ニュース
» 2007年08月07日 09時17分 UPDATE

MS、Vistaの署名認証かわすツールに対抗

MicrosoftはAtsivを阻止するため、「Windows Defender」の定義ファイル更新などの措置を講じた。だが、問題はいたちごっこの展開になりそうだ。

[ITmedia]

 64ビット版Windows Vistaの署名認証をかわすソフト「Atsiv」の出現を受け、MicrosoftはAtsivを阻止するために複数面から対処を講じたと明らかにした。

 Atsivは、64ビット版Windows Vistaに実装されているKMCS(Kernel Mode Code Signing)ポリシーをかいくぐるソフト。KMCSはデフォルトで、有効なデジタル署名があるコードしかカーネルにロードできない仕組みになっているが、Atsivはこの仕組みをかわし、署名のないドライバをVistaにロードすることができてしまう。

 MicrosoftはWindows Vista Securityのブログでこの問題について解説。Atsivに対抗して8月2日、スパイウェア対策ソフト「Windows Defender」の定義ファイルをアップデートし、現行のAtsivドライバを見つけ出して遮断、削除できるようにしたことを明らかにした。

 さらに、同日付で認証の取り消しを実施。VeriSignはAtsivカーネルドライバの署名に使われているコード署名鍵を取り消して、無効扱いにしたという。

 ただ、Microsoftによれば、Atsivドライバをインストールするには管理者権限が必要になる。このため、ユーザーアカウント制御(UAC)によってユーザーの権限が制限されているWindows Vistaのデフォルト状態では、Atsivはセキュリティ上の弱点にはならないと強調している。

 Microsoft側の対応については、Atsivについて最初に報告したSymantecもブログで解説。この中で、署名取り消しを有効にするためシステムをリブートする必要があることについて疑問を投げかけている。

 リブートはデスクトップならそれほど問題にならないかもしれないが、Longhorn (Windows Server 2008)の場合はどうなるのか興味深いとSymantecは指摘。「例えば、攻撃側が大量の署名鍵を持っていて、毎日違う署名鍵で少しずつ違うバージョンのマルウェアをリリースしていったとしたら、署名鍵取り消しのためにミッションクリティカルなサーバを毎日リブートできるだろうか」と問い掛け、この問題はいたちごっこの展開になりそうだと予想している。

Copyright© 2016 ITmedia, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -