広く使われているディスクイメージマウントアプリ「Daemon Tools」が、約1カ月にわたるサプライチェーン攻撃によってバックドアを仕込まれていたと、セキュリティ企業Kasperskyが2026年5月5日に報告しました。開発元の公式サーバーから配布された正規署名付きのインストーラーを通じて感染が広がっており、すでに100カ国以上の端末に影響が及んでいます。
影響を受けるバージョンはバージョン12.5.0.2421から12.5.0.2434です。 該当バージョンを使用している場合は、後述の対応手順を速やかに確認してください。
攻撃の概要——公式アップデートが感染経路に
Kasperskyによると、攻撃は2026年4月8日に始まり、同社がレポートを公開した時点でもまだ継続中だったと報じられています。感染したインストーラーは開発元AVBの公式デジタル証明書で署名されており、公式ウェブサイトからダウンロードされたものです。Daemon Toolsの実行ファイルにマルウェアが埋め込まれ、OS起動時に自動実行される仕組みになっています。
影響を受けるバージョンはバージョン12.5.0.2421から12.5.0.2434です。感染対象のOSについては、出典元を参照してください。
何が盗まれ、何が仕込まれたのか
感染した端末には、まず初期ペイロードが送り込まれます。これはMACアドレス・ホスト名・DNSドメイン名・実行中のプロセス・インストール済みソフトウェア・システムロケールといった情報を収集し、攻撃者が管理するサーバーへ送信するものです。
さらに、Kasperskyによると、感染した多数の端末のうち約12台——ロシア・ベラルーシ・タイに所在する政府・科学・製造・小売組織の機器——には、より高度なフォローオンペイロードが追加で送り込まれたとされています。Kasperskyはこれを「ミニマリスティックなバックドア」と表現しており、コマンドの実行・ファイルのダウンロード・メモリ上でのシェルコード実行が可能で、検出を困難にする設計になっています。
加えて、ロシア国内の教育機関に属する1台の端末では、「QUIC RAT」と名付けられたより複雑なバックドアが観測されました。QUIC RATはnotepad.exeやconhost.exeといった正規のWindowsプロセスにペイロードを注入する機能を持ち、HTTP・UDP・TCP・WSS・QUIC・DNS・HTTP/3など多様なC2通信プロトコルに対応しています。
Kasperskyによると、感染が確認された100以上の組織は、ロシア・ブラジル・トルコ・スペイン・ドイツ・フランス・イタリア・中国を中心に分布しているとされています。なお、同社の可視性は自社製品のテレメトリのみに基づいており、実際の被害規模はさらに大きい可能性があります。
Kasperskyの研究者は次のように述べています。「影響を受けたシステムの10%がビジネスや組織に属しています。攻撃者はほとんどの感染端末に情報収集ペイロードのみを送り込もうとしましたが、より複雑なバックドアペイロードはロシア・ベラルーシ・タイに所在する政府・科学・製造・小売組織の約12台の端末でのみ確認されていると報告されています。このように感染端末の一部にのみバックドアを展開する手法について、Kasperskyは、攻撃者が標的を絞った感染を意図していたことを示唆していると分析しています。ただし、その意図がサイバースパイ活動なのか『ビッグゲームハンティング』なのかは、現時点では不明です」
サプライチェーン攻撃が防ぎにくい理由
今回の攻撃が特に厄介なのは、ユーザーが「公式サイトから正規の署名付きアップデートをインストールする」という、本来は安全なはずの行動をとるだけで感染してしまう点です。Kasperskyは「攻撃者はDAEMON TOOLSへの侵害を非常に高度な手口で実行した」と評価しており、同レポートによれば検出までに要した期間は約1カ月で、2023年の3CXサプライチェーン攻撃と同程度だったとされています。
過去にも同様の手口として、2017年のCCleanerへの攻撃、2020年のSolarWindsへの攻撃、2023年の3CX VoIPクライアントへの攻撃が知られており、いずれも侵害されたアップデート配布チャネルが発見されるまでに数週間から数カ月を要しました。
感染確認の3ステップ:今すぐできること
Daemon Toolsを使用している場合は、以下の手順が推奨されています。
- バージョン確認 — アプリのバージョン情報を開き、バージョン12.5.0.2421から12.5.0.2434に該当するかを確認する。4月8日以降にインストールまたは更新した場合は特に念入りな確認が必要です。
- システム全体のスキャン — 信頼できるウイルス対策ソフトでシステム全体をスキャンする。
- IoC(侵害の痕跡)の確認 — KasperskyのレポートにはIoCが掲載されており、より技術的な知識を持つユーザーはこれを参照し、「Temp・AppData・Publicなどの公開アクセス可能なディレクトリから起動された実行ファイルを発端とする、正規のシステムプロセスへの不審なコードインジェクション」を監視することが求められています。
続報および公式の対応状況については出典元のKasperskyレポートを参照してください。
Q&A
Q. 自分が使っているDaemon Toolsが感染対象かどうか、どう確認すればよいですか? バージョン12.5.0.2421から12.5.0.2434が対象です。アプリのバージョン情報を確認し、該当する場合は信頼できるウイルス対策ソフトでシステム全体をスキャンし、Kasperskyのレポートに掲載されている侵害の痕跡(IoC)も合わせて確認することが推奨されています。
Q. 攻撃者は誰で、目的は何ですか? Kasperskyのレポート時点では、攻撃者の帰属も意図(サイバースパイ活動か金銭目的の「ビッグゲームハンティング」か)も現時点では不明とされています。
Q. Daemon Toolsを削除すれば安全ですか?また、開発元AVBはどう対応していますか? これらの点についてはソース記事に情報が記載されていません。詳細は出典元を参照してください。
