シスコのセキュリティ研究グループ「Talos Intelligence」は、Windows PCの定期メンテナンスを可能にする人気ソフトウェア「CCleaner」が、約1ヶ月間、インストールファイルと共にマルウェアを拡散していることを発見しました。CCleanerの以前の所有者はPiriformでしたが、最近アンチウイルスソフトメーカーのAvastに買収されたため、皮肉な状況となっています。
CCleaner の不審なアクティビティ
9 月 13 日、Talos は新しいエクスプロイト検出テクノロジのベータ テストを実施していたところ、CCleaner 5.33 (当時の最新バージョン) が新しいソフトウェアによってフラグ付けされていることに気付きました。
TalosチームはCCleanerファイルをさらに分析しました。ファイルはベンダーによって正しく署名されていたものの、ユーザーのシステムにダウンロードされたアプリケーションはCCleanerだけではなかったことが分かりました。CCleaner 5.33の32ビットバイナリには、ハードコードされたコマンド&コントロールサーバーへの接続を含む悪意のあるペイロードも含まれていました。
影響を受けたCCleanerのバージョン(v5.33)は8月15日にリリースされたため、マルウェアはCCleanerユーザーに感染するまでに約1か月の猶予を与えました。バージョン5.34は9月12日にリリースされました。これはCCleaner開発者がマルウェアを発見した日と同じ日であり、このバージョンにはマルウェアはバンドルされていませんでした。
侵害された証明書
これが今回の件と関係があるかどうかは不明ですが、感染したファイルに署名されたCCleanerの「有効な」デジタル証明書は、どうやらSymantecから提供されたものだったようです。Symantecの証明書発行インフラは最近、Googleから信頼性が低いと判断され、ChromeでSymantecの証明書を段階的に不信任とする動きが広がり、Symantecは証明書事業をDigiCertに売却せざるを得なくなりました。
Talos チームは、これは攻撃者が Avast の CCleaner アプリケーションの開発および署名プロセスを侵害したことと関係がある可能性が高いと考えており、この証明書を直ちに取り消して、今後は信頼できないようにすることを推奨しています。
潜在的な影響
CCleaner は Avast による買収時点で 1 億 3000 万人のアクティブユーザーを抱えており、現在も毎週数百万人のユーザーを獲得し続けています。しかし、感染件数を抑制できた要因はいくつかあります。その一つは、CCleaner の無料版ユーザーの場合、自動アップデートが行われないことです。もし自動アップデートが行われていたら、感染したユーザーは桁違いに多かったかもしれません。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
潜在的な影響を制限する他の要因としては、マルウェアがソフトウェアの 32 ビット バージョンにのみバンドルされていたこと、およびマルウェアが管理者権限を持つ Windows アカウントでのみアクティブ化されることが挙げられます。
学んだ教訓
この状況から学べることは、攻撃者が人気ソフトウェアの開発者を標的にすることが増えているということです。これは、数百万人のユーザーを一度に感染させるのを容易にする手段です。さらに、アップデートが自動であれば、NotPetya攻撃で見られたように、被害ははるかに大きくなる可能性があります。
自動更新は、悪用される可能性のあるバグに対するパッチが他の方法よりも早くユーザーに届くため、ユーザーにとっては依然として有利である可能性がありますが、自動更新機能を備えたソフトウェアの開発者は、更新サーバーのセキュリティをより真剣に考慮する必要があることも意味します。
Talosはまた、Malwarebytesも過去に述べているように、アンチウイルスソフトウェアが検出できない状況において、アンチエクスプロイト技術が非常に有効であることを示しました。Talosはさらに、現時点でCCleanerマルウェアを検出できるアンチウイルスプログラムはごくわずかであり、64のアンチウイルスエンジンのうち、わずか1つ(ClamAV)しか検出できなかったと付け加えました。
最後に、Windows PCでは管理者アカウントではなく、デフォルトで標準/制限付きアカウントを使用することをお勧めします。以前の調査では、デフォルトで管理者アカウントではなく標準/制限付きアカウントを使用することで、セキュリティバグの圧倒的多数が解消されることが示されています。
CCleaner 5.33 のユーザーは、最新の CCleaner 5.34 バージョンにすぐに更新することをお勧めします。
