ディスクイメージのマウントアプリとして広く使われている「Daemon Tools」が、約1カ月にわたるサプライチェーン攻撃によってバックドアを仕込まれていたことが明らかになりました。セキュリティ企業Kasperskyが2026年5月5日に報告を公開しています。現在もDaemon Toolsをお使いのWindowsユーザーは、バージョン12.5.0.2421〜2434を使用しているかどうかを今すぐ確認してください。
攻撃は2026年4月8日から開始——公式サーバーから署名済みインストーラーが配布
Kasperskyによると、今回の攻撃は2026年4月8日に始まり、Kasperskyが報告を公開した時点でもまだ継続中だったと報じられています。攻撃の手口は巧妙で、開発元であるAVBの公式デジタル証明書で署名されたインストーラーが、公式ウェブサイトから配布されていました。
感染したインストーラーはDaemon Toolsの実行ファイルにマルウェアを組み込み、Windows起動時に自動的に悪意あるコードが実行される状態にします。影響を受けるバージョンは12.5.0.2421から12.5.0.2434です。Mac・Linux版への影響については、Kasperskyの報告では明示的に言及されていません。詳細は出典元を参照してください。
感染端末は100カ国以上——知らぬ間に企業ネットワーク情報が流出する恐れ
感染した端末は100カ国以上に及んでいます。初期ペイロードはMACアドレス、ホスト名、DNSドメイン名、実行中のプロセス、インストール済みソフトウェア、システムロケールといった情報を収集し、攻撃者が管理するサーバーへ送信します。これらの情報は、ユーザーが気づかぬうちに企業ネットワーク内部の構成情報が外部に流出し得ることを意味します。
Kasperskyによると、影響を受けたシステムの**10%**が企業・組織に属しています。感染が確認された100の組織は、主にロシア、ブラジル、トルコ、スペイン、ドイツ、フランス、イタリア、中国に集中しているとされています。ただし、Kasperskyの可視性は自社製品のテレメトリのみに基づいており、実際の被害規模はさらに大きい可能性があります。
さらに、Kasperskyのアナリストによると、感染した多数の端末のうち、ロシア、ベラルーシ、タイに所在する政府・科学・製造・小売組織の約12台には、追加の「第二段階ペイロード」が送り込まれていることが確認されているとされています。Kasperskyはこれを「ミニマリスト型バックドア」と表現しており、コマンドの実行、ファイルのダウンロード、メモリ上でのシェルコード実行が可能で、検出を困難にする設計になっているとされています。
加えて、ロシア国内の教育機関に属する1台の端末では、「QUIC RAT」と呼ばれるより高度なバックドアの存在が確認されているとKasperskyのアナリストは述べています。Kasperskyによると、QUIC RATはnotepad.exeやconhost.exeといった正規のシステムプロセスにペイロードを注入する機能を持ち、HTTP、UDP、TCP、WSS、QUIC、DNS、HTTP/3など多様なC2通信プロトコルをサポートしているとされています。
Kasperskyの研究者は次のように述べています。「より複雑なバックドアペイロードは、ロシア、ベラルーシ、タイに所在する政府・科学・製造・小売組織の約12台の端末でのみ確認されています。この少数の端末へのバックドア展開方法は、攻撃者が標的を絞った感染を意図していたことを示していると考えられます。しかし、その意図——サイバースパイ活動か『ビッグゲームハンティング』か——は現時点では不明です。」
正規アップデートに見えても感染する——公式配布チャネルへの信頼を悪用
今回の攻撃が特に厄介なのは、ユーザーが「公式サイトから署名済みの正規アップデートをインストールする」という、本来安全なはずの行動をとるだけで感染してしまう点です。Kasperskyは「サプライチェーン攻撃の長期的な分析経験に基づくと、攻撃者はDAEMON TOOLSの侵害を非常に高度な手法で実行したと結論づけられる」と報告しています。
今すぐ確認すべき対応手順
Daemon Toolsを使用している場合は、以下の対応を取ることが推奨されています。
- 信頼できるウイルス対策ソフトでマシン全体をスキャンする
- Windowsユーザーは、Kasperskyの報告に記載されている侵害の痕跡(IoC)を確認する(詳細は出典元を参照)
- 技術的に高度なユーザーは、「Temp、AppData、Publicなどの公開アクセス可能なディレクトリから起動した実行ファイルを発端とする、正規のシステムプロセスへの不審なコードインジェクション」を監視することをKasperskyは推奨しています
Kasperskyは「2026年4月8日以降にDAEMON TOOLSがインストールされていた端末について、異常なサイバーセキュリティ関連の活動がないか慎重に調査することが最重要」と強調しています。
現時点では、KasperskyもAVBも追加の詳細についてすぐには連絡が取れなかったと報じられており、開発元からの公式声明は確認されていません。続報を待ちながら、まずは自身の環境でのスキャンと確認を優先することが妥当です。
Q&A
Q. 自分のDaemon Toolsが感染しているかどうかはどうすれば分かりますか? バージョン12.5.0.2421から12.5.0.2434を使用していた場合は感染の可能性があります。信頼できるウイルス対策ソフトでマシン全体をスキャンし、Kasperskyが公開している侵害の痕跡(IoC)リストと照合することが推奨されています。IoCリストの詳細は出典元を参照してください。
Q. 攻撃者の目的は何ですか? Kasperskyによると、攻撃者の意図——サイバースパイ活動か「ビッグゲームハンティング」か——は現時点では不明です。ただし、少数の特定組織にのみ高度なバックドアが送り込まれていることから、標的を絞った攻撃であることが示唆されているとKasperskyは述べています。
Q. MacやLinux版のDaemon Toolsも影響を受けますか? Kasperskyの報告では明示的に言及されていません。詳細は出典元を参照してください。
