2018/02/27

証明書の信頼性

cracker hacker cyber 攻撃 侵入
2018 年 2 月 27 日 Trevor Collins 著

暗号証明書の目的は、Web サイトやプログラムが信頼できるものであり、有効な会社のものであると保証することにあります。この信頼モデルは、証明書の発行者が企業に証明書を発行する際に、その企業の所有者の正当性を確認するための適切な手順を踏んでいるという前提があって、初めて成立するものです。この正当性の確認こそが、特定の会社名に対して発行された証明書が、その会社に対して正規に作成されたものであり、そのプログラムの暗号署名や Web サイトの認証に使用する目的で使用されるものであると我々が信じる根拠となるのです。ところが、証明書はプログラムや Web サイトを作成した会社を正確に反映しているという考えが必ずしも正しいわけではありません。

これまでも、証明書の正当性が 100% 確実であったわけではありません。たとえば、2011 年に遡ると、Stuxnet ワームは、有効な署名付き証明書を使用して、ドライバインストールの警告を回避していました。そして、Recorded Future の新しいレポートを読むと、これは単なる始まりに過ぎないことがわかります。2015 年に C@T という名乗るハッカーが、有効な信頼チェーンの証明書の販売を開始しました。C@T は、いくつかの異なる会社から十分な情報を入手し、その会社になりすまして認証局(CA)に証明書を要求できることを発見しました。2016 年と 2017 年には、さらに 3 人が証明書の販売を始めました。これらの販売が開始された翌年には、このような不正な方法で取得された証明書を使って署名された不正ソフトウェアの発見件数が増加しました。マルウェアの作成者は、これらの証明書を 299 ~ 1,599 ドルで購入し、2 〜 4 日間、それらの証明書を利用できていたようです。これらの証明書で署名されたソフトウェアは、ほとんどのウイルス対策ソフトウェアで検知されませんでした。たとえば、同レポートの研究者が、偽の証明書で署名されたRAT(リモートアクセスのトロイの木馬)をテストしたところ、不正として特定できたのは、わずか 2 つのウイルス対策ソフトウェアだけであり、どちらもヒューリスティックベースのものでした。偽の証明書を最初に販売していた 4 人のうちの 2 人はすでに販売を中止しており、残る 2 人はロシア語を理解する相手に限定して販売を続けています。

ユーザは、信頼できるソフトウェアと未知のソフトウェアのどちらを実行する際にも、この新しい脅威に注意する必要があります。有効な証明書の署名が付いたソフトウェアであれば絶対に信頼できるという保証はありません。最良の対策は、ネットワークとファイアウォールで優れたウイルス対策ソフトウェアを利用することです。また、証明書とソフトウェアの製造元が一致していることを確認する必要もあります。

このような証明書を販売するハッカーに攻撃されてもその事実に気付かない可能性が高いため、証明書が生成されてしまっていることをその会社が知ることはありません。Trojan.Zbot などのトロイの木馬では、攻撃方法の 1 つとして秘密鍵を直接不正取得し、それをコマンド & コントロールサーバに送ることもあります。秘密鍵を使ってコンピュータをネットワークの他の部分から分離し、日常業務に使用しないようにすることが、このようなリスクの軽減につながります。—Trevor Collins