ロシアのウイルス対策ソフトメーカーであるカスペルスキーが2019年3月、台湾エイスースのノートパソコンを狙ってマルウエア(ウイルス)が配布されているとブログで明らかにしました(図1)。エイスースは、国内ではパソコンパーツの大手メーカーとして有名ですが、調査会社のリポートによれば、世界で5、6番手のシェアを持つパソコンメーカーです。
カスペルスキーは、ウイルスはエイスースのノートパソコンに標準で搭載されるユーティリティーソフト「ASUS Live Update」にバックドアが仕込まれたものとしています。ASUS Live Updateは、ノートパソコンのBIOS▼やデバイスドライバーのアップデートを管理するソフトです。自身のアップデートも管理します。
攻撃者は、バックドア付きのソフトをどのように配布し、攻撃を展開したのでしょうか。今回はこの事件を調査しました。
サーバーに不正侵入
攻撃者がバックドア付きのソフトを配布するために利用したのは、エイスースのサーバーでした。
ASUS Live Updateは、エイスースが用意したアップデート用サーバーにアクセスし、BIOSやデバイスドライバー、そして自身の最新版がないかどうかをチェックします。この仕組みを攻撃者は悪用しました。
攻撃者はまず、アップデート用サーバーに不正侵入し、ASUS Live Updateの最新版をバックドア付きのものに置き換えます(図2の「攻撃者の準備1」)。
ノートパソコンのASUS Live Updateは、サーバーに自身の最新版があるかどうかを確認します。そして最新版があれば、アップデートを要求します(同(1))。すると、ノートパソコンのASUS Live Updateは、攻撃者が用意したバックドア付きのソフトに書き換えられてしまいます(同(2))。
バックドアとは、外部のコンピューター(C2▼サーバーなど)と通信して別のウイルスをダウンロードしてインストールしたり、指示を受けて動作したりするウイルスの機能です。今回の攻撃では、「asushotfix.com」というドメインのC2サーバーが用意されていました(同「攻撃者の準備2」)。
バックドア付きのソフトは、C2サーバーと通信して、別のウイルスをダウンロードしたようです(同(3))。海外のセキュリティーベンダーや専門家による解析で、別のウイルスは「logo.jpg」または「logo2.jpg」というファイル名で配布されていたことが分かっています。いわゆるjpg偽装▼したファイルだとみられますが、どのような動きをするウイルスだったかは不明です。
Basic Input/Output Systemの略。パソコンに搭載されたファームウエアの1つ。現在のBIOSは、UEFI(Unified Extensible Firmware Interface)という仕様をサポートするため、UEFIと呼ぶこともある。
Command & Controlの略。
拡張子を変えてファイルの目的を隠す偽装方法の1つ。jpgファイルは本来画像ファイルだが、jpg偽装したファイルには攻撃用のコードなどが含まれる場合がある。
