正規のCCleanerはコンピューターから不要なファイルを削除するためのユーティリティプログラムで、ディスク容量を消費する一時ファイルや、無効なWindowsレジストリキーを削除する機能を備えているほか、クリーンアップを行う際にシステムに隠れている悪意のあるファイルも削除してくれます。2017年1月には、CNET(英語)で「Very Good(非常に良い)」という評価を受けています。
しかしながら、2017年9月に、CCleanerマルウェアというものが発見されました。これはユーザーデータを収集するための不正なコードを正規のCCleanerプログラムに組み込んだものです。コンピューターに潜むマルウェアを駆除するツールが、逆に機密情報や個人情報の深刻な脅威となってしまいました。
CCleanerマルウェアの脅威とは
このマルウェアは、Trojan.FloxifとTrojan.Nyetyaの2種類のトロイの木馬型マルウェアから構成されており、CCleanerの無料バージョンのC5.33.6162とCCleaner Cloudバージョン1.07.3191(英語記事)に挿入されました。サイバー犯罪者は、CCleanerのビルド環境を改ざんし、マルウェアを組み込んだと考えられています。さまざまな報告(英語記事)によると、このマルウェアは感染したコンピューターシステムからIPアドレス、インストール済の有効なソフトウェアに関する情報などの特定のデータを収集し、米国内にあるサードパーティのサーバーに送信できるとされています。
このマルウェアはCCleanerの親会社であるAvast Piriformが2017年9月12日に発見し、その後すぐに問題の修正対応を行いました。当初、マルウェアの影響は32ビットのWindowsシステムで実行されている上記のバージョンに限られ、プログラムのアップグレードバージョンをダウンロードすれば問題は解決すると思われましたが、結果的には、感染したユーザーは200万人以上(英語記事)にのぼりました。
残念ながら同社はすぐにこのマルウェアの感染の影響は、当初考えられていたよりも深刻であることに気づくことになります。これはCisco Talos社によって第2段階のペイロードが発見されたためです。このペイロードはGoogle、Microsoft、Cisco、Intelなどの約20社の大手ハイテク企業を標的とし、40台のコンピューターが感染しました。Wired社の報道(英語記事)によると、Cisco社は、CCleanerの調査に関わっている匿名の情報筋からサイバー犯罪者のコマンド&コントロール(C&C)サーバーのデジタルコピーを入手したとされ、その中には、2017年9月12日~16日の間にサイバー犯罪者が収集したバックドアが仕掛けられた各コンピューターのデータベースが含まれていました。
CCleanerマルウェアの真犯人を特定する決定的証拠は見つかっていませんが、捜査当局はAxiomとして知られる中国のハッキンググループと関係があると見ています。理由は、CCleanerマルウェアにはAxiomが使用しているツールと共通のコードが使われているほか、侵害を受けたサーバーのタイムスタンプは中国のタイムゾーンと一致しているからです。ただし、タイムスタンプは変更や操作が可能であるため、発信元の特定は困難です。
この事件ではハイテク企業が標的として選ばれていることから、CCleanerマルウェアは国家主導の攻撃の一端である可能性も懸念されています。2017年末の時点で、このハッキングの捜査は継続中です。
CCleanerマルウェアの駆除方法
CCleanerマルウェアが発見された当初、問題は特定のバージョンに限定されており以降のバージョンでは安全だと考えられていたため、ユーザーは最新バージョンにアップグレードするよう勧められました。しかし、第2段階のペイロードが発見された結果、駆除と保護の対策が複雑になりました。
コンピューターがCCleanerマルウェアに感染していないことを確かめるには、おそらくディザスタリカバリプランを設定することが唯一の方法です。捜査当局は、感染ツールが最初にリリースされた2017年8月15日より以前にバックアップしたバージョンにシステムを復元することを推奨しています。ウイルス感染したCCleanerのバージョンは必ずアンインストールし、セキュリティ対策ソフトのウイルススキャンを実行してシステムが正常な状態にあることを確認してください。また、CCleanerを再インストールする場合は、最新バージョンまたはバージョン5.34以降を使用してください。
CCleanerは、コンピューターシステムの内部深くに潜む悪意のあるプログラムを駆除する優れたツールとして知られていますが、この件からわかるように、脅威からコンピューターを守るために作成されたプログラムでも、サイバー犯罪者の標的になることがあるのです。