概要
2026年5月5日、カスペルスキーは仮想ドライブソフト「DAEMON Tools」の公式Webサイトが改ざんされ、正規の開発者デジタル署名が付いた悪性インストーラーが約1ヶ月にわたって配布されていたことを公表した。バージョン12.5.0.2421〜12.5.0.2434が対象で、被害は4月8日から始まっていたと見られる。インストール時に気づきにくいバックドアが設置され、感染端末はC2サーバーの指令に応じて追加マルウェアを受け取る構造になっていた。
カスペルスキーはこの攻撃を中国語話者の脅威アクターによるものと評価している。被害者の多くは一般ユーザーだが、製造業・政府機関・科学研究機関に所属する一部の高価値ターゲットには、より高度な二次ペイロードが送り込まれたことが確認された。
何が起きたのか
攻撃のタイムライン
| 日付 | 出来事 |
|---|---|
| 2026年4月8日 | DAEMON Tools公式サイトで悪性インストーラーの配布開始(推定) |
| 2026年5月5日 | カスペルスキーが攻撃を発見・公表、ベンダーに報告 |
| 2026年5月(公表後) | 開発元が修正版バージョン 12.6.0.2445 をリリース |
攻撃の特徴
このサプライチェーン攻撃の最大の特徴は、悪性インストーラーが開発元「AVB Disc Soft」の正規デジタル署名を持っていた点である。Windowsはデジタル署名の有無でソフトウェアの信頼性を判断するが、この署名が正規のものであったため、セキュリティソフトやOSの警告が出にくかった。約1ヶ月間、公式サイトを通じて無警戒なユーザーへ配布が続いた。
対象はWindowsバージョンのインストーラーのみで、Mac版は影響を受けていない。
技術的なポイント
バックドアの動作
悪性インストーラーを実行すると、起動のたびにC2サーバーへ接続するコンポーネントがシステムに設置される。C2サーバーは感染端末から次の情報を受け取り、ターゲットの価値を評価する:
- MACアドレス・ホスト名・DNSドメイン名
- 実行中のプロセス一覧
- インストール済みソフトウェア一覧
- 言語設定(組織のロケーションを特定する手がかりになる)
この情報をもとに、攻撃者は一般ユーザーには何もしないが、高価値ターゲットと判断した端末には追加の悪意ある二次ペイロードを送り込むという選別型の感染ロジックを採用している。製造業・政府機関・科学研究機関の端末が高価値ターゲットとして識別された場合、スパイウェアや情報窃取ツールが展開されたと見られる。
なぜ正規署名が付いていたのか
正規の開発者署名がどのように攻撃者の手に渡ったかは完全に解明されていないが、考えられる経路は次のいずれかである:
- 開発元のコード署名証明書(秘密鍵)が盗まれた(最も深刻)
- 開発元のビルドパイプラインが侵害され、正規ビルドプロセス内で悪性コードが注入された
- 開発元の配布サーバーが改ざんされ、インストーラーファイルが差し替えられた
いずれの場合も、エンドユーザー側からは署名の有効性だけでは真正性を判断できないという根本的な問題を示している。
サプライチェーン攻撃の連鎖パターン
この攻撃パターンは GitHub Actions サプライチェーン攻撃 や Shai-Hulud npm ワーム と本質を共有している——「信頼された配布チャネル」を乗っ取り、ユーザーが疑わずに実行するタイミングを使うという点である。今回はパッケージレジストリではなく「公式Webサイトからのダウンロード」という、さらに信頼度の高い経路が使われた。
企業が学ぶべきポイント
- 「公式サイトからダウンロードした」「署名が付いていた」は安全の根拠にならない: ベンダーのインフラ自体が侵害されている場合、これらの確認は無意味になる。サードパーティソフトウェアの導入審査において、ベンダーの開発環境セキュリティも評価基準に含めることが求められる。
- ソフトウェアのハッシュ値(SHA-256)を検証する: 公式サイトでハッシュ値を公開しているベンダーのソフトウェアは、ダウンロード後に必ず照合する。ハッシュが一致すればファイルは改ざんされていない。DAEMON Toolsの場合、悪性バージョンのハッシュ値は正規版と異なっているはずである。
- EDRでの振る舞い検知を活用する: 署名検証ベースの静的検知は今回のような正規署名付き悪性コードには無効である。起動時の不審なネットワーク接続や未知の外部C2通信を振る舞いベースで検知するEDR・XDRが対策の中心となる。
- SBOM(ソフトウェア部品表)で使用ソフトウェアを可視化する: 組織内にどのソフトウェアのどのバージョンが使われているかを即答できる状態にしておくことで、今回のような「特定バージョンが悪性」という情報が出た際に影響範囲を迅速に特定できる。
影響範囲
| 対象 | 影響 |
|---|---|
| DAEMON Tools バージョン 12.5.0.2421〜12.5.0.2434 の利用者 | バックドア設置・情報収集・二次ペイロード受信のリスク |
| 製造業・政府機関・科学研究機関に所属するユーザー | 高価値ターゲットとして選別され、追加スパイウェアを展開された可能性 |
| 一般ユーザー | C2通信が常駐するが、今のところ追加ペイロードは届いていない可能性が高い |
対応としては、バージョン 12.5.0.2421〜12.5.0.2434 を使用している場合、即刻アンインストール→ウイルス対策ソフトでフルスキャン→修正版 12.6.0.2445 以降へ更新を行うこと。ネットワーク側では対象期間中の外部C2通信ログを遡って確認することが推奨される。
参考情報
- Kaspersky Blog: Supply chain attack via DAEMON Tools (2026/05/05)
- Securelist: Popular DAEMON Tools software compromised (2026/05/05)
- The Hacker News: DAEMON Tools Supply Chain Attack Compromises Official Installers with Malware
- Help Net Security: Attackers compromised Daemon Tools software to deliver backdoors (2026/05/06)
サプライチェーン攻撃の全体像は ソフトウェアサプライチェーン攻撃、CI/CDパイプラインへの攻撃は GitHub Actions サプライチェーン攻撃 も合わせてご覧ください。