中国のサイバー攻撃グループ「PlushDaemon」が韓国のVPNソフトウェア開発企業「IPany」を標的としたサプライチェーン攻撃を実行しました。
攻撃の詳細
発覚時期は2024年5月。IPanyのVPNソフトウェアのWindowsインストーラーに「SlowStepper」バックドアを埋め込む手法が用いられました。被害は2023年11月に日本で最初に確認され、同年12月には中国でも確認。2024年5月には韓国の半導体企業とソフトウェア開発企業での被害が明らかになりました。
SlowStepperバックドアの特徴
このマルウェアは30以上のモジュールを搭載し、PythonとGoで開発されています。主な機能として、データ収集、音声・動画の記録が可能です。
from:Chinese Cyberspies Target South Korean VPN in Supply Chain Attack
【編集部解説】
今回のサプライチェーン攻撃は、VPNソフトウェアの正規インストーラーを改ざんするという、非常に巧妙な手法が用いられています。この手法が特に注目される理由は、セキュリティを強化するはずのVPNソフトウェアそのものが攻撃の媒介となった点にあります。
SlowStepperバックドアの特徴的な点は、C++、Python、Goという複数のプログラミング言語を組み合わせて開発されている点です。これは攻撃グループが高度な技術力を持っていることを示唆しています。
セキュリティへの影響
本事案の重要な点は、正規のダウンロードサイトを通じて配布されたという点です。地域やIPアドレスによる制限がなかったことから、IPanyのVPNを利用していた全てのユーザーが潜在的な被害者となる可能性がありました。
特に半導体企業が標的となっていた点は、産業スパイの観点から見て重要です。半導体産業は現代の技術革新の要であり、企業秘密や知的財産の保護が極めて重要な分野だからです。
今後の展望
このような攻撃は、信頼できる企業のソフトウェアであっても安全とは限らないことを示しています。特に、セキュリティ製品自体が攻撃の経路となり得ることは、セキュリティの考え方に大きな転換を迫るものです。
今後は、ソフトウェアの配布プロセス全体を通じた厳格な検証システムの構築が必要となるでしょう。特に、デジタル署名や改ざん検知の仕組みの重要性が増すと考えられます。
企業への提言
セキュリティ対策として、以下の点に特に注意を払う必要があります:
- ソフトウェアのインストール時における厳格な検証プロセスの確立
- 定期的なセキュリティ監査の実施
- サプライチェーン全体におけるセキュリティ管理の強化
このような高度な攻撃に対しては、単一の対策では十分ではありません。多層的な防御戦略と、継続的なモニタリングが不可欠となります。