なりすましが可能になるCryptoAPIの脆弱性 サイバー攻撃のPoCが公開

Akamaiは、CryptoAPIの脆弱性を利用したサイバー攻撃のPoCを公開した。同脆弱性を悪用すれば、なりすましが可能になるとされており、Windows 7などの古いバージョンに対しても修正パッチの適用が必要だと注意を喚起している。

[後藤大地，有限会社オングス]

　Akamai Technologies（以下、Akamai）は2023年1月25日（現地時間）、同社のブログで、「Windows」で認証や暗号化などの機能を提供する「Cryptographic API」（以下、CryptoAPI）における脆弱（ぜいじゃく）性を利用するサイバー攻撃のPoC（概念実証）を公開した。これを悪用するとなりすましが可能になるとして警戒を呼び掛けている。

AkamaiはCryptographic APIの脆弱性を利用したサイバー攻撃のPoCを公開した（出典：Akamaiのブログ）

深刻度は「重要」　だが潜在的なリスクはさらに高くなる可能性も

　CryptoAPIの脆弱性（CVE-2022-34689 - CVE.report）は2022年に、米国家安全保障局（NSA）と英国立サイバーセキュリティセンター（NCSC-UK）によって発見された。

　CVE-2022-34689は、対象機能がハッシュ関数であるMD5ベースの証明書キャッシュインデックスキーに衝突が発生しないことを前提としていることに原因がある。すでにMD5の耐衝突性には難があると判明しており、前提が成り立っていない。

　CVE-2022-34689は共通脆弱性評価システム（CVSS）スコア値で7.5と分析されており深刻度「重要」（High）とされている。しかしAkamaiは「このスコアは脆弱性の前提条件が満たされているアプリケーションやWindowsコンポーネントの範囲が限られているためだろう」と指摘し、潜在的な深刻度がさらに高い可能性を示唆している。

　Akamai Security Researchはこの脆弱性を分析し、これを利用したサイバー攻撃が可能であることを示すPoCを公開した。PoCの詳細は以下の通りだ。

• akamai-security-research/PoCs/CVE-2022-34689 at main ・ akamai/akamai-security-research ・ GitHub

　Akamaiは、同脆弱性が適用可能なコードが在野に存在している可能性を指摘するとともに、今後も調査を継続するとしている。「Windows 7」などの古いバージョンに対してもパッチが必要だと解説している。

　なお、Microsoftは同脆弱性を2022年8月の累積更新プログラムで修正し、脆弱性情報については同年10月に以下のページで公開している。該当APIを使用している場合、累積更新プログラムを適用して脆弱性を直ちに修正してほしい。

• CVE-2022-34689 - Security Update Guide - Microsoft - Windows CryptoAPI Spoofing Vulnerability