Trusted Design

CVE-2026-8398 の詳細

CVEの情報

説明:
A supply chain attack compromised the official installation packages of DAEMON Tools Lite (Windows versions 12.5.0.2421 through 12.5.0.2434), distributed from the legitimate website daemon-tools.cc between approximately April 8, 2026, and May 5, 2026. Attackers gained unauthorized access to the vendor's (AVB Disc Soft) build or distribution infrastructure and trojanized three binaries: DTHelper.exe, DiscSoftBusServiceLite.exe, and DTShellHlp.exe. These files were digitally signed with the legitimate AVB Disc Soft code-signing certificate, allowing the malicious installers to appear trustworthy and bypass signature-based detection.

CVE更新日: 2026-05-15 09:16:17.653000

CVSSバージョン: 4.0

CVSSスコア: 9.3

KEVの情報

KEV更新日: 2026-05-27

EPSSの情報

EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST(Forum of Incident Response and Security Teams)が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。

EPSSスコア: 0.154830000

EPSS更新日: 2026-06-01 00:00:00

SSVCの情報

SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation(悪用状況)、Technical Impact(技術的影響)、Automatable(自動攻撃の可否)を判定します。

Exploitation: active

Technical Impact: low

Automatable: True

AIを使った解説

解説:

1. 脆弱性の概要

CVE-2026-8398 は、DAEMON Tools Lite の公式インストーラが攻撃者により改ざんされた サプライチェーン攻撃。 Windows 版 12.5.0.2421〜12.5.0.2434 のインストールパッケージが、2026年4月8日〜5月5日の期間に公式サイト(daemon-tools.cc)で配布された際、以下の 3 つの実行ファイルが トロイの木馬化 されていた:

  • DTHelper.exe
  • DiscSoftBusServiceLite.exe
  • DTShellHlp.exe

これらは 正規のコード署名証明書で署名されており、信頼できるファイルとして認識されるため、署名検証を回避できた。

1.1 影響

  • 改ざんされたインストーラを実行したユーザーの Windows システムが攻撃者のペイロードを実行
  • 機密性・完全性・可用性に 高い影響(CISA・Kaspersky 評価)

1.2 深刻度

  • CVSS 4.0:9.3(Critical)(Kaspersky 提供)
  • CVSS 3.1:9.8(Critical)(Kaspersky 提供)

2. 対象となる環境

2.1 影響を受ける OS バージョン

  • Windows
  • 影響を受ける DAEMON Tools Lite バージョン:
    12.5.0.2421〜12.5.0.2434

2.2 影響を受ける設定

  • 上記期間(2026/4/8〜2026/5/5)に 公式サイトからインストーラをダウンロードして実行した場合
  • 特定の OS 設定依存の記述はなし

3. 影響を受けた時の兆候

一次情報では具体的な IOC(侵害兆候)は未公開。
ただし、事実として以下が確実:

  • 改ざんされた 3 つの実行ファイルがシステムに存在する可能性
  • これらは正規署名のため、通常の署名検証では検知されない

※ペイロードの挙動は 不明(公開情報なし)。

4. 推奨対策

4.1 本対策(恒久対策)

  • 改ざんされた DAEMON Tools Lite をアンインストール
  • ベンダーが提供する クリーンなインストーラを再インストール
  • CISA は「ベンダーの指示に従い、利用を中止するか、クリーン版へ更新すること」を要求

4.2 暫定回避策(緩和策)

  • 影響期間にダウンロードしたインストーラを使用しない
  • 影響バージョンの実行ファイル(3 種)を削除
  • 正規サイトから再ダウンロードする際は、配布日・署名日を確認

追加観点

  • 実際の悪用状況

    • CISA Known Exploited Vulnerabilities(KEV)に登録済み
    • 「実際に悪用されている」と明記

  • 攻撃手法の特徴

    • 正規署名を悪用したサプライチェーン攻撃
    • 改ざんファイルが公式サイトで配布されていた

NVDサイト

NVDでCVEの詳細を見る

戻る