ASUS製PC付属のツールにバックドアが仕込まれていた問題
【ASUS製PC付属のツールにマルウェアが仕込まれていた問題】
セキュリティソフトを開発しているカスペルスキーが、ASUSのP
Cに付属しているツールにマルウェアが仕込まれている事を発見し
た様です。
(2019/3/28追記)
1:一部メディアで報道されたASUS Live Updateソフトウェア
が APT攻撃を受けたことについて
2:ShadowHammer に対しての ASUS Live Update ステート
メント
3:セキュアで安全な ASUS Live Update を利用中かどうかの
確認方法
ASUSが情報と検証ツール及び修正版のASUS Live Update(Ver.
3.6.8)を公表した様です。
ASUS Live Update サーバーへの高度な攻撃を通じてと、サーバ
の攻撃による被害者を主張していますが、MACアドレスのリスト
をアップデート用ツールのサーバに置いてあるわけがないのでサー
バの攻撃だけで今回の攻撃は説明できません。
『極少数』と繰り返し主張している所もそうですが、これでは説明
が不十分に感じられます。
とりあえず、バックドア入りのバージョンだった場合は修正版に入
れ替えて追加情報待って下さい。
【関連記事】
1:Hackers Hijacked ASUS Software Updates to Install
Backdoors on Thousands of Computers
2:Operation ShadowHammer
3:ShadowHammer: Malicious updates for ASUS lapto
ps
4:ASUS公式の「ASUS Live Update Utility」に設けられたバ
ックドア経由でマルウェアが配布されていたことが判明
【問題の詳細】
カスペルスキーがマルウェアを検知した顧客のPCを調査した所、
2019年1月にASUSのBIOSやユーティリティ、ドライバ等のバー
ジョンアップを知らせてアップデートを促す『ASUS Live Updat
e Utility』にバックドアが仕込まれており、
特定のPCに対してマルウェアを送信してインストールさせていた
事を付き止めた様です。
バックドアが仕込まれているASUS Live Update Utilityは2018
年6月から11月に配布されていたバージョンの様なので、
昨年の6月以降にASUS Live Update Utilityを利用していた場合
バックドア入りになっている可能性が高いと考えて下さい。
因みに上記ツールはPCとして販売された製品にしかついていない
ので、MBやVGA等のパーツには関係ありません。
【今回の攻撃についての考察】
ASUS Live Update UtilityはASUSに有るサーバに新しいBIOS
やドライバ、ユーティリティ等が置かれるとPCに通達しますが、
それらは直接PCとサーバ間で通信してダウンロードする為外部サ
イト等を経由しません。
だからツールにバックドアを仕込む為にはASUSのサーバをクラッ
クしてバックドア入りのツールに置き換えたで、さらに正規サー
バを経由してマルウェアを送る為にサーバのシステム自体書き換
える必要があります。
それと、今回の場合特定のMACアドレスを決め打ちで狙っていた
事が判明している為販売リストと特定向けの機種の情報を持って
いると言う事になります。
上記の事を考慮すると、どう考えてもASUS内部の犯行としか思え
ません。
(2019/3/27修正)
断トツで多いのはロシアでした。
なぜか見間違えていましたが、ロシア企業製のセキュリティソフト
なのだから割合が多くても当然でしたね。
逆に言うとカスぺルスキーを使用していないグラフに現れない攻
撃対象のPCも存在していると言う事なので、実際は国別の販売台
数によって実際の割合は違うと思われます。
どちらにしろASUSは台湾の企業でも台湾自体大陸からの移民も多
いので、共産党関連の者の犯行な疑いは晴れません。
【現状の対策】
バックドア入りのバージョンと無いバージョンの情報が無いので、
現状ASUS Live Update Utilityをアンインストールするしかあり
ません。
但し、攻撃対象のPCの場合だけマルウェアがインストールされる
と言う事なので、攻撃対象ではないPCの場合は対策版が出た時に
公式からダウンロードして変えるだけでもいいかもしれません。
とりあえず下記の方法で攻撃対象のPCを所持していないか確認し
て下さい。
【攻撃対象のPCか確認の仕方】
Check if your device has been targeted by the ShadowH
ammer cyberattack
カスペルスキーが収集した攻撃対象のMACアドレスを確認できる
サイトを用意したので、↑にMACアドレスを入力して確認して下
さい。
【PCのMACアドレスの確認の仕方】
スタートメニュー
↓
Windows システムツール
↓
コントロールパネル
↓
ネットワークとインターネットの『ネットワークの状態とタスク
の表示』
↓
左の項目の『アダプターの設定変更』
↓
イーサネットをダブルクリック
↓
詳細(E)
と進むとネットワーク接続の詳細が表示されるので、そこに表示
された『物理アドレス』をメモし、確認サイトに入力して確認し
て下さい。
因みに半角数字と大文字アルファベットで構成されています。
半角数字:○ 半角大文字アルファベット:▲
例:物理アドレス ○▲-○▲-○▲-▲○-▲○-○○
尚、LANチップが有線と無線両方ある場合は必ず両方とも確認を
して下さい。
今回の場合、恐らくビジネス向けが標的になっていると思われま
すが、ビジネスモデルのタワー型デスクトップやノートPCは一般
でも買えるので必ず確認して下さい。
後、一般向けでも団体に購入された履歴がある場合標的になって
いる可能性があるので、そちらも確認が必要だと思われます。
このBlogはBlogランキングに参加しています。
役に立ったと思った方はクリックをお願いします。
総合情報に戻る
TOPに戻る
セキュリティソフトを開発しているカスペルスキーが、ASUSのP
Cに付属しているツールにマルウェアが仕込まれている事を発見し
た様です。
(2019/3/28追記)
1:一部メディアで報道されたASUS Live Updateソフトウェア
が APT攻撃を受けたことについて
2:ShadowHammer に対しての ASUS Live Update ステート
メント
3:セキュアで安全な ASUS Live Update を利用中かどうかの
確認方法
ASUSが情報と検証ツール及び修正版のASUS Live Update(Ver.
3.6.8)を公表した様です。
ASUS Live Update サーバーへの高度な攻撃を通じてと、サーバ
の攻撃による被害者を主張していますが、MACアドレスのリスト
をアップデート用ツールのサーバに置いてあるわけがないのでサー
バの攻撃だけで今回の攻撃は説明できません。
『極少数』と繰り返し主張している所もそうですが、これでは説明
が不十分に感じられます。
とりあえず、バックドア入りのバージョンだった場合は修正版に入
れ替えて追加情報待って下さい。
【関連記事】
1:Hackers Hijacked ASUS Software Updates to Install
Backdoors on Thousands of Computers
2:Operation ShadowHammer
3:ShadowHammer: Malicious updates for ASUS lapto
ps
4:ASUS公式の「ASUS Live Update Utility」に設けられたバ
ックドア経由でマルウェアが配布されていたことが判明
【問題の詳細】
カスペルスキーがマルウェアを検知した顧客のPCを調査した所、
2019年1月にASUSのBIOSやユーティリティ、ドライバ等のバー
ジョンアップを知らせてアップデートを促す『ASUS Live Updat
e Utility』にバックドアが仕込まれており、
特定のPCに対してマルウェアを送信してインストールさせていた
事を付き止めた様です。
バックドアが仕込まれているASUS Live Update Utilityは2018
年6月から11月に配布されていたバージョンの様なので、
昨年の6月以降にASUS Live Update Utilityを利用していた場合
バックドア入りになっている可能性が高いと考えて下さい。
因みに上記ツールはPCとして販売された製品にしかついていない
ので、MBやVGA等のパーツには関係ありません。
【今回の攻撃についての考察】
ASUS Live Update UtilityはASUSに有るサーバに新しいBIOS
やドライバ、ユーティリティ等が置かれるとPCに通達しますが、
それらは直接PCとサーバ間で通信してダウンロードする為外部サ
イト等を経由しません。
だからツールにバックドアを仕込む為にはASUSのサーバをクラッ
クしてバックドア入りのツールに置き換えたで、さらに正規サー
バを経由してマルウェアを送る為にサーバのシステム自体書き換
える必要があります。
それと、今回の場合特定のMACアドレスを決め打ちで狙っていた
事が判明している為販売リストと特定向けの機種の情報を持って
いると言う事になります。
上記の事を考慮すると、どう考えてもASUS内部の犯行としか思え
ません。
(2019/3/27修正)
断トツで多いのはロシアでした。
なぜか見間違えていましたが、ロシア企業製のセキュリティソフト
なのだから割合が多くても当然でしたね。
逆に言うとカスぺルスキーを使用していないグラフに現れない攻
撃対象のPCも存在していると言う事なので、実際は国別の販売台
数によって実際の割合は違うと思われます。
どちらにしろASUSは台湾の企業でも台湾自体大陸からの移民も多
いので、共産党関連の者の犯行な疑いは晴れません。
【現状の対策】
バックドア入りのバージョンと無いバージョンの情報が無いので、
現状ASUS Live Update Utilityをアンインストールするしかあり
ません。
但し、攻撃対象のPCの場合だけマルウェアがインストールされる
と言う事なので、攻撃対象ではないPCの場合は対策版が出た時に
公式からダウンロードして変えるだけでもいいかもしれません。
とりあえず下記の方法で攻撃対象のPCを所持していないか確認し
て下さい。
【攻撃対象のPCか確認の仕方】
Check if your device has been targeted by the ShadowH
ammer cyberattack
カスペルスキーが収集した攻撃対象のMACアドレスを確認できる
サイトを用意したので、↑にMACアドレスを入力して確認して下
さい。
【PCのMACアドレスの確認の仕方】
スタートメニュー
↓
Windows システムツール
↓
コントロールパネル
↓
ネットワークとインターネットの『ネットワークの状態とタスク
の表示』
↓
左の項目の『アダプターの設定変更』
↓
イーサネットをダブルクリック
↓
詳細(E)
と進むとネットワーク接続の詳細が表示されるので、そこに表示
された『物理アドレス』をメモし、確認サイトに入力して確認し
て下さい。
因みに半角数字と大文字アルファベットで構成されています。
半角数字:○ 半角大文字アルファベット:▲
例:物理アドレス ○▲-○▲-○▲-▲○-▲○-○○
尚、LANチップが有線と無線両方ある場合は必ず両方とも確認を
して下さい。
今回の場合、恐らくビジネス向けが標的になっていると思われま
すが、ビジネスモデルのタワー型デスクトップやノートPCは一般
でも買えるので必ず確認して下さい。
後、一般向けでも団体に購入された履歴がある場合標的になって
いる可能性があるので、そちらも確認が必要だと思われます。
このBlogはBlogランキングに参加しています。
役に立ったと思った方はクリックをお願いします。
総合情報に戻る
TOPに戻る
| ソフトウェア | 18:38 | comments:0 | trackbacks:0 | TOP↑
