DAEMONツールによるサプライチェーン攻撃
サイバーセキュリティ研究者らは、DAEMON Toolsのインストーラーを標的とした高度なサプライチェーン攻撃を発見した。攻撃者は、正規のDAEMON Toolsウェブサイトを通じて配布されている公式Windowsインストーラーを巧妙に侵害し、デジタル署名されたソフトウェアパッケージに悪意のあるコードを埋め込んだ。インストーラーには正規の開発者証明書が添付されていたため、マルウェアは信頼できるものとみなされ、従来のセキュリティ対策を容易に回避できた。
侵害されたインストーラーのバージョンは12.5.0.2421から12.5.0.2434までで、悪意のある活動は2026年4月8日にまで遡ります。影響を受けたのはWindows版のみで、Mac版は影響を受けませんでした。このインシデントが公表された後、開発元のAVB Disc Softはバージョン12.6.0.2445をリリースし、悪意のある機能を削除して侵害に対処しました。
目次
正規のプロセスに潜む悪意のあるコンポーネント
捜査官は、攻撃者がDAEMON Toolsの重要なコンポーネント3つを改変していたことを発見した。
- DTHelper.exe
- DiscSoftBusServiceLite.exe
- DTShellHlp.exe
これらのバイナリが起動されるたび(通常はシステム起動時)、感染したマシン上の隠しインプラントが作動した。このインプラントは、2026年3月27日に登録された外部ドメインenv-check.daemontools.ccと通信し、Windowsのcmd.exeプロセスを通じて実行されたシェルコマンドを取得した。
ダウンロードされたコマンドによって追加のマルウェア展開が引き起こされ、攻撃者は信頼できるソフトウェアの動作に隠れたまま、侵害されたシステムに対する制御を拡大することが可能になった。
多段階マルウェア展開に警鐘が鳴る
攻撃チェーンには、偵察、永続性、および遠隔制御を目的とした複数の二次ペイロードが含まれていました。展開されたファイルには以下が含まれます。
envchk.exe — .NETベースの偵察ツールで、詳細なシステム情報を収集できます。
cdg.exeとcdg.tmpは、ファイルのダウンロード、シェルコマンドの実行、およびメモリ内でのシェルコードの直接実行が可能な軽量バックドアを復号化して起動するために使用されるコンポーネントです。
セキュリティアナリストは、QUIC RATと呼ばれるリモートアクセス型トロイの木馬の配信も確認した。このマルウェアは、HTTP、TCP、UDP、DNS、WSS、QUIC、HTTP/3など、多数のコマンド&コントロール(C2)通信方式に対応している。さらに、notepad.exeやconhost.exeといった正規のWindowsプロセスに悪意のあるペイロードを注入できるため、検出が非常に困難になる。
数千人が暴露されたが、標的となったのは一部の被害者のみ
研究者らは、ロシア、ブラジル、トルコ、ドイツ、フランス、イタリア、スペイン、中国など100カ国以上で、侵害されたインストーラーに関連した数千件の感染試行を確認した。感染範囲は広範囲に及んだものの、高度なバックドアペイロードを受け取ったシステムはごく少数にとどまり、非常に選択的な標的設定戦略が取られていたことが示唆された。
後続のマルウェアは、ロシア、ベラルーシ、タイの小売業、科学研究、政府機関、製造業、教育機関などの組織内で検出された。確認されたQUIC RAT感染事例の一つは、ロシアの教育機関を標的としたものだった。
この選択的な展開は、今回のキャンペーンが無差別な大量感染ではなく、精密な標的攻撃を目的として設計されたことを強く示唆している。しかし、攻撃者がサイバー諜報活動を意図していたのか、それとも金銭目的の「大物狩り」攻撃を意図していたのかは、研究者らはまだ特定できていない。
証拠は、高度な中国語を話す脅威アクターの存在を示唆している
公式には、この作戦に関与した既知の脅威グループは特定されていないものの、マルウェアの痕跡をフォレンジック分析した結果、中国語を話す攻撃者の関与が示唆されている。侵入の複雑さと、公式ベンダーチャネルを通じて配布された署名付きソフトウェアを侵害する能力は、高度な攻撃能力と長期的な作戦計画を示している。
DAEMON Toolsの侵害は、2026年前半に確認されたソフトウェアサプライチェーン攻撃の増加傾向に続くものだ。同様の事件は、1月にeScan、2月にNotepad++、4月にCPUIDにも発生している。
サプライチェーン攻撃がなぜこれほど危険なのか
サプライチェーンにおける不正行為は、ユーザーが正規のソフトウェアベンダーに対して抱く根強い信頼を悪用するため、特に危険です。公式ウェブサイトから直接ダウンロードされ、有効なデジタル証明書で署名されたアプリケーションは、ユーザーやセキュリティ製品によって疑わしいものとして扱われることはほとんどありません。
この事例では、悪意のある活動が約1か月間も検知されなかったと報じられており、攻撃者の高度な手口と、従来の境界型セキュリティ対策の限界が浮き彫りになった。セキュリティ専門家は、影響を受けるDAEMON Toolsのバージョンを使用している組織は、影響を受けたシステムを直ちに隔離し、企業ネットワーク内での横方向の移動やその他の悪意のある活動の可能性を特定するために、包括的な脅威ハンティング作戦を実施すべきだと強調している。
ベンダーの対応と推奨される緩和策
AVB Disc Soft社は、今回の情報漏洩はソフトウェアのLite版に限定されているとみられるとし、事件の全容と根本原因を究明するための調査が現在進行中であることを確認した。
対象期間中にDAEMON Tools Liteバージョン12.5.1をダウンロードまたはインストールしたユーザーは、直ちにソフトウェアを削除し、信頼できるセキュリティツールを使用して完全なウイルス対策およびエンドポイントセキュリティスキャンを実行し、DAEMON Toolsの公式ウェブサイトから直接入手した最新のクリーンリリースのみを再インストールすることを強くお勧めします。
