大手企業にサーバ管理ツールを提供しているNetSarangが配信したソフトウェアパッケージにバックドアが仕込まれたShadowPadが存在することをKaspersky Labのグローバル調査分析チームのGReATが確認した。NetSarangは大手企業にこのソフトウェアを提供しており、金融サービス、教育、通信、製造、エネルギー、運輸業界など多くの組織が導入している。
今回の件は、金融機関から金融取引処理に関わるシステムに疑わしいDNSリクエストに関する調査依頼があり同社にて調査した結果、このリクエストがNetSarangのサーバー管理ソフトウェアからのものであることが判明した。更なる分析を行ったところ、このDNSリクエストはNetSarangの正規ソフトウェアのアップデートを改ざんして仕込んだマルウェアにより実行されていた。改竄されたアップデートをインストールするとマルウェアが8時間に1回感染したPCのユーザー名やドメイン名、ホスト名などを送信し、攻撃者が興味を持ったPCに指令サーバが応答してバックドアを有効化し、不正コードをダウンロードして実行が可能となる。
同社はこの件を直ちにNetSarangに伝え、同社は悪意あるコードを削除したソフトウェアのアップデートをリリースした。今回のマルウェアがすぐに検知されず、解決していなければ多くの企業が被害に遭っていた恐れがあり、同社が迅速に対応したことから被害はそこまで大きくならずにすむと推測されるが、最新のソフトウェアアップデートを適用していない企業もあると思われ、まだ多くのShadowPadマルウェアが存在している恐れもある。ソフトウェアは常に最新の状態にしておくことで被害を防げる。
