「悪夢」のシナリオ:FlameウイルスがMicrosoftのWindows Updateを乗っ取って拡散
トッド・ビショップ著
Windows Update は、世界中のコンピューターを悪意のあるコードから保護するためにセキュリティ パッチを配布する、Microsoft の実績ある方法です。
しかし、謎のFlameウイルスを調査している研究者たちは、このウイルスがまさにそのシステムを乗っ取って拡散し、Windows Updateプロセスに侵入してネットワーク全体に悪意のあるコードを拡散させることを発見した。
この暴露は、ウイルス作成者がマイクロソフトの暗号化アルゴリズムの欠陥を悪用して偽造デジタル署名を作成し、悪意のあるコードがマイクロソフトから来たかのように見せかけたという以前のニュースに加えて起こった。
つまり、感染したコンピュータにとっては、通常の更新プロセスを通じて Microsoft から通常の更新を受信しているように見えますが、実際にはどちらも真実ではありません。
これは中間者攻撃と呼ばれるもので、Windows Update で誰かがこれを実行したという事実は、控えめに言っても驚くべきものです。幸いなことに、この攻撃はイランやその他の中東地域のコンピューターを標的とした限定的なものでした。
しかし、研究者たちはこれを不安な前例であり、悪夢になる可能性があると述べている。
「マイクロソフトのコード署名証明書を取得することは、マルウェア作成者にとって聖杯です。それが今、現実のものとなりました」と、F-Secureのチーフリサーチオフィサー、ミッコ・ヒッポネン氏は、このプロセスの仕組みを説明する投稿で述べています。「幸いなことに、これは金銭目的のサイバー犯罪者によるものではありません。彼らは何百万台ものコンピュータに感染させることができたはずです。しかし、この手法は標的型攻撃に利用されており、おそらく西側諸国の諜報機関が仕掛けたと考えられます。」
マイクロソフトは先週末、偽のデジタル署名(悪質なコードがマイクロソフトによって承認されているように見せかけるもの)を使用するソフトウェアをブロックする緊急セキュリティアップデートをリリースし、署名の作成を可能にしたバグを修正した。
マイクロソフトのセキュリティ・レスポンス・センター(MSRC)は昨日、最新の情報開示を認める追加投稿で、同社がこの種の攻撃に対して「Windows Updateをさらに強化する」ための追加措置を講じると述べました。MSRCシニアディレクターのマイク・リービー氏の投稿では、次のように述べられています(強調追加)。…
Flameマルウェアは、暗号衝突攻撃とターミナルサーバーライセンスサービス証明書を組み合わせ、コードにMicrosoftからのものであるかのように署名していました。しかし、衝突を起こさずにコード署名することも可能です。これは、Flameマルウェアが当初標的としていなかった顧客に対して、別の攻撃者が悪用する可能性のある侵入経路となります。いずれの場合も、Windows Updateの偽装は、不正な証明書と中間者攻撃を組み合わせることによってのみ可能です。
Kaspersky Lab の Aleks Gostev 氏はここで詳細な技術的説明を行っており、Windows Update の乗っ取りによって、すでに侵害を受けているマシンを利用して、Flame ウイルスがネットワーク全体に拡散すると指摘しています。
ゴステフ氏は、「マシンが Microsoft の Windows Update に接続しようとすると、感染したマシンを経由して接続がリダイレクトされ、偽の悪意のある Windows Update がクライアントに送信されます」と説明しています。
同氏は、パッチがまだ提供されていない既知のセキュリティホールである「ゼロデイ」脆弱性を悪用することで、初期感染が依然として発生している可能性があると述べている。
ゴステフ氏は、最新の暴露によって、Flame は「これまで見てきた中で最も興味深く複雑な悪意あるプログラムの 1 つ」であるというカスペルスキー社の当初の考えが裏付けられたと指摘している。
