攻撃を仕掛けた集団は証明書を盗む目的でFoxconnなどのハードウェア製造業者をハッキングしている可能性が高いとKasperskyは推測する。
Kaspersky Labは6月15日、国家の関与が疑われる極めて高度なマルウェア「Duqu 2.0」について、台湾のFoxconn(鴻海科技集団)から盗んだと思われるデジタル証明書を使ってネットワークに潜入していたことが分かったと伝えた。
Duqu 2.0はKasperskyのネットワークから見つかったとして、同社が10日のブログで報告していたマルウェア。国家レベルで開発されたと思われる極めて高度な仕組みを実装し、検出は極めて困難とされる。
Kasperskyによれば、このマルウェアは感染先のネットワークに異常に耐久性の高いモジュールを仕込んでいたことが判明。この耐久性は、通常のシステムサービスとしてインストールされたドライバによって実現していた。
ファイアウォールやゲートウェイなどにこのドライバをインストールすることによって、インターネット経由で社内のインフラにアクセスしたり、ログ記録を免れたりしていたという。
だが、64ビットWindowsのドライバには有効なデジタル署名が必要になる。このためにDuqu 2.0のドライバが使っていたのがFoxconnの署名だった。
Kasperskyでは、攻撃を仕掛けた集団が証明書を盗む目的でFoxconnなどのハードウェア製造業者をハッキングしている可能性が高いと推測。過去に出現したStuxnetやDuquなどの高度なマルウェアにもデジタル署名が使われていたことが分かっており、デジタル証明書を盗んでマルウェアに使うのはこの犯罪集団の常套手段のようだと指摘する。
一度使った証明書は二度と使われないのも特徴で、この集団が次の攻撃に使う目的でほかにも他のメーカーから盗んだ証明書を確保している可能性もあるとKasperskyは指摘、「実質的にデジタル証明書の信頼が揺らぎかねない極めて深刻な事態」との認識を示している。
Copyright © ITmedia, Inc. All Rights Reserved.