セキュリティ研究者によると、ハッカーが公式アップデートサーバーを侵害した結果、先週eScanアンチウイルスのユーザーがマルウェアに感染した。
eScanのサプライチェーン攻撃が明るみに出たのは1月29日で、サイバーセキュリティ企業Morphisecが脅威情報の速報を公開し、不正な更新がユーザーのシステムを改ざんしていると警告した。
「悪意ある更新がeScanの正規の更新インフラを通じて配布され、その結果、世界中の企業および消費者のエンドポイントに多段階マルウェアが展開された」と、Morphisecの速報には記されている。
同社によれば、更新はユーザーのデバイスを改変し、eScanの更新から切り離されるようにしたという。また、アンチウイルスの通常機能も改変されたとしている。
影響を受けたユーザーには、複数段階の感染チェーンを開始するよう設計された悪意ある「Reload.exe」ファイルが配布された。このファイルはHOSTSファイルを改変して自動更新をブロックし、スケジュールタスクによって永続化を確立し、追加のペイロードをダウンロードした。
「したがって、侵害されたシステムでは自動的な修復は不可能です。影響を受けた組織および個人は、手動更新/パッチを入手するために、積極的にeScanへ連絡する必要があります」とMorphisecは述べている。
Morphisecは、顧客のデバイスで悪意ある挙動を検知した翌日の1月21日に、このインシデントをeScanの開発元であるMicroWorld Technologiesに報告したと述べた。
eScanは、1月20日に自社インフラへの不正アクセスを検知し、直ちに影響を受けた更新サーバーを隔離したとMorphisecに伝えた。これらのサーバーは8時間以上オフラインのままだったという。
問題を解決するため、eScanはユーザーが同社のテクニカルサポートチームに連絡して入手できるユーティリティを公開した。このツールは感染を除去し、悪意あるシステム改変をロールバックし、eScanの通常機能を復元するよう設計されている。
eScanは影響を過小評価し、不正行為だと主張
攻撃とその後の対応は一見するとかなり明快に見えるが、このインシデントの公表に対するeScanの反応は別の様相を呈している。
実のところ、インドのアンチウイルス提供企業であるeScanは、インシデントがどのように発生したかに関するMorphisecの評価にも、「サプライチェーン攻撃」というレッテルを貼られたことにも不満だった。
ただし同社は、自社インフラへの不正アクセスがあったこと自体は確認している。実際、1月22日付のセキュリティアドバイザリで顧客に開示しており、そこでは本件が地域の更新サーバーに影響したと述べている。
「当社の地域更新サーバー構成の一つへの不正アクセスにより、誤ったファイル(パッチ構成バイナリ/破損した更新)が更新配布経路に配置されました。このファイルは、2026年1月20日の限られた時間帯に、影響を受けたサーバークラスターから更新をダウンロードしたお客様に配布されました」と、アドバイザリには記されている。
悪意ある更新によって引き起こされるシステム挙動に関するアドバイザリの説明は、Morphisecの説明と重なる。さらにeScanは、本件が企業顧客に対して中〜高程度の影響を与えたとも述べており、これはMorphisecの評価と一致する。
それにもかかわらず、eScanは本件に関するMorphisecの報道に不満を示しており、報道によれば不正確だと見なしているという。実際、同アンチウイルス企業はこの件について法務顧問と協議しているようだ。
SecurityWeekは本件に関する声明を求めてeScanにメールを送っており、同社が回答した場合はこの記事を更新する。
翻訳元: https://www.securityweek.com/escan-antivirus-delivers-malware-in-supply-chain-attack/
