CyberLink製アプリのインストーラを改ざんする攻撃。北朝鮮のグループが関与か

　Microsoftは22日(米国時間)、CyberLink製のアプリケーションを標的としたサプライチェーン攻撃が発見されたとして、情報を公開した。日本、台湾、カナダ、米国を含む複数の国において、100台以上のデバイスで影響が確認されたという。

　報告によれば、攻撃ではCyberLink製アプリケーションのインストーラに悪意あるコードを組み込んだものを悪用。CyberLink発行の有効な証明書で署名され、CyberLink所有の正規アップデートインフラ上でホストされていたという。また、実行の時間を制限することで、セキュリティソフトによる検出を回避する機能も備えるという。

　Microsoftでは、CyberLinkや影響を受けた顧客などに攻撃に関して通知したほか、該当の証明書を失効させるなど対応を実施。攻撃の第2段階で用いられるペイロードが、北朝鮮を拠点とする脅威アクターDiamond Sleetによって以前に侵害されたインフラと通信していることから、同脅威アクターによる攻撃だと分析している。