今回の件、ざっくり言うと「公式サイトから落としたはずのソフトに、こっそり悪いコードが混ぜられていた」という話です。これがいわゆるSupply Chain Attackです。
普通の人からすると「え、公式サイトなら安全じゃないの?」となりますよね。そこがこの攻撃のいやらしいところで、配布元そのものを踏み台にするので、ユーザーは見抜きにくい。個人的には、ここがSupply Chain Attackの一番えげつない点だと思います。
SecurityWeekによると、Daemon Toolsの開発元であるDisc Softは、侵入を受けていたことを確認しました。
問題が見つかったのは、Daemon Toolsの無料版「Daemon Tools Lite」。しかも、12.5.1のインストールパッケージが改ざんされたとされています。
Kasperskyの報告では、4月8日から5月5日の間に公開されたDaemon Toolsの版に、情報収集ツールをダウンロード・実行するコードが仕込まれていたとのことです。
つまり、見た目は普通のソフトでも、裏で別の不審なプログラムを呼び出すようになっていたわけです。
Kasperskyによると、感染したPCは数千台規模にのぼる可能性があるそうです。
その中から攻撃者は、さらに十数台程度を選んでバックドアを入れたとされています。バックドアは、簡単に言うと外からこっそり入り込むための裏口です。
しかも、別の高度なバックドアの対象として、ロシアの教育機関が狙われたとも報告されています。
感染先には、ベラルーシ、ロシア、タイの政府、科学、製造、小売の組織も含まれていたとのこと。
ここを見ると、単なる「いたずら」ではなく、かなり選別された標的型の攻撃だったことがうかがえます。やっぱりSupply Chain Attackは、ばらまき型のマルウェアよりも怖いですね。
Disc Softは、問題が発覚してから次の対応を取ったと説明しています。
会社側は、現時点では特定の第三者には帰属させていないとも述べています。
つまり「誰がやった」とはまだ断定していない、ということです。セキュリティ事故では、犯人探しを急ぎすぎるより、まず被害の封じ込めを優先するほうが大事な場合もあります。この対応は比較的まっとうに見えます。
また、Disc Softによれば、影響はDaemon Tools Lite 12.5.1に限定されており、Daemon Tools UltraやDaemon Tools Proは影響を受けていないとのことです。
ここが実務的にいちばん大事です。
もし改ざん版をダウンロードしてしまった可能性があるなら、ソフトを入れ直すだけでは不十分です。
Disc Softと記事の内容を踏まえると、利用者がやるべきことは次の通りです。
要するに、「ソフトの再インストールで終わり」ではなく、PC自体に入り込んだかもしれない悪いものを探す必要があるということです。
これは一般ユーザーにとってかなり面倒ですが、Supply Chain Attackでは残念ながらそれが現実です。
個人的に重要だと思うのは、**“公式配布だから安全”という前提が崩れる瞬間がある**と改めて示した点です。
多くの人は、アプリを入れるときに「公式サイトから落としたから大丈夫」と考えます。普通はそれで十分です。
でも今回のように、配布元がやられると、その安全神話が一気に崩れます。かなり怖い話ですが、だからこそソフトの配布元を信頼しすぎない設計――たとえば、検証済み署名の確認、更新元のチェック、EDRやウイルス対策の併用――が大事になってくるのだと思います。
それにしても、無料版が狙われたのが妙に現実的です。
有料版よりも無料版のほうが配布数が多く、利用者の母数も大きい。攻撃者からすると、「広くばらまいて、そこから選別する」のに都合がいいのかもしれません。これはあくまで私の見方ですが、かなりいやな合理性があります。
今回のDaemon Toolsの件は、すでに開発元が封じ込め済みと説明しています。とはいえ、影響を受けたユーザー側は、自分のPCを守る作業が残っているのが現実です。
Supply Chain Attackは、攻撃が成功すると「どのサイトを信じればいいの?」という根本的な不安を残します。
だからこそ、こうしたニュースは単なる一件の事故としてではなく、ソフトをどう信頼するかを考えるきっかけとして見る価値があると思います。
