盗んだ証明書を使うマルウェアが増加、Microsoftが注意呼び掛け

盗まれた証明書がマルウェアに使われれば、会社の評判を落とすことにもなりかねない。

» 2013年12月17日 07時27分 公開
[鈴木聖子,ITmedia]

 正規のソフトウェア開発元から流出したコード署名証明書が、マルウェアに利用されるケースが増えているという。Microsoftは12月15日のブログで、証明書を保存する際のセキュリティ対策を強化するよう呼び掛けた。

 コード署名証明書は、ソフトウェアが信頼できる開発元から配布された正規の製品であることを証明するために使われる。Microsoftによると、これまでにもこうした証明書を使ったマルウェアは存在していたが、ほとんどは認証局から直接入手した証明書を使っていたという。

 ところがここ1カ月ほどの間で、正規の開発元から盗んだ証明書を使うマルウェアが出回るようになったという。中でも偽ウイルス対策ソフトの「Win32/Winwebsec」は、少なくとも12社のソフトウェア開発元から盗んだ証明書を使っていることが分かった。

偽ウイルス対策ソフト(Microsoftより)

 盗まれた証明書は、各国のソフトウェア開発元に対して正規の認証局が発行したもので、VeriSighやComodoといった大手認証局が、米国やロシア、英国などのメーカーに発行した証明書が含まれる。中にはMicrosoftが発見する3日前に発行された証明書もあったことから、マルウェアの作者は定期的に新しい証明書を盗み出しているようだとMicrosoftは推定する。

 実際に、Winwebsecと関連するマルウェアの「Win32/Ursnif」や「Win32/Fareit」など、感染先のコンピュータから証明書やパスワードを盗み出す機能を持つマルウェアも見つかっているという。

 盗まれた証明書がマルウェアに使われれば、会社の評判を落とすことにもなりかねない。Microsoftはソフトウェア開発元などに対し、コード署名証明書や秘密鍵の保存に使うシステムはWeb閲覧に使わないなど、適切なセキュリティ対策を講じるよう促している。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ