概要:eScanアップデートサーバーが侵害される
セキュリティ企業MicroWorld Technologiesが提供するアンチウイルス製品eScanのアップデートサーバーが侵害され、一部の顧客に対して悪意のある更新プログラムが配信されていたことが明らかになりました。このインシデントは2026年1月20日の2時間にわたり発生し、地域アップデートクラスターから更新プログラムをダウンロードしたユーザーに影響が出ました。
事件の経緯とeScanの対応
eScanは、地域アップデートサーバーの構成に対する不正アクセスがあり、不正なファイル(パッチ構成バイナリ/破損した更新プログラム)が配信パスに配置されたと説明しています。同社は、インシデント発生後数時間で影響を受けたインフラを隔離および再構築し、認証情報を更新、影響を受けた顧客への修復策を提供したと発表しています。また、eScanは社内監視と顧客からの報告により1月20日に問題を検出し、1月21日にはセキュリティ勧告を発行したと主張しており、製品自体の脆弱性ではないことを強調しています。
一方、セキュリティ企業のMorphisecは、独自の技術報告書を公開し、eScanのアップデートインフラから配信された更新プログラムに関連する悪意のある活動を検出したと述べています。Morphisecは1月20日に悪意のある活動を検出し、その後eScanに連絡したと主張していますが、eScanはMorphisecが問題を最初に発見または報告したという主張に異議を唱えています。
悪意のある更新プログラムの具体的な内容
Morphisecのセキュリティ速報によると、悪意のある更新プログラムはeScanのアップデートコンポーネントである「Reload.exe」の改変版を配布しました。この改変されたReload.exeは、一見eScanのコード署名証明書で署名されているように見えますが、WindowsおよびVirusTotalでは署名が無効と表示されています。
Morphisecの調査によると、このReload.exeファイルは、永続性の確立、コマンドの実行、リモートアップデートを阻止するためのWindows HOSTSファイルの改変、そしてさらなるペイロードをダウンロードするためのC2(コマンド&コントロール)インフラへの接続に使用されました。最終的に展開されたペイロードは「CONSCTLX.exe」というファイルで、これはバックドアおよび永続的なダウンローダーとして機能したとされています。マルウェアは「CorelDefrag」のような名前でスケジュールされたタスクを作成し、永続性を確保していました。
システムへの影響と特定されたC2サーバー
悪意のある更新プログラムをインストールしたユーザーのシステムでは、以下のような挙動が確認されました。
- アップデートサービス失敗の通知
- eScanアップデートサーバーへの接続を妨げるシステムHOSTSファイルの改変
- eScanアップデート構成ファイルの改変
- 新しいセキュリティ定義アップデートを受信できない状況
- クライアントマシンでのアップデート利用不可ポップアップ表示
Morphisecは以下のC2サーバーを特定しました。
- hxxps[://]vhs[.]delrosal[.]net/i
- hxxps[://]tumama[.]hns[.]to
- hxxps[://]blackice[.]sol-domain[.]org
- hxxps[://]codegiant[.]io/dd/dd/dd[.]git/download/main/middleware[.]ts
- 504e1a42.host.njalla[.]net
- 185.241.208[.]115
復旧策と今後の対策
eScanは、顧客向けに以下の機能を提供する修復更新プログラムをリリースしました。
- 不正な変更の自動識別と修正
- eScanの適切な更新機能の再有効化
- 正常な復元を検証
- 標準的なシステム再起動が必要
eScanとMorphisecの両社は、さらなるセキュリティ強化のため、上記のコマンド&コントロールサーバーをブロックすることを推奨しています。
過去の類似事例
2024年には、北朝鮮のハッカーがeScanアンチウイルスのアップデートメカニズムを悪用し、企業のネットワークにバックドアを仕込んだ事例も報告されており、今回のインシデントは同様の手法が悪用された可能性を示唆しています。