ASUSのノートパソコンユーザーは要注意！公式の自動更新ツール「ASUS Live Update Utility」にバックドアが仕込まれる。

従来も「IrfanView」の公式ダウンロードサーバーがハッキングされたり、「CCleaner」にマルウェアが混入するなどの事件はありましたが、今回はなんとPC業界、特にマザーボードでは世界1位のシェアを誇るASUSのLive Updateサーバに対して高度な攻撃が行われ、バックドアが仕込まれるという衝撃的な事件（サプライチェーン攻撃）が発生しました。

今回の事件、攻撃者はASUSの正規のデジタル証明書を利用し、正規のサーバを乗っ取って悪質な更新プログラムを配信していたとの事。これによって発覚が遅れたようです。そりゃ分からんわ。。。ちなみに、Kaspersky LabはこのAPT（Advanced Persistent Threat）を「ShadowHammer」と名付けています。

• ShadowHammer：ASUSのラップトップを狙う悪意あるアップデート｜Kaspersky Lab
• バックドア型マルウェア｜TREND MICRO

この問題はMotherboardによって報告され、その後のKaspersky LabやSymantecの調査によれば、被害に遭ったコンピュータはKaspersky Labでは100万台、Symantecでは50万台と推定しています。ただし、ASUSは「悪意あるコードを埋め込まれたのは少数の機器」としています。

なお、今回の事件で影響を受けるのは、ASUSのノートパソコン向けの「ASUS Live Update Utility」のみで、それ以外のバージョンでは問題ないとの事。そして一般ユーザーを無差別に狙う攻撃ではなく、特定の600程度のMACアドレスを対象にしていたようです。すでに影響を受けると思われるユーザーにはASUSが対処をしたとの事ですが、この辺りの詳細は不明。

一応手動での確認ツールをASUSとKasperskyがリリースしているので、気になる方はチェックしておくと安心です。

「ShadowHammer」の攻撃対象PCかどうかを確認する方法

今回の「ShadowHammer」による攻撃対象のPCかどうかを確認する方法は以下の通り。

１、【ASUS公式ツール】標的であるかの確認は以下の URL からツールをダウンロード/解凍のうえ、実行ファイル｢ASDT.exe｣を実施し確認してください。詳細は使用方法はこちらで確認を。

• ASUS Security Diagnostic Tool Download link

２、【Kaspersky Lab】自分のコンピューターのMACアドレスが攻撃対象に含まれるかどうかをチェックするためのツールをKaspersky Labが用意してくれています。下記いずれかの方法で確認することができます。

• ツールをダウンロードし、コンピューター上で実行する。リンクをクリックするとZIPファイル（shadowhammercheck.zip）のダウンロードが始まります。解凍して実行ファイル（shadowhammer.exe）を起動してください。インターフェイスは英語です。
  ツールのダウンロードリンク：https://kas.pr/shadowhammer
• Webページ上で確認する。
  確認用ページ（英語）：https://shadowhammer.kaspersky.com/

ASUS Live Updateツールの攻撃に関する最近のメディアの報告に対するASUSの応答

※日本向けASUS公式サイトではまだ簡易の声明しか発表になっていません。アメリカサイトでの声明をGoogle翻訳にて翻訳した内容を提示しておきます。

2019/03/26

ASUS Live Updateは、システムが常にASUSの最新のドライバとファームウェアから利益を得ることを保証するためにASUSノートブックコンピュータに付属の独自のツールです。ごく少数の特定のユーザーグループを標的とするために、Live Updateサーバーへの高度な攻撃を通じて、少数のデバイスに悪意のあるコードが埋め込まれています。ASUSのカスタマーサービスは、影響を受けるユーザーに手を差し伸べ、セキュリティリスクを確実に排除するための支援を提供しています。

ASUSは最新バージョンのLive Updateソフトウェア（バージョン3.6.8）に修正を加え、ソフトウェアアップデートなどの手段による悪意のある操作を防ぐための複数のセキュリティ検証メカニズムを導入し、エンドツーエンドの機能強化を実施しました。同時に、将来的に同様の攻撃が行われるのを防ぐために、サーバーからエンドユーザーへのソフトウェアアーキテクチャも更新、および強化しました。

さらに、影響を受けたシステムをチェックするためのオンラインセキュリティ診断ツールを作成しました。心配しているユーザーに予防策として実行することををお勧めします。ツールはここにあります：https//dlcdnets.asus.com/pub/ASUS/nb/Apps_for_Win10/ASUSDiagnosticTool/ASDT_v1.0.1.0.zip

その他の懸念がある場合は、ASUSカスタマーサービスにお問い合わせください。

ASUS製品を利用中のユーザーは「ASUS Live Update」を最新バージョンにアップデートしておきましょう！

ASUS的には、大多数のユーザーに大きな影響はないとの判断なのかもしれませんが、日本向けの公式ページのトップで今回の件へのリンクを明示していないのはやや不親切な気がします。
ちなみに、今回の件に関する日本向けの公式ページはこちら。FAQから発見しました。

• ShadowHammer に対しての ASUS Live Update ステートメント｜ASUS

バックドアのある「ASUS Live Update」をそのままにしておくのは非常に危険です。ASUS製品を利用中のユーザーは、速やかに「ASUS Live Update」を最新バージョンへアップデートしておきましょう。

なお、「ASUS Live Update」のバージョンはv3.6.8 以降が推奨されています。ご注意ください。「ASUS Live Update」のバージョン確認方法、および最新バージョンへのアップデート方法は、下記のASUS公式FAQをご参照ください。

• セキュアで安全な ASUS Live Update を利用中かどうかの確認方法｜ASUS FAQ