中東のコンピューターを狙った大規模なマルウェア パッケージ「Flame」が、偽の Windows アップデートを使用して拡散している。
正体不明の作成者によってイランとその近隣諸国から情報を盗むために使用されている高度なマルウェアは、偽の証明書を作成し、Windows を騙して Flame の特定のコンポーネントが Microsoft 製品であると認識させます。
証明書の問題を発見した後、マイクロソフトは迅速に対応しました。日曜日には、セキュリティアドバイザリと、侵害された証明書を失効させるパッチを公開しました。
Kaspersky Lab の主任マルウェア専門家、アレックス・ゴステフ氏によると、Flames が証明書を使って拡散する方法の 1 つは、偽の Windows アップデートを利用することだという。
ゴステフ氏によると、あるマシンがWindows Updateを実行すると、「ガジェット」と呼ばれるFlameコンポーネントがアップデートクライアントをネットワーク上の別の感染マシンにリダイレクトする。そのマシンは最初のコンピュータに悪意のあるアップデートを送信する。セキュリティ研究者によると、この悪意のあるアップデートは「偽のMicrosoft証明書を使用しており、これにより、偽のWindows Updateが被害者のマシンで警告なしに実行される」という。
Flameが世界に知られるようになって以来、セキュリティソフトウェア企業は、このプログラムを無効化するためにマルウェア対策プログラムのアップデートをリリースしてきました。しかし、ゴステフ氏は、Flameのコードにはまだ何らかのトリックが埋め込まれている可能性があると警告しています。
「Flameをコンピュータに最初に感染させる際に、未発見のゼロデイ脆弱性がまだ存在する可能性があります」と彼は警告した。「Flameの最初の感染は、依然としてゼロデイ脆弱性を通じて発生する可能性があることに留意することが重要です。」
ゼロデイ脆弱性とは、実際に動作しているマルウェアで発見されるまで、ソフトウェアベンダーやセキュリティコミュニティには知られていない脆弱性のことです。
Microsoftはブログ投稿で、Flameが高度な標的型攻撃に利用されているため、同社の顧客の大多数がこのマルウェアの危険にさらされることはないことを認めた。しかし、だからといって証明書パッチのインストールを躊躇する必要はないと警告した。Flameが使用する一部の手法は、それほど高度な技術を持たない攻撃者によって、マルウェアの標的領域外にあるコンピュータに対してより広範な攻撃を仕掛けるために利用される可能性があるとMicrosoftは警告した。
フリーランスのテクノロジーライター John P. Mello Jr. と Today@PCWorld を Twitter でフォローしてください。
