工場から出荷されたばかりの製品は、マルウエアなど潜んでいない安全な状態であるはずだ。しかし、これまで確認された事例を振り返ると、出荷されたばかりでも必ずしも安全とは言えないことが分かる。つい最近もトレンドマイクロは、出荷前に既にマルウエアが混入していた製品を確認した。今回の事例は、パソコン用オーディオ製品などを主に製造するシンガポールのメーカーが委託製造したUSB型オーディオ機器へのマルウエア感染である。
「新品」は、もはや「安全」を意味しない
今回紹介する事例は、電子機器が出荷時に既にマルウエアに感染していた最新事例である。パソコン用オーディオ製品とその周辺機器を製造するシンガポールのメーカーが、2009年10月1日以降に日本向けに出荷したUSB型オーディオ機器のうち、約3380台がトロイの木馬型マルウエア(Boot.exe)およびワーム(Ravmon.exe)に感染している可能性があるという。これらのマルウエアは2007年に見付かったもので、トレンドマイクロのウイルス対策製品ではそれぞれ「TROJ_CORELINK.D」および「WORM_RJUMP.AI」として検出する。
「TROJ_CORELINK.D」は、実行されると「TROJ_AGENT.THK」として検出されるルートキットを作成する。このルートキットは、自身を隠ぺいし、削除されるのを避ける。また、このマルウエアは「PE_CORELINK.C-O」として検出されるDLLファイル “LINKINFO.DLL” を作成する。このDLLファイルは、特定のWebサイトにアクセスし、「TROJ_ALMANAHE.V」として検出されるマルウエアをダウンロードする。また、「PE_CORELINK.C-O」はレジストリ・キーを問い合わせ、感染コンピュータの既定ブラウザのパスを入手する。その後、特定のURLにアクセスし、「TSPY_LEGMIR.BNI」をダウンロードする。
「TROJ_CORELINK.D」はさらに、感染コンピュータに挿入されたすべてのリムーバブル・メディアが自動的に実行されるように “AUTORUN.INF”を作成する。このトロイの木馬型マルウエアとともに製品に混入している「WORM_RJUMP.AI」は、実行されると、「TROJ_AGENT.JXU」として検出されるマルウエアを作成し、特定のWebサイトにアクセスして、さらに複数のマルウエアをダウンロードする可能性がある。「WORM_RJUMP.AI」は、リムーバブル・ドライブ(USBドライブなど)および物理ドライブ(C、Dドライブなど)を介して感染活動を行う。
このオーディオ機器へのマルウエア感染は、契約工場内で行われたテスト作業工程で起こったと報告されている。皮肉にも、このテスト作業において、マルウエアへの感染の兆候は発見されなかった。
2009年12月7日現在、このオーディオ機器の製造メーカーは、同社のパートナと共に倉庫在庫および店頭在庫を回収し、この事態を公表して注意を呼びかけた。同様の問題を防ぐためにマルウエアのテストをテスト作業工程に加えることも表明している。
電子機器:もうひとつのマルウエア侵入経路
新品の製品がマルウエアに感染しているというニュースの数は増え、ニュース自体に驚くことはもはやないが、このようなニュースが繰り返し報告されているのは気になるところだ。トレンドマイクロの脅威解析の専門家は、今後も同様の事例を確認し続けることになるだろうと予測している。デジタル・フォトフレーム、USBドライブ、MP3プレーヤなどの電子機器は、サイバー犯罪者がマルウエアをばらまく場所の一つになりつつある。インターネットだけが不正ファイルの侵入経路ではなくなってきているのだ。
新品の製品にマルウエアが混入していたこれまでの主な事例としては、他にも以下のようなものが挙げられる。
1.米国のIT機器メーカーが製造するサーバーの付属品であるUSBキーが、「WORM_VB.BDN」および「WORM_AUTORUN.AZB」として検出されるマルウエアに感染していた。「WORM_VB.BDN」は、リムーバブル・ドライブおよびマップされたドライブを介して感染活動を行う。また、このマルウエアは自身のコピー “CTFMON.EXE” を作成する。Windowsの正規のシステムファイルに同様の名称のファイルが存在するため、このマルウエアを終了させることは困難である。
2.韓国の電器メーカー製デジタル・フォトフレームのインストーラが、ワーム「Sality」に感染していることが明らかになった。このフォトフレームは、1GBメモリーを内蔵しており、USBモニターとして使用できる。混入したワームは、メールを介して感染活動を行うことで知られている。
3.中国で製造され、オランダの会社により販売されたUSBメディアプレーヤが、ファイル感染型ウイルス「PE_FUJACKS.FL-O」に出荷前に感染していた。このウイルスは、ネットワーク共有フォルダおよびリムーバブル・ドライブを介して感染活動を行う。
