中東狙いのFlameも悪用、「証明書偽造」にどう備える?「Flame型マルウェア」の対策が急務

標的型マルウェア「Flame」に対処すべき企業は限られる。ただし、Flameが利用したとされる証明書偽造などの攻撃手段は、多くの企業を危険にさらしかねない。その対処法を探る。

2012年10月16日 08時00分 公開
[Nick Lewis,TechTarget]

 新たなマルウェアが発見されてセキュリティ業界で注目を浴びるたび、そのマルウェアは独特であり、他のマルウェアよりも先進的であると見なされるのが常だ。だがその見方は、現実と異なることもある。

 当然ながら、新手のマルウェアをめぐる過剰な騒ぎの中で、それが現実の脅威なのかどうかを企業が見極めるのは難しい。最近見つかったマルウェアツールキットの「Flame」は、悪名高いマルウェア「Stuxnet」との類似性と相まって、独自の手口を採用していたことから多大な論議を巻き起こした(Stuxnetについては「イランの核施設を狙い撃ちにした『Stuxnet』とは何者か」を参照)。だが、確かに重大な脅威であることは実証されたものの、現実として、Flameの機能の大半は、過去に他のマルウェアが利用していたものだった。

 本稿では、Flameについて分析し、これが本当に一部の専門家が指摘するような特異なマルウェアなのかどうかを検証する。さらに、Flameが使った偽造証明書などの攻撃手段から身を守るため、企業が講じるべき対策についても解説する。

Flameに関する詳細

 Flameに関する詳しい分析は、ハンガリーにあるブダペスト工科経済大学の暗号学システムセキュリティ研究所(CrySyS:Laboratory of Cryptography and System Security)と、露セキュリティ企業のKaspersky Labなどによって行われた。Flameが使っていた技術の大部分は新しいものではなかった。ただし、一般的なマルウェアにはまず見られない、作者に高度な専門知識があることをうかがわせる機能もあった。

 伝えられたサイズは約20Mバイトで、大部分のマルウェアよりも大きかった。これは、Flameが利用している共有ライブラリに起因するようだ。共有ライブラリの利用は、プロのソフトウェア開発方式がFlameの開発に使われた可能性を示している。ソフトウェア開発者は一般的に、新しいマルウェア開発の負担を減らすため、コードを再利用する。

 Flameは、USBデバイス経由でシステムに侵入し、一部はStuxnetやDuquと同じソフトウェアの脆弱性を悪用していた。脆弱性を悪用するプログラムであるエクスプロイトは、脆弱性などを研究するブラックハット(悪意のあるハッカー)が闇市場で流通させたり、マルウェア作成組織が開発する。標的型攻撃に利用されたFlameは、物理的な侵入によってシステムに感染した可能性もある。

 最も特異性が高く、かつ懸念されるのは、Windows Updateを乗っ取るというFlameの機能だ。米Microsoftは、後にFlameが悪用する脆弱性を修正したものの、Windows Updateや全てのMicrosoftソフトウェアのセキュリティが問われることになった。

 Flameは、ハッシュ関数アルゴリズム「MD5」の衝突(MD5コリジョン)を利用して生成した偽の証明書と、セキュリティに不備のあるMicrosoft Terminal Servicesの証明書を組み合わせて利用。これにより、Microsoftの認証局に酷似した偽の認証局の作成を可能にした。他の認証局は偽装しない。

 これが懸念となるのは、企業が長い時間をかけてMicrosoftのアップデートを信頼するようになり、セキュアだと信じているためだ。アップデート用のデータが暗号化されているかどうかは、それほど重要ではない。ただし、システムの完全性を保証するためには、信頼できる認証局による署名をアップデート用データに施すことが必要になる。残念ながら、認証局の偽造が今後のマルウェアに採用された場合、Microsoftがうまく防御できるかどうかは、まだ分からない。

 Flameは、イランを中心とする中東と北アフリカの特定の個人と組織のみが標的だったと伝えられている。そのため、数年前から利用されていたにもかかわらず、Flameに感染したマシンの数は大半のマルウェアよりも少なかった。つまりFlameは、ほとんどの組織にとってほとんど危険がないと考えられる。だが利用されたのは既知の攻撃手段であり、企業はやはり、Flameの要素を使った今後の攻撃に備えなければならない。

Flame方式の攻撃に対する備え

 Flameは、標的を絞り込んだマルウェアであり、ほとんどの企業では対策の必要はないだろう。だが、Flameの教訓を完全に無視できるわけではない。Flameと同様の機能を取り入れた、将来の標的型マルウェアに対する備えは必要だ。

 Flameのさまざまな攻撃手法から身を守るため、企業が導入できる対策は幾つかある。

ITmedia マーケティング新着記事

news149.jpg

最も利用率の高いショート動画サービスはTikTokではない?
ADKマーケティング・ソリューションズは、ショート動画に関する調査結果を発表しました。

news131.jpg

古くて新しいMMM(マーケティングミックスモデリング)が今注目される理由
大手コスメブランドのEstee Lauder Companiesはブランドマーケティングとパフォーマンス...

news087.png

Yahoo!広告 検索広告、生成AIがタイトルや説明文を提案してくれる機能を無料で提供
LINEヤフーは「Yahoo!広告 検索広告」において、ユーザーが誘導先サイトのURLを入力する...