eScan Antivirusのアップデートサーバー侵害、世界規模でマルウェア配布の恐れ

eScan Antivirusのアップデート基盤侵害が判明

**MicroWorld Technologies**が提供するeScanアンチウイルス製品において、正規のアップデート経路を通じてマルウェアが配布された可能性があることが明らかになった。
**Morphisec Threat Labs**によると、本件は2026年1月20日、公式アップデートインフラを介して悪意のある更新プログラムが配信されたことで確認されたという。

この手法は、信頼された更新プロセスを悪用する供給網攻撃の一例とされ、影響範囲や配布されたコードの詳細については、引き続き調査が進められている。

悪意あるアップデートの配布と影響

今回配布された悪意ある更新プログラムは、正規のデジタル署名が付与されていたため、セキュリティ製品が前提とする信頼の仕組みを回避することが可能だった。
マルウェアは感染後、システムに常駐し、リモートアクセス機能を有効化するとともに、eScanのアップデートサーバーへの通信を遮断し、追加の自動更新や修復を妨害する挙動を示した。

攻撃の起点となったのは、アップデート過程で正規コンポーネントを置き換える形で導入された32ビット版のトロイの木馬化eScan実行ファイルである。この不正な実行ファイルは追加のペイロードを展開し、最終的に64ビット環境向けのバックドアを投入することで、攻撃者に完全なリモート操作権限を与えた。

攻撃キャンペーンの主要な特徴

今回の攻撃キャンペーンで特に注目される点は、自動復旧を意図的に妨害する仕組みが組み込まれていたことである。
マルウェアはWindowsのhostsファイルを改変し、さらにeScan関連のレジストリ設定を操作することで、正規のアップデートサーバーとの通信を遮断した。これにより、感染した端末は自動更新や修復処理を受けられない状態に置かれていた。

また、持続性の確保においては、Windowsのデフラグ処理を装ったスケジュールタスクや、ランダムに生成されたGUID形式のレジストリキーが利用されており、管理者やセキュリティ製品による検知を回避する工夫が確認されている。

Morphisecは、顧客環境においてこの悪意ある活動を数時間以内に検知・遮断したと報告している。一方、MicroWorld Technologiesも内部モニタリングを通じて異常を把握し、約1時間以内に影響を受けたインフラを隔離、さらにグローバルなアップデートシステムを8時間以上停止する措置を講じたとしている。

対応措置と推奨事項

Morphisecは、eScanユーザーに対し速やかなインシデント対応の実施を呼びかけている。具体的には、エンドポイント上で既知の悪意あるファイルハッシュの有無を確認するとともに、Windows\Defrag\ 配下に作成された不審なスケジュールタスクの調査、さらにエンコードされたデータを含むGUID形式のレジストリキーの有無を重点的に確認することを推奨している。加えて、関連するC2ドメインの遮断および、侵害されたeScanコード署名証明書の信頼失効を実施すべきだとしている。

今回のインシデントは、eScan製品そのものの脆弱性が悪用されたものではなく、アップデートインフラへのアクセス権が不正に利用された結果であることが判明している。eScanはすでに関連するセキュリティアドバイザリを公開し、影響を受けた顧客に対して直接通知を行いながら復旧対応を進めている。

本件は、ソフトウェア・サプライチェーンのセキュリティがいかに重要であるかを改めて浮き彫りにした事例といえる。組織は、信頼された更新経路であっても侵害され得るという前提に立ち、監視体制の強化や多層的な防御を含む実効性のあるセキュリティ運用を通じて、同様の脅威に備える必要がある。