Bizコンパス

ユーザーは守るすべなし…サプライチェーン攻撃の悪夢
2019.11.27

セキュリティ最前線第4回

ユーザーは守るすべなし…サプライチェーン攻撃の悪夢

著者 すずきひろのぶ (鈴木裕信)

 2018年夏、ASUS社製ノートパソコンに付属している自動アップデートユーティリティASUS Live Update Utilityに、マルウェアが組み込まれ、ユーザーに公式配布されるというインシデントが発生していた。

 マルウェアが組み込まれたLive Update Utility のパッケージは、ASUSにより正式な電子署名がされていたため、正規バージョンとして扱うしかなく、結果、多数のASUSノートパソコンにインストールされた。その感染数は50万台から100万台と見積もられている。ユーザーからみれば、ベンダーが提供する正規のソフトウェアやデータであるがゆえに、防御するのは極めて難しい……いや、正直にいえば防御はできない。

 これは、製品がユーザーの手に届くまでの過程を狙った「サプライチェーン攻撃」の一種としてみなして良いだろう。ベンダーが提供する正規のソフトウェアやデータが、製造工程段階もしくは流通段階でマルウェアに汚染され、その汚染されたソフトウェアが,正規のソフトウェアとして、ユーザーのシステムで利用されてしまっているのだ。

 本記事では、このASUS Live Update Utilityのケースから、ユーザー側にとっては“悪夢”ともいえる、サプライチェーン攻撃の恐ろしさを紹介する。

 

アップデートしてもしなくても、ユーザーはマルウェアを防げない

 ASUSは、ノートパソコン市場ではトップの一角を占める有力なベンダーである。もしかすると“日本では存在感が薄い”と考える人もいるかもしれないが、同社日本語サイトトップのHTMLのmetaタグには「ASUS(エイスース)は、世界第1位のマザーボードとコンシューマー市場で出荷台数世界第2位のノートパソコンをはじめ、ビデオカードなどのパソコン向け高性能パーツ、デジタルインターネットデバイスなどの開発販売を行っている総合エレクトロニクスメーカーです」とある。

 ASUS Live Update Utilityは、ASUSのノートパソコンに付属している独自のユーティリティで、ASUSが提供するドライバ、ファームウェア、あるいはアプリケーションなどを最新版にアップデートする。位置づけとしてはWindows Updateと併用して利用しセキュリティを保つためのユーティリティであると、同社のサイトでは説明している。Live Update Utility自身も、Live Update Utilityにより最新版にアップデートされる。

 このLive Update Utilityのアップデートバージョンにマルウェアが埋め込まれた。ソフトウェアの開発過程でソースコードが改ざんされたのか、それとも配布パッケージを作成する際に感染したのかといった詳細な情報は公開されていないが、いずれにしても社内の作業プロセスの段階で改ざんされマルウェアが埋め込まれた。そのマルウェアが入ったアップデートパッケージがASUSによる電子署名が施され、公式チャネルから配布された。配布パッケージはASUSの正規の電子署名をつけられていた。

 ASUSの正規の電子署名がつけられているということは、ユーザーのシステムからみたら中身が何であろうとASUSの公式に配布しているものだ。さらにいえばLive Update UtilityはASUSのノートパソコンを購入したら最初から入っているもので、しかも自動的にアップデートがかかってしまうのである。

 もしアップデートを止めれば、今度は… 続きを読む… 続きを読む

続きを読むには会員登録が必要です

すずきひろのぶ (鈴木裕信)

すずきひろのぶ (鈴木裕信)

80年代よりUNIXやネットワークのエキスパートとして活躍し90年代よりコンピュータセキュリティに携わる。現在は業務アプリケーションにSELinuxを適用し安全性を高める研究に従事。近著「マジメだけどおもしろいセキュリティ講義 事故が起きる理由と現実的な対策を考える (Software Design plusシリーズ)」絶賛発売中

この記事で紹介しているサービスについて

関連キーワード

SHARE

関連記事

2段階認証を突破しようとするフィッシングの手口

2019.12.05

今知っておきたいITセキュリティスキルワンランクアップ講座第18回

2段階認証を突破しようとするフィッシングの手口

セキュリティ対策は「経営責任」とプロが断言する理由

2019.11.29

セキュリティ対策に求められる新たな視点第8回

セキュリティ対策は「経営責任」とプロが断言する理由

DNS通信を暗号化する「DNS over HTTPS」とその課題

2019.11.13

今知っておきたいITセキュリティスキルワンランクアップ講座第17回

DNS通信を暗号化する「DNS over HTTPS」とその課題

NASAに学ぶ“反面教師”のセキュリティ対策

2019.11.07

セキュリティ最前線第3回

NASAに学ぶ“反面教師”のセキュリティ対策

人手が足りなくても、セキュリティレベルは高められる

2019.11.01

DXを加速させるITシステムの運用改革第12回

人手が足りなくても、セキュリティレベルは高められる

自社だけ守っても意味がない!サプライチェーンリスクとの向き合い方

2019.10.28

サプライチェーンのセキュリティは大丈夫か?第3回

自社だけ守っても意味がない!サプライチェーンリスクとの向き合い方

キャタラーはどのようにしてマルチクラウドの課題を解決したのか

2019.10.25

ビジネススピードを加速するIT基盤第22回

キャタラーはどのようにしてマルチクラウドの課題を解決したのか

DMG森精機のOTセキュリティの取り組みとは

2019.10.11

セキュリティ対策に求められる新たな視点第7回

DMG森精機のOTセキュリティの取り組みとは

巧妙化する最近のフィッシングの傾向と効果的な対策

2019.10.09

今知っておきたいITセキュリティスキルワンランクアップ講座第16回

巧妙化する最近のフィッシングの傾向と効果的な対策

「テレワークで働き方改革」が、情報流出リスクをより高めるワケ

2019.09.29

失敗する働き方改革、成功する働き方改革第4回

「テレワークで働き方改革」が、情報流出リスクをより高めるワケ

企業のセキュリティ対策は“アウトソース”がカギ

2019.09.20

セキュリティリソースの不足をいかに補うべきか?第3回

企業のセキュリティ対策は“アウトソース”がカギ