イスラエルのHola社が提供するWindowsアプリ「Hola Browser」が、サプライチェーン攻撃によって仮想通貨マイナーを仕込まれていたことが明らかになった。発見のきっかけはSophosら複数のセキュリティ企業が参加するAppEsteemの定期認証チェックという、皮肉にも「品質管理の仕組みが機能した」事例だ。

何が起きたか

Hola Browserは、イスラエル企業Holaが開発するChromiumベースのブラウザで、VPNおよびプロキシ機能を内蔵している。同社は「Hola VPN」でも知られており、無料ユーザーのデバイスを他ユーザーのトラフィック経路として使用する「Luminati Networks」(現Bright Data)との関係で過去にも物議を醸している。

今回のインシデントでは、C:\Program Files\Hola\ 配下に me.exe という名前の未申告実行ファイルが一部のインストール環境に展開されていることが発見された。このファイルには以下の特徴があった。

  • デジタル署名なし、タイムスタンプなし
  • コードが難読化されており、メモリ書き込み能力を持つ
  • Monero(XMR)暗号通貨マイナーであることを示す文字列を内包

マルウェアの動作もよく作り込まれていた。Windows Defenderの除外ルールを追加し、自身を HolaMonitorService.exe としてProgram Filesにコピー、hola_monitor_svc という名前のWindowsサービスを作成してPCのアイドル時に稼働する。ユーザーが気づきにくいよう、バックグラウンドでCPUリソースを搾取する設計だ。

影響範囲とHolaの対応

Hola社はサプライチェーン侵害を認め、独立系のセキュリティ企業Sygnia社も別途同一の侵害を検知していたと報告されている。ただし影響を受けたユーザーは全体の約0.1%にとどまり、ユーザーデータへのアクセスや窃取は確認されていないとしている。

CEOのAvi Raz Cohen氏は「配布パイプラインを完全に再構築し、高度なコード署名検証を実装、インフラ全体でのアクセス制御強化と継続的監視を導入した」と声明を発表した。ただし、侵害の具体的な経路や攻撃者の特定については現時点で回答がない。

実務への影響——日本のIT管理者が今すぐ確認すべきこと

Hola BrowserやHola VPNを組織内で許可・利用している環境では、以下を優先的に確認したい。

1. インストール済みサービスの棚卸し hola_monitor_svc という名前のWindowsサービスが存在しないか確認する。services.msc またはPowerShellの Get-Service -Name hola* で即座にチェック可能だ。

2. Windows Defender除外リストの監査 マルウェアが自身への除外ルールを追加した可能性がある。グループポリシーやIntuneで除外リストを集中管理していない環境では、個別端末での確認が必要になる。

3. Program Files内の未署名バイナリ確認 SIGNcheckなどのSysinternalsツールを使い、C:\Program Files\Hola\ 配下の署名状態を確認する。

4. ソフトウェア許可ポリシーの見直し Hola製品を業務用途で許可している場合、その根拠を再評価することを推奨する。過去の「Luminati Networks問題」と今回の件を合わせると、リスクプロファイルが高い製品と言わざるを得ない。

筆者の見解

サプライチェーン攻撃は「ソフトウェアを信頼して導入した」という行為そのものが攻撃の入口になるという点で厄介だ。今回、発見できたのはAppEsteemという外部の認証機関による定期チェックがあったからで、これが機能していなければ気づかれないまま長期間稼働していた可能性は十分にある。

気になるのは、Hola社が「0.1%のユーザーのみ影響」と言っている部分だ。それが事実だとしても、なぜ一部だけに配布されたのかという技術的説明がない。標的絞り込みなのか、配布システムの一部だけが侵害されたのか——ここが明確にならないと、「解決した」とは言いにくい。

ゼロトラストの観点から言えば、「信頼できる配布元からのソフトウェアだから安全」という前提自体がもう成立しない時代だ。コード署名の検証、ソフトウェアのインベントリ管理、エンドポイントでの振る舞い検知の三点セットが、今や「最低限の衛生管理」になっている。特に業務端末へのコンシューマー向けVPN・ブラウザアプリの導入は、今回の事例を踏まえて改めてポリシーを整理するいい機会だ。

「今動いているから大丈夫」という判断が通用しないことは、こういった事例が繰り返し証明している。

出典: この記事は Hola Browser for Windows compromised to deliver cryptominer の内容をもとに、筆者の見解を加えて独自に執筆したものです。