チェック・ポイント、3CXデスクトップアプリがトロイの木馬化され、悪用されるサプライチェーン攻撃を報告
チェック・ポイントはお客様への保護と安全性を引き続き確保
包括的なサイバーセキュリティソリューションプロバイダーであるチェック・ポイント・ソフトウェア・テクノロジーズ株式会社(Check Point Software Technologies Ltd.、NASDAQ:CHKP、以下チェック・ポイント)は、3CX Voice over IP(VoIP)システムのデスクトップクライアントである3CXデスクトップアプリがトロイの木馬化され、サプライチェーン攻撃に悪用されている事例を発見し、報告しました。この悪用に対し、チェック・ポイントのお客様の安全性は引き続き確保されていることが確認されています。
3CXデスクトップアプリは、3CX Voice over IP(VoIP)システムのデスクトップクライアントです。このアプリケーションの使用により、デスクトップやノートパソコンを用いた組織内外のコミュニケーションが可能になります。
このアプリは通話録音やビデオ会議の簡便化が可能で、Windows、macOS、Linuxの各OSで使用できます。ハイドブリッドワークやリモートワークを行う従業員のいる企業でツールとして用いられ、その顧客には英国の国民保険サービスNHSなどの行政サービスプロバイダーや、コカ・コーラ、Ikea、Hondaなど大手企業が名を連ねています。
何が発生しているのか
過去数日にわたり、オリジナル版3CXデスクトップアプリクライアントがトロイの木馬化され、疑いを持たない被害者によって世界中でダウンロードされていることが明らかになっています。トロイの木馬と化したアプリのバージョンには、正規版に本来付属していたオリジナルのDLLから置き換えられた悪意あるDLLファイルが含まれています。アプリを読み込むと、署名された3CXデスクトップアプリがあらかじめ決められた実行手順の一部として悪意のあるDLLを実行します。これにより一般的に普及した無害なVoIPアプリは本格的なマルウェアへと変貌し、リモートサーバーにビーコンを送信して第2段階のマルウェアを実行する機能を得ます。
典型的なサプライチェーン攻撃
これは典型的なサプライチェーン攻撃 < https://www.checkpoint.com/cyber-hub/threat-prevention/what-is-a-supply-chain-attack/ > です。しかしながら本記事の執筆時点では、3CXデスクトップアプリのソースコードに何らかの介入があったという証拠はなく、さらに、アプリケーションに悪意あるファイルが仕込まれているとは誰も予想していませんでした。
サプライチェーン攻撃は、組織と外部組織との間にある信頼関係の悪用を目的に設計されています。この関係には、パートナーシップ、ベンダーとの関係、サードパーティ製ソフトウェアの使用なども含まれます。サイバー脅威アクターは、ある一つの組織を侵害すると次にはサプライチェーンをたどり、こうした信頼関係を利用して他の組織の環境内にアクセスするのです。
正規ツールを武器化する手法のひとつに
サイバープロテクションにおける基本レイヤーは、攻撃発生前に悪意あるツールや行動を認識することです。セキュリティベンダーは、マルウェアの種類やマルウェアファミリー、特定の脅威主体への帰属や関連する攻撃キャンペーンなどに関する調査とマッピングに多大なリソースを投じ、その一方で正しいセキュリティサイクルやセキュリティポリシーの情報源となるTTP(技術、戦術、手順)を特定します。
一方脅威アクターは、高度なサイバーセキュリティソリューションとの闘争のため、攻撃手法を開発し完成度を高めています。その手法においてカスタムマルウェアの使用は減り、代わりに非シグネチャ型ツールの活用へとシフトしています。脅威アクターは標的とするシステムにあらかじめインストールされたオペレーティングシステム機能やツール、一般的なIT管理ツールを悪用し、発見された場合にもより疑われにくくしています。同様に、市販の既成ペンテストツールやレッドチームツールも頻繁に利用されます。この現象は、それ自体新しくはないものの、かつては洗練された脅威アクターだけが用いる珍しい手法でした。しかし今ではあらゆるタイプの脅威アクターによって広く採用されています。
チェック・ポイントはお客様を揺るぎなく保護
サプライチェーン攻撃は最も複雑な攻撃形態のひとつです。セキュリティベンダーは、レピュテーションベースやシングルレイヤーのソリューションひとつだけに頼ることはできません。保護を実現するためには、ネットワークやエンドポイント、サーバー上に見られるアクティビティに疑問を持ち、点と点とを結びつける必要があります。
Check Point Horizon XDR/XPR < https://www.checkpoint.com/horizon/xdr-xpr/ > はチェック・ポイントのInfinity < https://www.checkpoint.com/infinity/portal/ > アーキテクチャを採用し、セキュリティ資産全体にわたる包括的な脅威防止策を提供するよう設計されています。
このプラットフォームは、組織の環境内のどの部分から発生したサイバー攻撃でも即座にブロックし、組織全体への影響や外部への被害の伝播を防ぎます。XDR/XPRはサイバー防御の最後の砦であり、統合されたセキュリティ資産全体にわたる追加のレイヤーとなります。Check Point Horizon XDR/XPRは、セキュリティ資産領域内の様々な場所で発生する一見無害なイベントが相乗し、結果的に組織にとって重大な脅威となるような複雑な攻撃も防ぎます。組織内における脅威の伝播や拡散を自動的に阻止し、SecOpsユーザーのための追加検証となる明確なデジタルフォレンジックを提供するプラットフォームです。
本リリースは米国時間2023年3月30日に発表されたブログ < https://blog.checkpoint.com/2023/03/29/3cxdesktop-app-trojanizes-in-a-supply-chain-attack-check-point-customers-remain-protected/ > (英語)をもとに作成しています。
最新のサイバーセキュリティ動向に関して2023年4月20日(木)14:00からオンライン開催する「CPX Japan Online < https://eventbase.cloud/cpx-japan/lp > 」にて詳細に解説する予定です。当イベントでは、チェック・ポイントが今年発表した新製品に加え、最新のサイバー攻撃の動向をお伝えいたします。
参加登録や詳細なアジェンダはこちらからご覧ください < https://eventbase.cloud/cpx-japan/lp > 。
チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ(https://www.checkpoint.com/)は、世界各国の政府機関や企業など、あらゆる組織に対応するサイバーセキュリティソリューションを提供するリーディングカンパニーです。Check Point Infinityの各ソリューションはマルウェアやランサムウェアを含むあらゆる脅威に対して業界トップクラスの捕捉率を誇り、第5世代のサイバー攻撃から企業や公共団体を守ります。Infinityは、企業環境に妥協のないセキュリティを提供し第5世代の脅威防御を実現する4つの柱で構成されています。リモートユーザー向けのCheck Point Harmony、クラウドを自動的に保護するCheck Point CloudGuard、ネットワーク境界を保護するCheck Point Quantum、そして防止優先のセキュリティオペレーションスイート、Check Point Horizonです。チェック・ポイントは10万を超えるあらゆる規模の組織を守っています。チェック・ポイント・ソフトウェア・テクノロジーズの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社(https://www.checkpoint.com/jp/)は、1997年10月1日設立、東京都港区に拠点を置いています。
ソーシャルメディア アカウント
・Check Point Blog: https://blog.checkpoint.com
・Check Point Research Blog: https://research.checkpoint.com/
・YouTube: https://youtube.com/user/CPGlobal
・LinkedIn: https://www.linkedin.com/company/check-point-software-technologies/
・Twitter: https://twitter.com/checkpointjapan
・Facebook: https://www.facebook.com/checkpointjapan
本件に関する報道関係者からのお問い合わせ
チェック・ポイント広報事務局 (合同会社NEXT PR内)
Tel: 03-4405-9537
Fax: 03-4332-2354
E-mail: checkpointPR@next-pr.co.jp
3CXデスクトップアプリとは
3CXデスクトップアプリは、3CX Voice over IP(VoIP)システムのデスクトップクライアントです。このアプリケーションの使用により、デスクトップやノートパソコンを用いた組織内外のコミュニケーションが可能になります。
このアプリは通話録音やビデオ会議の簡便化が可能で、Windows、macOS、Linuxの各OSで使用できます。ハイドブリッドワークやリモートワークを行う従業員のいる企業でツールとして用いられ、その顧客には英国の国民保険サービスNHSなどの行政サービスプロバイダーや、コカ・コーラ、Ikea、Hondaなど大手企業が名を連ねています。
何が発生しているのか
過去数日にわたり、オリジナル版3CXデスクトップアプリクライアントがトロイの木馬化され、疑いを持たない被害者によって世界中でダウンロードされていることが明らかになっています。トロイの木馬と化したアプリのバージョンには、正規版に本来付属していたオリジナルのDLLから置き換えられた悪意あるDLLファイルが含まれています。アプリを読み込むと、署名された3CXデスクトップアプリがあらかじめ決められた実行手順の一部として悪意のあるDLLを実行します。これにより一般的に普及した無害なVoIPアプリは本格的なマルウェアへと変貌し、リモートサーバーにビーコンを送信して第2段階のマルウェアを実行する機能を得ます。
典型的なサプライチェーン攻撃
これは典型的なサプライチェーン攻撃 < https://www.checkpoint.com/cyber-hub/threat-prevention/what-is-a-supply-chain-attack/ > です。しかしながら本記事の執筆時点では、3CXデスクトップアプリのソースコードに何らかの介入があったという証拠はなく、さらに、アプリケーションに悪意あるファイルが仕込まれているとは誰も予想していませんでした。
サプライチェーン攻撃は、組織と外部組織との間にある信頼関係の悪用を目的に設計されています。この関係には、パートナーシップ、ベンダーとの関係、サードパーティ製ソフトウェアの使用なども含まれます。サイバー脅威アクターは、ある一つの組織を侵害すると次にはサプライチェーンをたどり、こうした信頼関係を利用して他の組織の環境内にアクセスするのです。
正規ツールを武器化する手法のひとつに
サイバープロテクションにおける基本レイヤーは、攻撃発生前に悪意あるツールや行動を認識することです。セキュリティベンダーは、マルウェアの種類やマルウェアファミリー、特定の脅威主体への帰属や関連する攻撃キャンペーンなどに関する調査とマッピングに多大なリソースを投じ、その一方で正しいセキュリティサイクルやセキュリティポリシーの情報源となるTTP(技術、戦術、手順)を特定します。
一方脅威アクターは、高度なサイバーセキュリティソリューションとの闘争のため、攻撃手法を開発し完成度を高めています。その手法においてカスタムマルウェアの使用は減り、代わりに非シグネチャ型ツールの活用へとシフトしています。脅威アクターは標的とするシステムにあらかじめインストールされたオペレーティングシステム機能やツール、一般的なIT管理ツールを悪用し、発見された場合にもより疑われにくくしています。同様に、市販の既成ペンテストツールやレッドチームツールも頻繁に利用されます。この現象は、それ自体新しくはないものの、かつては洗練された脅威アクターだけが用いる珍しい手法でした。しかし今ではあらゆるタイプの脅威アクターによって広く採用されています。
チェック・ポイントはお客様を揺るぎなく保護
サプライチェーン攻撃は最も複雑な攻撃形態のひとつです。セキュリティベンダーは、レピュテーションベースやシングルレイヤーのソリューションひとつだけに頼ることはできません。保護を実現するためには、ネットワークやエンドポイント、サーバー上に見られるアクティビティに疑問を持ち、点と点とを結びつける必要があります。
Check Point Horizon XDR/XPR < https://www.checkpoint.com/horizon/xdr-xpr/ > はチェック・ポイントのInfinity < https://www.checkpoint.com/infinity/portal/ > アーキテクチャを採用し、セキュリティ資産全体にわたる包括的な脅威防止策を提供するよう設計されています。
このプラットフォームは、組織の環境内のどの部分から発生したサイバー攻撃でも即座にブロックし、組織全体への影響や外部への被害の伝播を防ぎます。XDR/XPRはサイバー防御の最後の砦であり、統合されたセキュリティ資産全体にわたる追加のレイヤーとなります。Check Point Horizon XDR/XPRは、セキュリティ資産領域内の様々な場所で発生する一見無害なイベントが相乗し、結果的に組織にとって重大な脅威となるような複雑な攻撃も防ぎます。組織内における脅威の伝播や拡散を自動的に阻止し、SecOpsユーザーのための追加検証となる明確なデジタルフォレンジックを提供するプラットフォームです。
本リリースは米国時間2023年3月30日に発表されたブログ < https://blog.checkpoint.com/2023/03/29/3cxdesktop-app-trojanizes-in-a-supply-chain-attack-check-point-customers-remain-protected/ > (英語)をもとに作成しています。
最新のサイバーセキュリティ動向に関して2023年4月20日(木)14:00からオンライン開催する「CPX Japan Online < https://eventbase.cloud/cpx-japan/lp > 」にて詳細に解説する予定です。当イベントでは、チェック・ポイントが今年発表した新製品に加え、最新のサイバー攻撃の動向をお伝えいたします。
参加登録や詳細なアジェンダはこちらからご覧ください < https://eventbase.cloud/cpx-japan/lp > 。
チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ(https://www.checkpoint.com/)は、世界各国の政府機関や企業など、あらゆる組織に対応するサイバーセキュリティソリューションを提供するリーディングカンパニーです。Check Point Infinityの各ソリューションはマルウェアやランサムウェアを含むあらゆる脅威に対して業界トップクラスの捕捉率を誇り、第5世代のサイバー攻撃から企業や公共団体を守ります。Infinityは、企業環境に妥協のないセキュリティを提供し第5世代の脅威防御を実現する4つの柱で構成されています。リモートユーザー向けのCheck Point Harmony、クラウドを自動的に保護するCheck Point CloudGuard、ネットワーク境界を保護するCheck Point Quantum、そして防止優先のセキュリティオペレーションスイート、Check Point Horizonです。チェック・ポイントは10万を超えるあらゆる規模の組織を守っています。チェック・ポイント・ソフトウェア・テクノロジーズの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社(https://www.checkpoint.com/jp/)は、1997年10月1日設立、東京都港区に拠点を置いています。
ソーシャルメディア アカウント
・Check Point Blog: https://blog.checkpoint.com
・Check Point Research Blog: https://research.checkpoint.com/
・YouTube: https://youtube.com/user/CPGlobal
・LinkedIn: https://www.linkedin.com/company/check-point-software-technologies/
・Twitter: https://twitter.com/checkpointjapan
・Facebook: https://www.facebook.com/checkpointjapan
本件に関する報道関係者からのお問い合わせ
チェック・ポイント広報事務局 (合同会社NEXT PR内)
Tel: 03-4405-9537
Fax: 03-4332-2354
E-mail: checkpointPR@next-pr.co.jp
このプレスリリースには、メディア関係者向けの情報があります
メディアユーザーログイン既に登録済みの方はこちら
メディアユーザー登録を行うと、企業担当者の連絡先や、イベント・記者会見の情報など様々な特記情報を閲覧できます。※内容はプレスリリースにより異なります。
すべての画像
- 種類
- 調査レポート
- ビジネスカテゴリ
- ネットワーク・ネットワーク機器アプリケーション・セキュリティ
- キーワード
- チェック・ポイントトロイの木馬Check Point Software TechnologiesWindows3CXリモートワークリモートサーバーサイバー脅威サイバー攻撃サイバーセキュリティ
- ダウンロード
- プレスリリース素材
このプレスリリース内で使われている画像ファイルがダウンロードできます
