2018年夏、ASUS社製ノートパソコンに付属している自動アップデートユーティリティASUS Live Update Utilityに、マルウェアが組み込まれ、ユーザーに公式配布されるというインシデントが発生していた。
マルウェアが組み込まれたLive Update Utility のパッケージは、ASUSにより正式な電子署名がされていたため、正規バージョンとして扱うしかなく、結果、多数のASUSノートパソコンにインストールされた。その感染数は50万台から100万台と見積もられている。ユーザーからみれば、ベンダーが提供する正規のソフトウェアやデータであるがゆえに、防御するのは極めて難しい……いや、正直にいえば防御はできない。
これは、製品がユーザーの手に届くまでの過程を狙った「サプライチェーン攻撃」の一種としてみなして良いだろう。ベンダーが提供する正規のソフトウェアやデータが、製造工程段階もしくは流通段階でマルウェアに汚染され、その汚染されたソフトウェアが,正規のソフトウェアとして、ユーザーのシステムで利用されてしまっているのだ。
本記事では、このASUS Live Update Utilityのケースから、ユーザー側にとっては“悪夢”ともいえる、サプライチェーン攻撃の恐ろしさを紹介する。
アップデートしてもしなくても、ユーザーはマルウェアを防げない
ASUSは、ノートパソコン市場ではトップの一角を占める有力なベンダーである。もしかすると“日本では存在感が薄い”と考える人もいるかもしれないが、同社日本語サイトトップのHTMLのmetaタグには「ASUS(エイスース)は、世界第1位のマザーボードとコンシューマー市場で出荷台数世界第2位のノートパソコンをはじめ、ビデオカードなどのパソコン向け高性能パーツ、デジタルインターネットデバイスなどの開発販売を行っている総合エレクトロニクスメーカーです」とある。
ASUS Live Update Utilityは、ASUSのノートパソコンに付属している独自のユーティリティで、ASUSが提供するドライバ、ファームウェア、あるいはアプリケーションなどを最新版にアップデートする。位置づけとしてはWindows Updateと併用して利用しセキュリティを保つためのユーティリティであると、同社のサイトでは説明している。Live Update Utility自身も、Live Update Utilityにより最新版にアップデートされる。
このLive Update Utilityのアップデートバージョンにマルウェアが埋め込まれた。ソフトウェアの開発過程でソースコードが改ざんされたのか、それとも配布パッケージを作成する際に感染したのかといった詳細な情報は公開されていないが、いずれにしても社内の作業プロセスの段階で改ざんされマルウェアが埋め込まれた。そのマルウェアが入ったアップデートパッケージがASUSによる電子署名が施され、公式チャネルから配布された。配布パッケージはASUSの正規の電子署名をつけられていた。
ASUSの正規の電子署名がつけられているということは、ユーザーのシステムからみたら中身が何であろうとASUSの公式に配布しているものだ。さらにいえばLive Update UtilityはASUSのノートパソコンを購入したら最初から入っているもので、しかも自動的にアップデートがかかってしまうのである。
もしアップデートを止めれば、今度は… 続きを読む… 続きを読む