パスワードを忘れた? アカウント作成
13412694 story
ソフトウェア

Piriformが32ビット版CCleanerのマルウェア感染を発表、最新版への更新を呼び掛け 25

ストーリー by hylom
セキュリティ企業傘下のソフトでもやられるのか 部門より
headless曰く、

Piriformは18日、旧バージョンの32ビットWindows版CCleanerおよびCCleaner Cloudがマルウェアに感染していたことを明らかにした(PiriformのアナウンスTalos Intelligence Group BlogArs TechnicaBetaNews)。

マルウェアに感染していたのは8月15日に公開された32ビット版CCleaner v5.33.6162と、8月24日に公開された32ビット版CCleaner Cloud v.1.07.3191。CCleanerは9月12日、CCleaner Cloudは9月15日に感染コードを含まないバージョンが公開されている。

マルウェア感染バージョンでは米国に置かれたサードパーティーのサーバーにコンピューター名やIPアドレス、アプリケーション一覧などを送信することが確認されており、このサーバーは米捜査当局との協力により9月15日にシャットダウンされたという。

Piriformを7月に買収した親会社のAvastは、これらのソフトウェアがマルウェアに感染していると9月12日に結論付け、9月12~15日に非感染バージョンを公開するほか、ダウンロードサイトから感染バージョンを削除するなどの対応も行っている。感染バージョンを使用したユーザーは227万人と推計されており、32ビット版CCleanerのユーザーに対してはv5.34へのアップデートを呼び掛けている。CCleaner Cloudは自動更新でv1.07.3214に更新されているとのこと。

マルウェア感染についてAvastでは、洗練された方法が用いられたと述べている。CiscoのTalosチームでは感染バージョンがPiriformの有効なデジタル証明書で署名されていたことなどから、開発/ビルド環境の一部が感染していた可能性のほか、内部の犯行である可能性も指摘している。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • some facts (スコア:3, 参考になる)

    by Anonymous Coward on 2017年09月20日 19時17分 (#3282792)

    avast blogにこの件に関する記事があります。
    https://blog.avast.com/update-to-the-ccleaner-5.33.6162-security-incident [avast.com]

    Avast SoftwareのVlk氏が幾つかの情報を提供しています。
    https://forum.avast.com/index.php?topic=208612.msg1421249#msg1421249 [avast.com]
    (下はともかく、上のリンクの知名度低すぎませんか?)

    ・Piriformのシステムへの侵入が、Avastによる買収の数週間前に完了していたという証拠があるようです。
    avast blogによると、侵入は7/3に始まった可能性があるとのこと。
    いくつかの陰謀論への反論となるでしょうか?信じてもらえなさそうなのでダメですね…

    ・重要な事実として、このマルウエアをAvastへ最初に報告したのはCisco Talosチームではありません。
    各種メディアではTalos Intelligence Group Blogの記事が広く取り上げられているので、この発見は
    Talosチームが最初であると思っている方も多いでしょう。
    この問題を最初に報告したのはMorphisec(https://www.morphisec.com/)というイスラエル発のセキュリティ企業です。
    (今見たらTalosのブログにも一部追記されていますね。)

    ただし、avast blogには

    We believe that Morphisec also notified Cisco.

    by the time the Cisco message was received (September 14, 7:25AM PT), we had already thoroughly analyzed the threat, assessed its risk level and in parallel worked with law enforcement in the US to properly investigate the root cause of the issue.

    「MorphisecがCiscoにもこの問題を報告したと考えている。」
    「雑な訳:Ciscoからのメッセージを受け取ったときには、脅威の完全な分析とリスクの評価が完了していて、米捜査当局と共に行動を開始していた。」
    と書かれており、Morphisecが公開した記事(http://blog.morphisec.com/morphisec-discovers-ccleaner-backdoor)にも、この記述が引用されています。

    この記述が事実なら、Talos Intelligence Group Blogの

    This issue was discovered and reported by both Morphisec and Cisco in separate in-field cases and reported separately to Avast.

    という文章は、Ciscoにとって都合がいいように書かれたものとなります。それどころか、この発見はCisco Talosチームの成果でない可能性が出てきました。

    上記リンク先にて、Vlk氏は

    I have to say I was quite disappointed by the approach taken by the Cisco Talos team who appears to be trying to use information about this incident to drive marketing activities and piggyback on the case to increase the visibility of their upcoming product.

    「雑な訳:私は、自社製品への注目のためにこの問題に便乗し、マーケティングに利用しようとするCisco Talosチームの行動に深く失望しました。」
    と話しています。

    (雑な訳に関して、もっと上手い訳をできる方、お願いします。)

    • by headless (41064) on 2017年09月20日 23時52分 (#3282952)
      Avastのブログ記事は後で出たものなのでどうにもなりませんが、Piriformの記事とTalosの記事を見比べればPiriformが対策を開始したのがTalosの報告よりも先なのは明らかです。ただし、Talosの記事が先に出た可能性はありますね。
      親コメント
    • by Anonymous Coward

      >いくつかの陰謀論への反論となるでしょうか?信じてもらえなさそうなのでダメですね…

      ああ。やっぱりPiriformが仕込んだと疑う人もいるのか。
      当局にはその可能性もきっちりと捜査してほしいところ。

  • 確認方法 (スコア:2, 参考になる)

    by Anonymous Coward on 2017年09月20日 16時51分 (#3282688)

    やべぇ、実行しちゃったかも…という人もいるでしょう。

    レジストリエディタ等で、レジストリに以下のキーがあるか確認してください。
    HKLM\SOFTWARE\Piriform\Agomo

    このキーが存在した場合、マルウエアが実行されています。
    このキーが存在しない場合は、恐らくマルウエアは実行されていません。

    • by headless (41064) on 2017年09月21日 0時55分 (#3282978)
      Agomo [piriform.com]はCCleaner Cloudの旧名称なので、判定はこのレジストリキーの有無だけではなく、キーに格納された値を確認する必要がありそうです。
      親コメント
    • by Anonymous Coward

      感染後に使用するレジストリまでターゲット合わせてあるのか……
      開発環境経由の感染でそこまでするか疑問だし、ガッツリターゲッティングされていたのかな。

      7月に買収からの8月に感染版公開ってタイミングからして買収に反発した内部犯とか疑っちゃいそうだ。

  • by Anonymous Coward on 2017年09月20日 15時12分 (#3282606)

    バイナリを単に差し替えられたのかと思ったらデジタル証明書付きでリビルドされた(可能性がある)のか。
    そりゃ、ユーザには判らんな。

  • by Anonymous Coward on 2017年09月20日 15時23分 (#3282612)

    原文では、「と信じている」がついておりますね。

    • by Anonymous Coward on 2017年09月20日 15時41分 (#3282621)

      信じるものは騙される

      親コメント
      • by Anonymous Coward

        信じるものは騙される

        いいえすくわれますよ足元を

        • by Anonymous Coward

          それって「いいえ」なんか?

    • by Anonymous Coward

      どのユーザーにも危害が及ぶことはなかった

      どのユーザーにも危害が及ぶことは多分なかった

      どのユーザーにも危害が及ぶことはなかったんじゃないかな?

      ま、ちょっとは覚悟しておけ

      • by Anonymous Coward

        2行目最後、”思う”が抜けてる

        #で、15年後に失脚するんですね。
        #さだ乙。

  • by Anonymous Coward on 2017年09月20日 16時24分 (#3282658)

    正しい証明書がついていたなら、証明書なんてあってもなくても同じってことになってしまうわな

    • by Anonymous Coward

      どこの証明書かにもよります。署名者によっては、証明書みて蹴ってもよろしい。

    • by Anonymous Coward

      正しい証明書がついていたなら、少なくともビルドしたのは正規の証明書を入手できる人間ということになる。
      SourceForgeが自サイトでホストしているOSSの管理権限乗っ取ってアドウェア配布してたときも、
      デジタル署名してたVLCはファイルの差し替え被害はなかったとか言ってたし。
      (FileZillaは結局自分からアドウェア同梱版作ってたんだっけか)

      ホスティングサイトへのファイル配置権限を奪われたり偽サイト、ミラー、MITM攻撃が行われた場合に関してはデジタル署名の検証が有効。

  • by Anonymous Coward on 2017年09月20日 22時09分 (#3282921)

    のイメージがあるんだが。
    胡散臭い奴がしきりに宣伝してたり。

    • by Anonymous Coward

      胡散臭い奴が宣伝するとマルウェアなの?

      • by Anonymous Coward

        胡散臭いやつを使った胡散臭い宣伝方法を取るような組織は胡散臭い、てだけかと。
        # 外国企業の日本法人の癖に日本製日本製連呼した挙句電話帳ぶっこ抜いてったSNSとかね……
        この手のソフトウェアで胡散臭い≒アドウェア・マルウェア同梱ってなところがあるし。
        ニセの警告画面風広告とかが正にそれ。広告が胡散臭いとその仲間にしか見えない。

        実際マルウェアかどうかなんてわかりゃしないけど疑って敬遠するには十分な要素。
        # その広告がCCleanerに見せかけたマルウェアでCCleaner関係ない可能性もある。その場合はとばっちりだったことに

      • by Anonymous Coward

        ほらほら、業者が火消にやって来たw

    • by Anonymous Coward

      以下、
      「CCleanerユーザーは情弱」 vs. 「情強はツールを知り尽くした上で活用する」
      二派による伝統の一戦禁止。

    • by Anonymous Coward

      自分もマルウェア扱いだったな。
      特にAndroid版の広告がひどかった気がする。
      しかも正規以外でもはアドウェア付きで配布されているのを放置してたり。

  • by Anonymous Coward on 2017年09月21日 14時39分 (#3283260)

    違法なことは何もしておらず、迫害には徹底的に戦う。

  • by Anonymous Coward on 2017年09月21日 14時55分 (#3283276)

    後々めんどくさい思いをすることになるかも
    って自分のことだけど

typodupeerror

192.168.0.1は、私が使っている IPアドレスですので勝手に使わないでください --- ある通りすがり

読み込み中...