マイクロソフトは日曜、流通している偽のウイルス対策プログラムは少なくとも十数個の盗まれたデジタルコード署名証明書を使用しており、サイバー犯罪者がソフトウェア開発者のネットワークに侵入するケースが増えていることを示していると書いた。
「Antivirus Security Pro」というブランド名のこのアプリケーションは、2009年に初めて検出され、その後、数年にわたっていくつかの名前で呼ばれてきたが、マイクロソフトのアドバイザリでは「Win32/Winwebsec」という単一の名前で呼ばれている。
証明機関 (CA) によって発行されるデジタル証明書は、開発者がソフトウェア プログラムに「署名」するために使用されます。デジタル証明書は暗号的にチェックされ、プログラムが改ざんされていないこと、そのプログラムを作成したと主張する開発者から発行されたものであることを確認することができます。
ハッカーが証明書を使用するための認証資格情報を入手した場合、独自のプログラムに署名して、アプリケーションが正当な開発者からのものであるように見せかけることができます。
スクリーンショット、Microsoftのブログ それは罠だ!(クリックすると拡大します)
マイクロソフトが収集したウイルス対策セキュリティプロのサンプルは、「世界中のさまざまな場所のソフトウェア開発者に対して多数の異なる認証局によって」発行された盗まれた証明書を使用していたと同社は述べている。
チャートによると、証明書はVeriSign、Comodo、Thawte、DigiCertなどの認証局によってオランダ、米国、ロシア、ドイツ、カナダ、英国の開発者に発行された。
盗まれた証明書を使用する戦術は目新しいものではありませんが、ハッカーは証明書を発行する組織または実体に侵入する必要があるため、通常は実行が困難であると考えられています。
証明書の 1 つは、Microsoft がそれを使用した Antivirus Security Pro のサンプルを入手するわずか 3 日前に発行されたものであり、「マルウェアの配布者は、古い蓄積にある証明書を使用するのではなく、定期的に新しい証明書を盗んでいる」ことを示している。
マイクロソフトは、「Win32/FakePav」と呼ばれる別の偽のウイルス対策プログラムも盗まれた証明書をローテーションしていることに気付きました。
Win32/FakePavは、2010年頃に検出されて以来、30以上の別名で呼ばれてきました。初期の頃は署名証明書を使用していませんでした。このマルウェアは1年以上活動を停止していましたが、最近、ある証明書を使用する新たなサンプルが発見されました。このサンプルは数日後に別の証明書に置き換えられました。Microsoftによると、両方の証明書は同じ名前で発行されていましたが、異なる認証局によって発行されていました。
問題を回避するために、ソフトウェア開発者は、スマートカード、USBトークン、ハードウェアセキュリティモジュールなどの安全に保管されたハードウェアデバイス上でコード署名に使用される秘密鍵を保護するよう注意する必要があります。証明書が侵害されたと疑われる場合、CAは証明書を失効させることができます。
「証明書の置き換えは不便で、費用もかかることが多いだけでなく、マルウェアの署名に使われた場合、企業の評判が損なわれる可能性もある」と同社は書いている。
