2017年09月19日 12時35分 セキュリティ

CCleanerの公式ファイルが改ざんされマルウェア入りの状態でダウンロード配布される



PC内の不要なレジストリ項目や一時ファイルなどのデータを削除できるシステムクリーナーソフトの「CCleaner」が、マルウェア入りの実行ファイルを正規のダウンロードサーバーで配布していたことが明らかになりました。CCleanerの開発元のPiriformは、直近1カ月にCCleanerをダウンロード・インストールしたユーザーは、速やかに最新版に更新するよう求めています。



Cisco's Talos Intelligence Group Blog: CCleanup: A Vast Number of Machines at Risk

http://blog.talosintelligence.com/2017/09/avast-distributes-malware.html



Warning: CCleaner Hacked to Distribute Malware; Over 2.3 Million Users Infected

http://thehackernews.com/2017/09/ccleaner-hacked-malware.html



2017年9月13日にCisco Talosのセキュリティ研究者が新しい攻撃検知システムをテストしているときに、CCleanerのexeファイル内に高度なマルウェアシステムを起動するファイルを見つけました。このマルウェア入りのCCleaner実行ファイルは、正規のダウンロードサーバーで配布されていたことから、配布元のPiriformに対する、いわゆる「サプライチェーン攻撃」があったとTalosの研究者は断定しました。



マルウェアが仕込まれているのがわかったのは、32ビット版の「CCleaner v5.33.6162」と「CCleaner Cloud v1.07.3191」。2017年8月15日から2017年9月12日まで、配布されていました。





Talosによると、マルウェア入りのCCleanerにはSymantec発行のPiriformによる有効なデジタル署名がなされていたとのこと。





CCleanerに仕込まれたマルウェアは、「コンピューター名」「インストールされているソフト一覧」「実行中のプロセス一覧」「IPアドレスとMACアドレス」「プロセスが管理者権限で実行されているか」などのデータを収集して、外部サーバーに送信します。





TalosがブログでCCleanerのマルウェア混入を伝えた時点では、セキュリティ対策ソフトでのマルウェア検出率が極めて低い状態だったとのこと。





そして現地日時の2017年9月18日、CCleanerの開発元のPiriformは、データが改ざんされてマルウェアが混入した状態でファイルが配布されていたことを公式に発表しました。



Piriform - Security Notification for CCleaner v5.33.6162 and CCleaner Cloud v1.07.3191 for 32-bit Windows users

http://www.piriform.com/news/release-announcements/2017/9/18/security-notification-for-ccleaner-v5336162-and-ccleaner-cloud-v1073191-for-32-bit-windows-users



PiriformがCCleanerのマルウェア混入について把握したのは2017年9月12日。Piriformを買収した親会社であるセキュリティ対策企業Avastがマルウェア混入の事実を突き止めていたとのこと。





Piriformによると影響を受けるバージョンのCCleanerを使用するユーザーは227万人。すでに新バージョンの「CCleaner v5.34」の配布が始まっているため、32ビット版のCCleaner v5.33を使うユーザーは、速やかにv5.34へアップデートするように呼びかけています。なお、CCleaner Cloud v1.07.3191はすでにアップデートされているので、ユーザーは特に作業をする必要はありません。



Piriformによると混入していたマルウェアが送信するのは前述の通り機密性の低いデータであり、その他のデータがサーバーに送信されたという兆候はないとのこと。Piriformは2017年9月15日に該当サーバーを停止しており、アメリカの法執行機関と協力してマルウェアを混入させたのは誰なのか、どのような経緯でデータの改ざんが行われたのを捜査中だと述べています。



Piriformは「素早いマルウェア混入問題に迅速に対応したおかげでユーザーに危害はなかった」と、被害が広がる前に食い止められたとしていますが、マルウェア入りの実行ファイルを約1カ月も配布していたことは事実であり、運が悪ければ被害はさらに拡大していた可能性は残っています。今回のCCleaner問題だけでなく、2017年6月に大流行したマルウェア「NotPetya」入りのファイルを配信してNotPetyaの拡散に役立つことになったM.E.Docのサーバーなどの例は、メーカーと顧客との信頼関係を利用するサプライチェーン攻撃の威力を見せつける結果となっています。



・つづき

CCleanerのマルウェア混入問題はIntel・ソニー・Microsoftなど大企業を狙ったターゲット型攻撃だったと判明 - GIGAZINE

