ディスクイメージマウントツールとして世界中のPCユーザーに広く使われているDaemon Toolsが、約1ヶ月にわたってサプライチェーン攻撃を受けていたことが明らかになった。セキュリティ企業KasperskyがArs Technicaなど各メディアに報告した内容によると、2026年4月8日から感染が始まり、Kasperskyが記事を公開した5月5日時点でも攻撃は継続中だったという。

なぜこの攻撃が深刻なのか

サプライチェーン攻撃の恐ろしさは、「何もしていないのに感染する」点にある。今回の攻撃では、開発元AVBの公式Webサイトから配布され、正規のデジタル署名を持つインストーラーに悪意あるコードが仕込まれていた。ユーザーは通常のアップデートを行っただけで感染するため、「怪しいサイトからダウンロードしなければ安全」というリテラシーだけでは防ぎきれない構造になっている。

Kasperskyの報告によれば、感染が確認されているのはWindows版の以下のバージョンだ:

  • 12.5.0.2421〜12.5.0.2434

感染した場合に何が起きるか

Kasperskyのレポートによると、Daemon Toolsのexeファイルに組み込まれたマルウェアは起動時に自動実行される。収集される情報は以下の通りだ:

  • MACアドレス
  • ホスト名
  • DNSドメイン名
  • 実行中のプロセス
  • インストール済みソフトウェア
  • システムロケール

これらが攻撃者の管理するサーバーに送信される。感染したマシンは世界100カ国以上で数千台に上るとされる。

さらに深刻なのは、そのうち小売・科学・政府・製造業に属する約12の組織に対して「追加ペイロード」が送り込まれていた点だ。Kasperskyが「ミニマリスティックなバックドア」と呼ぶこのペイロードは、コマンド実行・ファイルのダウンロード・メモリ上でのシェルコード実行が可能で、検出を意図的に困難にする設計になっている。

さらに1台のマシン(ロシア国内の教育機関)では「QUIC RAT」と名付けられた高度なバックドアが発見された。notepad.exeやconhost.exeへのプロセスインジェクションが可能で、HTTP/UDP/TCP/WSS/QUIC/DNS/HTTP3と多様なC2通信プロトコルに対応しているという。

過去の類似攻撃と並ぶ重大性

Kasperskyは今回の攻撃を「高度に巧妙な手口」と評し、過去の大規模サプライチェーン攻撃と同列に位置づけている。

攻撃 年 検出までの期間

CCleaner汚染 2017年 数週間

SolarWinds 2020年 数ヶ月

3CX VoIPクライアント 2023年 数週間

Daemon Tools(今回) 2026年 約1ヶ月

いずれも「正規の署名付きアップデート経由」という共通点がある。Kasperskyは「3CXのサプライチェーン攻撃と検出までの期間がほぼ同等であり、攻撃の複雑さは際立っている」と明言しており、今回が決して偶発的な事案ではないことを示唆している。

日本市場での注目点

Daemon Toolsは日本でも個人・企業問わず広く使われているディスクイメージツールだ。特にISO形式のソフトウェア配布を扱うIT部門や、レガシーソフトウェアを管理する環境では利用率が高い。フリーウェアとしてPCに入れたまま放置されているケースも少なくない。

今すぐ確認すべき対応:

  • Daemon Toolsのバージョンを確認する(バージョン12.5.0.2421〜2434が対象)
  • 該当バージョンを使用していた場合、2026年4月8日以降のシステム異常を調査する
  • KasperskyのレポートのIOC(侵害指標)をセキュリティツールに適用する
  • 最新の安全なバージョンへアップデート、または用途がなければアンインストールを検討する

エンドポイントの棚卸しを行い、管理外で使われているDaemon Tools環境がないかを確認しておくことを強く推奨する。

筆者の見解

今回の事件が突きつけるのは、「信頼できるチャネルからのアップデートすら安全でない」という現実だ。CCleaner、SolarWinds、3CX、そして今回のDaemon Toolsと、サプライチェーン攻撃は着実に増加・高度化している。

注目すべきは、感染したマシンの大部分を「偵察」目的の情報収集に留め、攻撃者が本命と判断した12組織にのみ追加攻撃を仕掛けているという点だ。広く網を張り、価値ある標的を選別して本格攻撃に移行する「漁業型」の洗練された手口であり、もはや無差別攻撃とは一線を画している。

Daemon Tools程度のユーティリティソフトがこれほどの攻撃対象になり得るという事実は、「使えるものは何でも入れる」という文化から「入れるものを厳選し継続的に管理する」文化への転換が急務であることを示している。ソフトウェアのホワイトリスト管理と定期的なサプライチェーン監査——地味だが、今この瞬間も最も重要な防御策はこれだ。

出典: この記事は Widely used Daemon Tools disk app backdoored in monthlong supply-chain attack の内容をもとに、筆者の見解を加えて独自に執筆したものです。