信頼できるコード署名証明書が、悪質とされるベンダーによって悪意のある人物に販売されており、デジタル署名された Windows マルウェアの増加につながっていると、ある調査が主張している。
チェコ共和国のマサリク大学と米国メリーランド・サイバーセキュリティ・センター(MCC)のセキュリティ研究者は、Microsoft Authenticode証明書を匿名の購入者に販売していた4つの組織を特定し、監視しました。また、同じ研究チームは、有効なデジタル署名を持つWindowsを標的としたマルウェアのコーパスも収集しました。
情報セキュリティ担当者たちは、これらの資料を調査した結果、ベンダーはAuthenticode証明書を、支払能力のある人なら誰にでも、何の質問もせずに販売する用意があると結論付けました。これらのベンダーと証明書はMicrosoftとそのWindowsオペレーティングシステムによって信頼されているため、これらの証明書を使用して暗号署名されたプログラムは、悪意のあるものであろうとなかろうと、署名されていないソフトウェアよりも正当であるように見えます。
署名されたマルウェアは、ウイルス対策スキャナやその他の検出メカニズムを通過する可能性が高くなります。そのため、ハッカーは、有効なデジタル署名を使用して、悪意のあるコードに表面上は信頼性を与えようとします。
暗号署名はソフトウェアの実行が安全であることを保証するものではありませんが、プログラムへの信頼を確立するのに役立ちます。その結果、有効な署名はソフトウェアの不正プログラムが一部のマルウェアフィルターを回避するのに役立つと、MCC主導のチームは説明しています。
スタックスネットの反響
署名付きマルウェアのよく知られた例としては、台湾の半導体企業2社から盗み出した信頼できる鍵を用いてデジタル署名されたStuxnetワームが挙げられます。しかし、この手法は、Stuxnetのような昨今の核燃料プラントを破壊するような高性能サイバー兵器に限ったものではなく、ありふれたアドウェアにも見られます。
MCC チームによると、Microsoft Defender SmartScreen などのプラットフォーム保護を回避する必要性が、Authenticode 証明書の需要を促進しています。
ハッカーは、コードサイニング証明書を盗むよりも、金銭を支払って入手する傾向が強まっています。これは、潜在的に厄介なプロセスです。MCCが発見したマルウェアサンプルの署名に使用された5つの証明書は、同センターが追跡していた4つのグレーマーケットベンダーのいずれかから「購入された可能性が高い」ものでした。
「私たちの証拠は、需要が高まっており、ベンダーがこの需要に応えるためにより多くの証明書を取得できることを示唆しています」と、研究者の一人でメリーランド大学の助教授であるチューダー・ドゥミトラス氏はエル・レグ紙に語った。
「市場は、特に署名付きマルウェアの大部分を占める、密接に相互接続された市場セグメント内で、証明書供給の信頼性に一定の信頼を示しています。
「これまでとは異なり、署名付きマルウェアの証明書は、侵害されたものではなく、主に[証明機関]から直接取得されているようです。」
(暗号的に)サインアップ!Android、不正アプリのチェックをオフラインで実施へ
続きを読む
同チームは昨年、デジタル証明書を悪用してセキュリティスキャナーをすり抜けてマルウェアを密輸する手法を詳細に調査した研究を発表しました。今回のフォローアップ研究では、こうした悪用の規模を定量化し、その背後にある市場を概観することを目的としています。
研究者たちは、バンの荷台からデジタル証明書を売りつけることは、比喩的に言えば、かなり儲かる可能性があることを発見した。例えば、MCCチームが追跡調査した4つの怪しい電子証明書ベンダーのうちの1社は、2017年8月から約3ヶ月間、あるコードサイニング証明書オンラインショップから「毎月10件以上の証明書を販売」し、「合計16,150ドルの収益」を上げていた。
研究者らが 28 のフォーラム、6 つのリンク ディレクトリ Web サイト、4 つの総合マーケットプレイス、および闇市場の商品を取引する数十の Web サイトを調査した後、電子認証情報を不正に販売しているとされる 4 人の人物が特定された。
今月初めに開催された「情報セキュリティの経済学に関するワークショップ(WEIS)」で、 「不正利用目的で発行されたコード署名証明書:闇取引の測定」という研究論文が発表されました。論文はこちらからご覧いただけます。また、同じ研究者らは、signedmalware.orgで、問題のある可能性のある証明書のリストも公開しています。®
