2012年10月16日 08時00分 UPDATE
特集/連載

「Flame型マルウェア」の対策が急務中東狙いのFlameも悪用、「証明書偽造」にどう備える?

標的型マルウェア「Flame」に対処すべき企業は限られる。ただし、Flameが利用したとされる証明書偽造などの攻撃手段は、多くの企業を危険にさらしかねない。その対処法を探る。

[Nick Lewis,TechTarget]

 新たなマルウェアが発見されてセキュリティ業界で注目を浴びるたび、そのマルウェアは独特であり、他のマルウェアよりも先進的であると見なされるのが常だ。だがその見方は、現実と異なることもある。

 当然ながら、新手のマルウェアをめぐる過剰な騒ぎの中で、それが現実の脅威なのかどうかを企業が見極めるのは難しい。最近見つかったマルウェアツールキットの「Flame」は、悪名高いマルウェア「Stuxnet」との類似性と相まって、独自の手口を採用していたことから多大な論議を巻き起こした(Stuxnetについては「イランの核施設を狙い撃ちにした『Stuxnet』とは何者か」を参照)。だが、確かに重大な脅威であることは実証されたものの、現実として、Flameの機能の大半は、過去に他のマルウェアが利用していたものだった。

 本稿では、Flameについて分析し、これが本当に一部の専門家が指摘するような特異なマルウェアなのかどうかを検証する。さらに、Flameが使った偽造証明書などの攻撃手段から身を守るため、企業が講じるべき対策についても解説する。

Flameに関する詳細

 Flameに関する詳しい分析は、ハンガリーにあるブダペスト工科経済大学の暗号学システムセキュリティ研究所(CrySyS:Laboratory of Cryptography and System Security)と、露セキュリティ企業のKaspersky Labなどによって行われた。Flameが使っていた技術の大部分は新しいものではなかった。ただし、一般的なマルウェアにはまず見られない、作者に高度な専門知識があることをうかがわせる機能もあった。

 伝えられたサイズは約20Mバイトで、大部分のマルウェアよりも大きかった。これは、Flameが利用している共有ライブラリに起因するようだ。共有ライブラリの利用は、プロのソフトウェア開発方式がFlameの開発に使われた可能性を示している。ソフトウェア開発者は一般的に、新しいマルウェア開発の負担を減らすため、コードを再利用する。

 Flameは、USBデバイス経由でシステムに侵入し、一部はStuxnetやDuquと同じソフトウェアの脆弱性を悪用していた。脆弱性を悪用するプログラムであるエクスプロイトは、脆弱性などを研究するブラックハット(悪意のあるハッカー)が闇市場で流通させたり、マルウェア作成組織が開発する。標的型攻撃に利用されたFlameは、物理的な侵入によってシステムに感染した可能性もある。

 最も特異性が高く、かつ懸念されるのは、Windows Updateを乗っ取るというFlameの機能だ。米Microsoftは、後にFlameが悪用する脆弱性を修正したものの、Windows Updateや全てのMicrosoftソフトウェアのセキュリティが問われることになった。

 Flameは、ハッシュ関数アルゴリズム「MD5」の衝突(MD5コリジョン)を利用して生成した偽の証明書と、セキュリティに不備のあるMicrosoft Terminal Servicesの証明書を組み合わせて利用。これにより、Microsoftの認証局に酷似した偽の認証局の作成を可能にした。他の認証局は偽装しない。

 これが懸念となるのは、企業が長い時間をかけてMicrosoftのアップデートを信頼するようになり、セキュアだと信じているためだ。アップデート用のデータが暗号化されているかどうかは、それほど重要ではない。ただし、システムの完全性を保証するためには、信頼できる認証局による署名をアップデート用データに施すことが必要になる。残念ながら、認証局の偽造が今後のマルウェアに採用された場合、Microsoftがうまく防御できるかどうかは、まだ分からない。

 Flameは、イランを中心とする中東と北アフリカの特定の個人と組織のみが標的だったと伝えられている。そのため、数年前から利用されていたにもかかわらず、Flameに感染したマシンの数は大半のマルウェアよりも少なかった。つまりFlameは、ほとんどの組織にとってほとんど危険がないと考えられる。だが利用されたのは既知の攻撃手段であり、企業はやはり、Flameの要素を使った今後の攻撃に備えなければならない。

Flame方式の攻撃に対する備え

 Flameは、標的を絞り込んだマルウェアであり、ほとんどの企業では対策の必要はないだろう。だが、Flameの教訓を完全に無視できるわけではない。Flameと同様の機能を取り入れた、将来の標的型マルウェアに対する備えは必要だ。

 Flameのさまざまな攻撃手法から身を守るため、企業が導入できる対策は幾つかある。

この記事を読んだ人にお薦めの関連記事

この記事を読んだ人にお薦めのホワイトペーパー

Loading

注目テーマ

ITmedia マーケティング新着記事

news064.jpg

シャノンの「イベント受付来場認証」がPepperと連携
シャノンは、MAツール「SHANON MARKETING PLATFORM」において、展示会・イベントの来場者...

news014.jpg

SalesTech最前線 世界の主要サービスを一気見
AdTech、Martechに続く注目分野であるSalesTechの現状はどうなっているのか。各領域の主...

news106.jpg

「Gotcha!mall」が「LINE」と連携
グランドデザインは、スマートフォンオムニチャネルプラットフォーム「Gotcha!mall(ガッ...