システムメンテナンスツール「CCleaner」が改竄の被害、ユーザー情報を外部送信

「CCleaner」v5.34

　英Piriform Limitedは18日（現地時間、以下同）、同社が公開しているシステムメンテナンスツール「CCleaner」および「CCleaner Cloud」が改竄の被害に遭っていたことを明らかにした。改竄されたツールを利用すると、ユーザー情報の一部が外部サーバーに送信されてしまうという。

　同社によると、改竄されたのは8月15日に公開された「CCleaner」v5.33.6162と、8月24日にリリースされた「CCleaner Cloud」v1.07.3191のWindows向け32bit版。影響を受けるユーザーは227万人で、利用者全体の3％程度に相当するという。

　報告者の米Ciscoのセキュリティ部門Talosによると、この改竄を発見したのは9月13日のこと。新しい攻撃検知技術のベータテストを実施する際、サンプルとして利用した「CCleaner」v5.33のインストーラーにマルウェアが含まれていることを検出したという。

　このマルウェアにはC2サーバー（command and control：乗っ取った踏み台を制御したり命令を出すサーバー）のアドレスがハードコードされており、コンピュータ名、インストールされているソフト一覧、実行中のプロセス一覧、ネットワークアダプターのMACアドレス、システム情報などが外部サーバーに送信される仕組みだった。また、C2サーバーの閉鎖に備え、ドメイン生成アルゴリズム（DGA）が組み込まれていたという。

　最初のサンプルは9月11日にAvastのサーバーにホストされていたもので（PiriformはAvastに買収され、その傘下となっている）、有効なデジタル署名が施されている状態であった。また、2番目のサンプルに署名されていた証明書のタイムスタンプは、最初のサンプルが署名されてから約15分後だった。Talosは開発プロセスまたは署名プロセスの一部が乗っ取られた可能性を示唆している。

　Piriformによると、被害を食い止めるため9月15日にサーバーをシャットダウンし、ダウンロードサイトから「CCleaner」v5.33を削除したとのこと。「CCleaner Cloud」には、修正版のv1.07.3214が配信されている。現在は米国の法執行機関と協力としながら、原因の究明を行っているという。

　「CCleaner」はWindows XP/Vista/7/8/8.1/10および同64bit版に対応する寄付歓迎のフリーソフトで、現在同社のWebサイトからダウンロード可能。バージョンなどの情報はメイン画面左上にあるソフト名の下に記載されており、そこで確認できる。最新版のv5.34になっていれば改竄の影響は受けないようなので、利用中の場合は確認してほしい。

　なお、無償版には自動更新機能が搭載されていない。手動で最新版へアップデートする必要があるので注意したい。