MicroWorld TechnologiesのeScanアンチウイルス製品に影響する重大なサプライチェーン侵害が、ベンダーの正規アップデート基盤を通じて悪意ある更新が配信されたと報告されたことを受け、2026年1月20日に特定された。
Morphisec Threat Labsが本日公表した調査結果によると、このインシデントにより、多段階マルウェアが企業および一般消費者のエンドポイントへ世界規模で配布された。
悪意あるパッケージは、侵害されたeScanの証明書を用いてデジタル署名されていたとされ、正規のものに見せかけて標準的な信頼メカニズムを回避できた。展開後、マルウェアは永続化を確立し、リモートアクセス機能を有効化するとともに、影響を受けたシステムが以後の更新を受け取れないよう積極的に妨害した。
多段階マルウェアが自動復旧を阻止
攻撃チェーンは、32ビット版のeScan実行ファイルをトロイの木馬化したものから始まり、更新プロセス中に正規コンポーネントを置き換えた。この初期段階で、ダウンローダーや、侵害されたシステムに対する完全なリモートアクセスを提供する64ビットのバックドアなど、追加のペイロードが投下された。
このキャンペーンの最も重要な特徴の一つは、組み込みの対復旧(アンチリメディエーション)機能だった。マルウェアはWindowsのhostsファイルを改変し、eScanのレジストリ設定を変更して、eScanの更新サーバーへの接続を遮断した。その結果、侵害されたエンドポイントは自動的な修正やパッチを受け取れない。
サプライチェーンセキュリティの詳細はこちら:BlueVoyantが明らかにした「サプライチェーン侵害は世界中のほぼすべての企業に影響」
永続化は、Windowsのデフラグジョブに偽装したスケジュールタスク、およびランダムに生成されたGUID名を用いたレジストリキーによって達成された。ダウンローダーコンポーネントは、追加ペイロードを取得するために外部のコマンド&コントロール(C2)基盤との通信も試みたが、これらサーバーの現状は未確認のままだ。
検知、対応、必要な対策
Morphisecは、初回配布から数時間以内に、保護対象の顧客システム上で悪意ある活動を検知して遮断したと述べた。
同社は同日中にMicroWorld Technologiesへ連絡したとされる。eScanは、内部監視により問題を特定し、1時間以内に影響を受けた基盤を隔離し、グローバル更新システムを8時間以上オフラインにしたと述べた。
これらの措置にもかかわらず、Morphisecは、ベンダー側が「顧客には電話で直接通知している」と示した一方で、同社の顧客は復旧対応を受けるために能動的にeScanへ連絡する必要があったと報告した。
Infosecurity はeScanにコメントを求めたが、執筆時点では回答は得られていない。
その間、MorphisecはeScanを運用する組織に対し、以下を含む即時対応を取るよう助言した:
-
既知の悪意あるファイルハッシュについてエンドポイントを検索する
-
Windows\Defrag\配下のスケジュールタスクを確認し、不審なエントリがないか調べる
-
エンコードされたデータを含む、GUIDベースの名前のレジストリキーを点検する
-
特定されたC2ドメインをブロックする
-
侵害されたeScanのコード署名証明書への信頼を失効させる
保護されていないシステムについては、同社は侵害を前提に、影響を受けたマシンを隔離し、完全なフォレンジック調査を実施することを推奨している。公表時点で、ベンダーからの公開アドバイザリは発行されておらず、調査は継続中と報告されている。
翻訳元: https://www.infosecurity-magazine.com/news/escan-antivirus-breach-delivers/
