少し前の話ですが。

「Avast、CCleaner事件の第2段階マルウェアの影響を受けた企業の完全リストを公開」

www.bleepingcomputer.com

有名ユーティリティCCleanerにマルウェアが仕込まれた（しかもセキュリティソフトAvastの傘下になっていた）件で大いに騒がれましたが、このマルウェアは早い段階で2段階方式であることがわかっていました。特定のターゲットだけが、2段階目のマルウェアの攻撃を受けていました。

ターゲットについては、サーバにデータが残っていたものの、ストレージが小さく、最後の5日間程度の分しかログが残っていないことが判明していました。

しかし、その後の調査で、他のサーバにもログが残っていたことがわかりました。こちらは空き容量も十分で、ほぼ全てのログ（サーバが落ちていた40時間は除くとのこと）が取得できました。

その結果は、次のようなものです。

• 汚染されたCCleanerのダウンロード回数は227万回
• 第1段階のマルウェアに感染したPCは164万台
• 第2段階のマルウェアが送り込まれたPCは40台

つまり、本当の狙いはこの40台だったというわけです。それらのPCの所在は、次の通りです。

• 中華電信（台湾最大の通信事業者、元国営）
• NEC
• サムスン
• ASUS
• 富士通
• ソニー
• Dyn)（DDNSやドメイン管理事業を実施。オラクル傘下）
• O2)（英携帯会社）
• Gauselman（独ギャンブル関連企業）
• Singtel（シンガポール通信事業者）
• Intel
• VMWare
• HTC
• LinkSys
• エプソン
• Vodafone
• Microsoft
• D-Link
• Google (GMail)
• Akamai
• MSI
• Cisco
• サイバーダイン
• TTI（カナダの軍事関連企業。おそらくTTI, Inc.）
• GoDaddy

日本や台湾の企業が心なしか多い印象ですね。

ちなみにAvast、Kaspersky、Ciscoはいずれも調査の結果、中国からの攻撃である可能性を示唆しています。