JPCERTコーディネーションセンター(JPCERT/CC)は2017年9月20日、無償のPC最適化ツール「CCleaner」にマルウエアが混入していた件について注意を促した。同年8月15日から9月12日に配布したCCleanerにマルウエアの混入が認められたという。

英PiriformのPC最適化ツール「CCleaner」の配布サイト
英PiriformのPC最適化ツール「CCleaner」の配布サイト
[画像のクリックで拡大表示]

 CCleanerは、Windowsのレジストリーや各種一時ファイルから不要なものを削除する機能を備える最適化ツール。マルウエアが混入したのは、8月15日から9月12日に配布したCCleaner v5.33.6162(32ビット版)と、8月24日から9月15日に配布したCCleaner Cloud v1.07.3191(同)。開発元の英Piriformが9月18日(現地時間)に発表した調査報告によると、この間に227万本がダウンロードされた。

 米シスコシステムズのセキュリティ組織「Talos」の分析では、マルウエアはPiriform所有の有効期間内のデジタル証明書によって署名され、ユーザーからは正規のものと見分けが付かない状態だった。また、Piriformの開発環境でビルドされた痕跡があったため、内部犯行や開発環境へのアクセス権限があるアカウントの乗っ取りが疑われるという見解を示している。なお、解析中にマルウエアのアクセス先のドメイン名が判明したため、Talosが該当するドメインを登録。攻撃者のIPアドレスに解決されないようにした。

 JPCERT/CCは、改ざんの影響を受けたCCleanerのユーザーに対して、CCleanerの最新版への更新と不審な通信の有無の確認を推奨している。Talosの解析によるマルウエアの通信先ドメインは以下の通り。

  • ab6d54340c1aドットコム(.com、以下同)
  • aba9a949bc1d
  • ab2da3d400c20
  • ab3520430c23
  • ab1c403220c27
  • ab1abad1d0c2a
  • ab8cee60c2d
  • ab1145b758c30
  • ab890e964c34
  • ab3d685a0c37
  • ab70a139cc3a