Windowsに証明書偽装の脆弱性、通信盗聴やマルウェアに悪用の恐れも あのNSAが報告した意図は？：この頃、セキュリティ界隈で（1/2 ページ）

Windowsの脆弱性が多方面で影響を与えている。その流れを追う。

[鈴木聖子，ITmedia]

　インターネットを介した通信が盗み見されることを防ぐHTTPS接続。ユーザーがダウンロードするプログラムが不正なものでないことを保証する電子署名。Microsoft Windowsに実装されているそうしたセキュリティ対策の、文字通り鍵を握る技術に脆弱性が見つかった。この脆弱性が悪用できることを実証するコードも直後に公開され、攻撃の発生は時間の問題と見られている。

　Microsoftが1月14日の月例セキュリティ更新プログラムで対処した「Windows CryptoAPIのなりすましの脆弱性」（CVE-2020-0601）。発見したのは米国防総省傘下の情報機関、国家安全保障局（NSA）だった。NSAといえば、この手の脆弱性を駆使した諜報活動を行っているといわれる組織。過去にはWindowsの脆弱性をこっそり悪用していた実態も暴露されている。

　Microsoftによると、脆弱性は「ECC（楕円曲線暗号）証明書」と呼ばれる電子証明書を検証する方法に存在する。悪用すれば、攻撃者が偽造した証明書を使って不正な実行可能ファイルに署名し、信頼できる送信元から送られた正規のファイルに見せかけることができてしまう恐れがある。

　例えばMicrosoftの証明書を偽造してマルウェアに署名することで、信頼できるプログラムを装って、セキュリティ対策ソフトをすり抜けるといった手口も考えられる。安全なはずのHTTPS接続に割り込んで通信の内容を盗み見したり、改ざんしたりする攻撃が発生するかもしれない。

　この問題は、Windows 10とWindows Server 2016および2019が影響を受ける。それ以外のWindowsは、今回でサポートが終了したWindows 7も含めて、ECC証明書に対応していないことから影響は受けないという。

　Microsoft以外の製品でも影響を受ける場合があり、GoogleはWebブラウザChromeのアップデートを公開してこの脆弱性に対処した。