仮想光学ドライブ ソフトウェア DAEMON Tools は 4 月以来サプライ チェーン攻撃を受けており、数千のユーザーに影響を及ぼしています

セキュリティ研究者らは最近、広く使用されている仮想光学ドライブ ソフトウェア DAEMON Tools が重大なサプライ チェーン攻撃を受けたことを明らかにしました。その公式インストーラーには 2026 年 4 月初旬からバックドアが埋め込まれ、正式なルートを通じて配布され、世界中の数千台のデバイスに影響を与えています。 Kaspersky が発表した調査結果によると、攻撃者は正規のインストール パッケージに侵入し、公式にデジタル署名されたバイナリ ファイルに悪意のあるコードを挿入し、信頼できるソフトウェア アップデートを装った悪意のあるプログラムの配信を可能にしました。

調査によると、このラウンドの攻撃は 2026 年 4 月 8 日に始まり、DAEMON Tools の複数のバージョン (12.5.0.2421 ～ 12.5.0.2434) が「汚染」され、改ざんされたインストール プログラムが直接ホストされていました。ソフトウェアの公式 Web サイトに登録されており、開発者 AVB Disc Soft の有効なデジタル証明書で署名されているため、ユーザーが不信感を抱き、だまされる可能性が大幅に高まりました。研究者らは、5月初旬の時点で攻撃はまだ進行中であり、対応する悪意のあるインフラストラクチャも依然として活動していたと指摘した。

このインシデントでは、DTHelper.exe、DiscSoftBusServiceLite.exe、DTShellHlp.exe などの複数のコア実行可能ファイルが変更され、隠しバックドア ロジックが追加されました。ソフトウェアがインストールされると、これらのコンポーネントはシステム起動時に自動的に実行され、外部コマンド アンド コントロール (C2) サーバーとの通信を確立します。また、攻撃者は、悪意のあるトラフィックを通常のアクセス動作として偽装するために、DAEMON Tools の公式サイト名によく似たドメイン名を登録してアクティブ化しました。ドメイン名が登録されたのは攻撃開始の数日前であり、攻撃が慎重に計画されていたことがわかります。

攻撃リンクの観点から見ると、この作戦は明らかな段階的構造を示しました。ほとんどの被害デバイスでは、システムはまず情報を盗む初期ペイロードを受け取ります。このペイロードは、MAC アドレス、ホスト名、インストールされているソフトウェアのリスト、実行中のプロセス、ネットワーク構成、システム言語/地域設定などのさまざまな環境データを収集するために使用されます。このデータは攻撃者が制御するサーバーにアップロードされ、感染したシステムの価値をプロファイリングおよび評価するために使用され、それによって将来的に高レベルのツールを起動するかどうかを決定すると考えられます。研究者らはペイロード内にいくつかの中国語の文字列も発見し、攻撃者が中国人ユーザーである可能性を示唆しているが、正式かつ明確な追跡可能性の結論はまだ出ていない。

世界中で数千件の感染試みが検出されていますが、実際に第 2 段階の悪意のあるプログラムが配信される対象ホストは少数です。これらの「優先ターゲット」のほとんどは、政府、製造、科学研究、小売などの業界組織に所属しています。この限定的な配信と標的を絞った過負荷手法は、これが単純な日和見攻撃ではなく、情報収集や戦略的侵入を目的とした標的を絞った行動に近いことを示しています。

研究者らは、確認された第 2 段階ツールの中で、コマンドを実行し、ファイルをダウンロードし、悪意のあるコードをメモリに直接ロードして被害者のシステム上で実行して、ランディング トレースを減らすことができる最小限のバックドアを発見しました。少なくとも 1 件の侵害成功では、攻撃者は QUIC RAT と呼ばれる高度なインプラントも導入しました。この悪意のあるプログラムは、HTTP、TCP、DNS、QUIC などの複数の通信プロトコルをサポートしており、独自の悪意のあるコードを notepad.exe などの正規のプロセスに挿入し、その活動追跡をさらに隠蔽することができます。

遠隔測定データによると、関連する感染の試みが 100 か国以上で観察されています。影響を受けるシステムの数が最も多い地域には、ロシア、ブラジル、トルコ、スペイン、ドイツ、フランス、イタリア、中国が含まれます。影響を受けるデバイスの約 10% はさまざまな組織に属しており、残りのほとんどは初期データ収集段階に留まるだけで、それ以上の第 2 段階のペイロードを受信しません。

カスペルスキーは、同社のセキュリティ製品は、疑わしいPowerShellベースのダウンロード動作、一時ディレクトリから実行される悪意のあるプログラム、正規のプロセスにコードを挿入するアクティビティ、異常な外部ネットワーク通信パターンの特定など、さまざまな側面でこの攻撃を検出および傍受できると述べた。研究者らは、2026 年 4 月 8 日以降に DAEMON Tools をインストールした組織は、異常な PowerShell コマンド ライン アクティビティや一時ディレクトリからトリガーされた不審な実行のチェックに重点を置いて、関連システムの包括的な監査を実施することを推奨しています。同時に、組織はゼロトラスト セキュリティ アーキテクチャの実装を優先し、一時ディレクトリの実行権限を制限し、多層防御戦略を通じて全体的なセキュリティの回復力を向上させる必要があります。

今回の DAEMON Tools サプライ チェーン インシデントは、攻撃者がソフトウェア サプライ チェーンに対する攻撃手法を絶えず改良し、大規模な配布と正確な攻撃を組み合わせ、合法的で信頼できるソフトウェアを踏み台としてさまざまな環境に侵入していることを改めて示しています。この傾向の下では、長い間「セキュリティ」とみなされてきた一般的に使用されているソフトウェア ツールであっても、潜在的なリスク源としてみなされる必要があり、組織は、ますます複雑化するサプライ チェーンの脅威に対処するために、より慎重かつ積極的なセキュリティ戦略を採用する必要があります。