリティで、ASUSが提供するドライバ、ファームウェア、あるいはアプリケーションなどを最新版にアップデートする。位置づけとしてはWindows Updateと併用して利用しセキュリティを保つためのユーティリティであると、同社のサイトでは説明している。Live Update Utility自身も、Live Update Utilityにより最新版にアップデートされる。

 このLive Update Utilityのアップデートバージョンにマルウェアが埋め込まれた。ソフトウェアの開発過程でソースコードが改ざんされたのか、それとも配布パッケージを作成する際に感染したのかといった詳細な情報は公開されていないが、いずれにしても社内の作業プロセスの段階で改ざんされマルウェアが埋め込まれた。そのマルウェアが入ったアップデートパッケージがASUSによる電子署名が施され、公式チャネルから配布された。配布パッケージはASUSの正規の電子署名をつけられていた。

 ASUSの正規の電子署名がつけられているということは、ユーザーのシステムからみたら中身が何であろうとASUSの公式に配布しているものだ。さらにいえばLive Update UtilityはASUSのノートパソコンを購入したら最初から入っているもので、しかも自動的にアップデートがかかってしまうのである。

 もしアップデートを止めれば、今度は… 続きを読む… 続きを読む

続きを読むには会員登録が必要です

すずきひろのぶ (鈴木裕信)

すずきひろのぶ (鈴木裕信)

80年代よりUNIXやネットワークのエキスパートとして活躍し90年代よりコンピュータセキュリティに携わる。現在は業務アプリケーションにSELinuxを適用し安全性を高める研究に従事。近著「マジメだけどおもしろいセキュリティ講義 事故が起きる理由と現実的な対策を考える (Software Design plusシリーズ)」絶賛発売中

この記事で紹介しているサービスについて

関連キーワード

SHARE

関連記事

「Zoom」のセキュリティ(後編)使っても大丈夫か?

2020.09.03

今知っておきたいITセキュリティスキルワンランクアップ講座第24回

「Zoom」のセキュリティ(後編)使っても大丈夫か?

「Zoom」のセキュリティ(中編)脆弱性やプライバシーの問題

2020.08.07

今知っておきたいITセキュリティスキルワンランクアップ講座第23回

「Zoom」のセキュリティ(中編)脆弱性やプライバシーの問題

「Zoom」のセキュリティ(前編)何が問題だったのか?

2020.07.30

今知っておきたいITセキュリティスキルワンランクアップ講座第22回

「Zoom」のセキュリティ(前編)何が問題だったのか?

なぜNTT Comは早期に全従業員の在宅勤務を実現できたのか

2020.06.05

テレワーク導入の“壁”を解決第8回

なぜNTT Comは早期に全従業員の在宅勤務を実現できたのか

テレワークのセキュリティでの9つの疑問と回答

2020.05.12

IT&ビジネス最新ニュース第11回

テレワークのセキュリティでの9つの疑問と回答

SSDにおいて削除したファイルの復元は可能か?

2020.04.21

今知っておきたいITセキュリティスキルワンランクアップ講座第21回

SSDにおいて削除したファイルの復元は可能か?

「スマホ窃盗」から身を守るための対策とは

2020.04.13

セキュリティの“盲点”第2回

「スマホ窃盗」から身を守るための対策とは

「サイバー攻撃から24時間体制で守る運用」をアウトソース!?その効果とは

2020.03.11

セキュリティ対策に求められる新たな視点第14回

「サイバー攻撃から24時間体制で守る運用」をアウトソース!?その効果とは

“届いてから最短10分”でテレワークを始める方法がある

2020.03.04

テレワーク導入の“壁”を解決第1回

“届いてから最短10分”でテレワークを始める方法がある

ECサイトからのカード情報の流出。利用者ができる対策は?

2020.02.20

今知っておきたいITセキュリティスキルワンランクアップ講座第20回

ECサイトからのカード情報の流出。利用者ができる対策は?