PCWorldが推奨する新品PC向け無料ソフトウェアの一つであるCCleanerは、実はPCをそれほどクリーンな状態に保てていなかったようです。この人気の最適化・スクラビングソフトウェアを詳細に調査したCisco Talosは、ハッカーによって注入された悪意のあるコードを発見しました。このコードは、最新のアップデートをダウンロードした200万人以上のユーザーに影響を与えた可能性があります。
編集者注: この記事は最初に 2017 年 9 月 18 日に公開されましたが、特定のテクノロジー企業を標的とした産業スパイ活動を行うマルウェアに関する詳細を追加して 9 月 21 日に更新されました。
9月13日、Cisco Talosは、CCleaner 5.33およびCCleaner Cloud 1.07.3191の無料版の公式ダウンロードに、「ドメイン生成アルゴリズムとハードコードされたコマンド&コントロール機能を備えた悪意のあるペイロード」が含まれていることを発見しました。これは、ハッカーがAvast Piriformの公式ビルドの開発プロセスビルドのどこかに侵入し、ユーザーのデータを窃取することを目的としたマルウェアを仕掛けたことを意味します。
Cisco Talosは、攻撃者が「(CCleanerの)開発環境またはビルド環境の一部を侵害し、そのアクセスを利用して、組織がリリースおよびホストしていたCCleanerビルドにマルウェアを挿入した」と推測しています。そのため、顧客の個人情報は危険にさらされていませんでした。
製品担当バイスプレジデントのポール・ヤング氏はブログ記事で、同社は9月12日に攻撃を認識し、Cisco Talosからの通知を受ける前に適切な措置を講じていたと述べています。ヤング氏によると、攻撃は32ビット版Windowsシステム上のCCleanerとCCleaner Cloudに限定されており、幸いなことに、最近のPCのほとんどは64ビット版を実行していると思われます。
ユン氏は、脅威は解決済みであり、「不正サーバー」は削除されたことを顧客に保証した。また、Piriformはハッカーによる他のサーバーへのアクセスを遮断したとも述べた。さらに、同社は全ユーザーを最新バージョンのソフトウェアに移行しており、すでに同社のウェブサイトで公開されている(ただし、リリースノートには「小規模な大規模修正」としか記載されていない)。
最も安心できるのは、Yung氏が、脅威が実際に被害を及ぼす前にAvastが脅威を無効化できたようだと述べていることです。攻撃の目的は現時点では不明ですが、Avastはコードによってローカルシステムに関する情報を収集できたと述べています。
シスコ タロス更新: 9月21日、アバストは、このマルウェアが特定の組織内の感染コンピュータに第2段階のペイロードを配信するように設計されており、8社の少なくとも20台のマシンがコマンド&コントロールサーバーに接続したことを明らかにしました。「ログが収集されたのはわずか3日間強であったことを考えると、第2段階のペイロードを受信したコンピュータの実際の数は少なくとも数百台程度だったと考えられます」とアバストは述べています。
Cisco Talosはマルウェアのコマンドサーバーを調査し、Intel、Samsung、HTC、VMWare、Cisco自身などを含むテクノロジー企業のPCへの侵入を試みていたと報告しています。感染したPCの全リストは右をご覧ください。Cisco Talosは、攻撃者がこのマルウェアを利用して産業スパイ活動を行う計画だったと疑っています。
個人ユーザーは、まだダウンロードしていない場合は、AvastのウェブサイトからCCleaner 5.34をダウンロードできます。以前のリリースも同社のウェブサイトで引き続き入手できますが、感染したバージョンは同社のサーバーから削除されています。また、お使いのコンピュータでウイルススキャンを実行することをお勧めします。感染している場合は、Cisco Talosは、バックアップを使用して、ハッキングされたバージョンがリリースされた2017年8月15日以前の状態にPCを復元することを推奨しています。
自宅への影響:対象地域内の個人ユーザーは今回の攻撃による影響を受けないはずですが、それでもなお恐ろしい状況です。Avastはこの問題に先手を打って無事に解決しましたが、小規模な企業ではそこまで迅速に対応できない可能性があります。例えば、今年初めには、ウクライナのソフトウェア企業MeDocのセキュリティ侵害がNotPetyaランサムウェアの原因であることが判明しました。ランサムウェアは深刻な問題となっており、ハッカーがアップデートサーバーに感染すれば、可能な限り多くのマシンにマルウェアを拡散させることが可能です。
