SolarWinds事件に「匹敵する」リスクが人気のソフトウェアアップデートツールに潜む

出典：B Christopher / Alamy Stock Photo

研究者たちは、人気のあるインストーラー作成ツールにサプライチェーンリスクを発見し、「SolarWindsのようなサプライチェーン事件に匹敵する規模のサイバー攻撃につながる可能性がある」と述べています。しかし、その開発者は「意図した通りに動作している」と主張しています。

このツール「Advanced Installer」は、アプリケーションインストーラーの作成に使用されます。ソフトウェア開発後、ベンダーはこのツールを使って、ソフトウェアのインストールに必要な多くのファイル、依存関係、ドライバー、設定などをまとめ、顧客のシステムでスムーズにインストールできるようにします。

公式ウェブサイトによると、Advanced Installerは60カ国以上の開発者やシステム管理者に利用されており、「小規模なシェアウェア製品、社内アプリケーション、デバイスドライバーから、巨大なミッションクリティカルシステムまで、あらゆるもののパッケージングやリパッケージング」に使われています。Microsoft、Apple、Dell、Motorola、Sony、McAfee、Adobeなど、さまざまな有名国際ソフトウェアベンダーが顧客に名を連ねています。

新たなレポートで、サイバーセキュリティプロバイダーのCyderesは、Advanced Installerにおける「独自アップデート持ち込み」（BYOU）リスクを明らかにしました。簡単に言えば、攻撃者がこれを悪用してベンダーのソフトウェアアップデートにマルウェアを仕込み、そのマルウェアが下流の顧客全員に広がるのを見守ることができるのです。

「現時点では、この脆弱性を標的としたアクティブな攻撃キャンペーンは確認されていないため、まだ緊急事態とは言えません」とCyderesのHowler Cellシニアバイスプレジデント、ブライアン・ハッシー氏は述べています。しかし彼は「ベンダーはこの脅威評価が高まる前に、アップデート署名の運用を見直すべきだ」と強調しています。

Advanced Installerにデジタル署名必須要件なし

Advanced Installerの人気機能のひとつがアップデートツールであり、ソフトウェアプログラムが自動的にアップデートを確認・インストールできるようにします。

このプロセスの一部として、リモートにホストされたアップデート設定ファイルを見つけて取得するために、アップデートツールは-urlパラメータを受け付けます。しかし、そのURLが正当なアップデート設定をホストしていると、誰が保証できるでしょうか？

たとえば、ソフトウェア開発者が侵害されるという、ごくありふれたハッキングが起きたとします。この開発者がAdvanced Installerを使っていた場合、ハッカーはソフトウェアアップデートに見せかけたファイルを作成し、実際には自分たちのマルウェアが置かれたURLを指すようにできます。開発者の顧客全員にマルウェアを広めるには、感染したシステムで1つのコマンドを実行し、アップデートツールに自分たちのサーバーから悪意あるファイルを取得させるだけで済みます。

そのアップデートを受け取る組織側が、マルウェアへのリンクを見抜くことはまずできません。開発者側ではアップデートファイルは署名も検証もされていませんが、被害者側から見ると、正規の信頼されたアップデートツールによってインストールされているため、OSやアンチウイルス、EDR（エンドポイント検知・対応）プログラムからは無害な動作に見えてしまいます。

Advanced Installer経由のサプライチェーン攻撃を回避するには

Advanced InstallerのBYOU問題はソフトウェアの脆弱性ではなく、設計上の選択です。

多くのソフトウェアと同様、ユーザーフレンドリーに作られています。使いやすいグラフィカルユーザーインターフェース（GUI）と多彩なカスタマイズオプションがあり、アップデートをスムーズかつ簡単にするため、署名付き・未署名のパッケージどちらもアップデートツールで受け入れます。

もしセキュリティが心配なら、それに対する解決策も用意されています。すべてのユーザーは「アップデーターと同じ証明書で署名されたデジタル署名付きアップデートパッケージのみインストールする」オプションを有効化できます。実際、CyderesがAdvanced Installer開発元のCaphyonに連絡した際、同社は自社製品のリスクを認めつつ、すでにすべてのユーザーが自分で身を守る手段を持っていると指摘しました。

しかし、実際にはユーザーはほとんどこの設定を利用していないようです。Cyderesは、何人のユーザーがアップデートのデジタル署名を強制しているか正確な数や割合は示せませんでしたが、Advanced Installerでパッケージ化されたプログラムのサンプルを調査したところ、署名強制が行われていないことが分かりました。

署名要件の利用がいかに珍しいかを示すさらなる証拠として、レポートでは皮肉なことに、Caphyon自身もAdvanced Installerプログラムのアップデートにデジタル署名を強制していないと指摘しています。

したがって、Advanced Installerを取り巻く文化が変わるか、Caphyonの自由放任主義的な方針を改める必要があります。ハッシー氏は「リスクの重大性を考慮すれば、アップデートパッケージへのデジタル署名の義務化と整合性チェック機構の導入が適切な解決策だと考えます」と結論付けています。

それまでの間、主流のソフトウェアを利用するすべての組織は警戒を怠らない方が良いでしょう。「これらの詳細が公表されれば、特に未署名インストーラーに依存している大手ベンダーの間で懸念が高まる可能性があります」とハッシー氏は述べ、「組織はデジタル署名付きアップデートのみを受け入れ、ベンダーのアップデートは安全な検証環境でテストし、インストーラーの動作を監視して異常を検知すべきです」と助言しています。