概要
Kasperskyの研究者は2026年5月、広く普及しているWindowsの仮想ドライブ管理ツール「DAEMON Tools」の公式インストーラーがサプライチェーン攻撃によって改ざんされていたことを明らかにした。攻撃は2026年4月8日以降に開始され、バージョン12.5.0.2421〜12.5.0.2434のLiteエディションが配布するインストーラーに悪意のあるコードが混入した。改ざんされたファイルは正規のデジタル証明書で署名されていたため、一般的なセキュリティチェックをすり抜けることができた。影響は100か国以上に及び、数千件の感染が試みられたとされる。
技術的な詳細
攻撃者は DTHelper.exe、DiscSoftBusServiceLite.exe、DTShellHlp.exe の3つのバイナリを改ざんした。システム起動時にこれらの悪意あるバイナリが起動すると、攻撃開始の12日前(2026年3月27日)に登録されたC2ドメイン env-check.daemontools[.]cc へHTTP GETリクエストを送信し、cmd.exe 経由でシェルコマンドを実行する。
マルウェアの感染チェーンは多段階構造になっている。第1段階の envchk.exe(.NET製)はホスト名、MACアドレス、実行中プロセス、インストール済みソフトウェア、システムロケールなどの詳細な端末情報を収集する。第2段階の cdg.exe/cdg.tmp はシェルコードローダーとして機能し、ペイロードを復号して軽量バックドアを起動する。さらに標的を絞った攻撃では「QUIC RAT」と呼ばれる高機能なリモートアクセスツール(RAT)が展開される。QUIC RATはHTTP、UDP、TCP、WSS、QUIC、DNS、HTTP/3といった複数のC2通信プロトコルをサポートし、notepad.exe や conhost.exe などの正規プロセスにペイロードをインジェクションする機能を持つ。
被害範囲と攻撃者の特徴
数千件の感染試行が確認された一方で、第2段階以降のペイロードを実際に受け取ったホストは約12台に限られており、攻撃者が高価値標的を選別していたことを示唆している。標的となったのは主にロシア、ベラルーシ、タイの小売・科学・政府・製造セクターだった。第1段階の情報窃取ツールはロシア、ブラジル、トルコ、スペイン、ドイツ、フランス、イタリア、中国でも広く確認された。
攻撃者の帰属については、第1段階のペイロード内に中国語の文字列が含まれていたことから中国語話者の脅威アクターが関与している可能性がKasperskyにより指摘されているが、既知の脅威グループへの正式な帰属は確定していない。
対応と推奨事項
開発元のAVB Disc Softは報告を受けてから12時間以内に修正版となるバージョン12.6.0.2445をリリースした。今回影響を受けたのはLiteエディションの特定バージョンのみで、Ultra・Proの各エディションへの影響は確認されていない。Kasperskyは2026年4月8日以降にDAEMON Toolsがインストールされていたマシンについて、侵害の痕跡(IoC)の確認と異常なセキュリティ関連アクティビティの調査を推奨している。該当バージョンを使用していたユーザーはただちにアンインストールのうえシステムの完全スキャンを実施し、最新版へ更新することが求められる。