中東狙いのFlameも悪用、「証明書偽造」にどう備える？：「Flame型マルウェア」の対策が急務

標的型マルウェア「Flame」に対処すべき企業は限られる。ただし、Flameが利用したとされる証明書偽造などの攻撃手段は、多くの企業を危険にさらしかねない。その対処法を探る。

[Nick Lewis，TechTarget]

　新たなマルウェアが発見されてセキュリティ業界で注目を浴びるたび、そのマルウェアは独特であり、他のマルウェアよりも先進的であると見なされるのが常だ。だがその見方は、現実と異なることもある。

　当然ながら、新手のマルウェアをめぐる過剰な騒ぎの中で、それが現実の脅威なのかどうかを企業が見極めるのは難しい。最近見つかったマルウェアツールキットの「Flame」は、悪名高いマルウェア「Stuxnet」との類似性と相まって、独自の手口を採用していたことから多大な論議を巻き起こした（Stuxnetについては「イランの核施設を狙い撃ちにした『Stuxnet』とは何者か」を参照）。だが、確かに重大な脅威であることは実証されたものの、現実として、Flameの機能の大半は、過去に他のマルウェアが利用していたものだった。

関連記事

• 米国政府も「Stuxnet」で参戦、サイバー戦争で生き残る策とは？
• オーロラ攻撃やStuxnetの引き金に――ゼロデイ脆弱性とどう対峙すべきか
• Stuxnetは14年前に予言されていた――歴史から探るサイバー攻撃対策
• 標的型攻撃にStuxnet――進化するサイバー攻撃にどう対処するか（EPUB）

　本稿では、Flameについて分析し、これが本当に一部の専門家が指摘するような特異なマルウェアなのかどうかを検証する。さらに、Flameが使った偽造証明書などの攻撃手段から身を守るため、企業が講じるべき対策についても解説する。

関連記事

• AndroidのマルウェアがiOSよりも多い理由
• Macマルウェア「Flashback」まん延で露呈した米Appleの過失
• 変貌するマルウェアの脅威（ホワイトペーパー）

Flameに関する詳細

　Flameに関する詳しい分析は、ハンガリーにあるブダペスト工科経済大学の暗号学システムセキュリティ研究所（CrySyS：Laboratory of Cryptography and System Security）と、露セキュリティ企業のKaspersky Labなどによって行われた。Flameが使っていた技術の大部分は新しいものではなかった。ただし、一般的なマルウェアにはまず見られない、作者に高度な専門知識があることをうかがわせる機能もあった。

　伝えられたサイズは約20Mバイトで、大部分のマルウェアよりも大きかった。これは、Flameが利用している共有ライブラリに起因するようだ。共有ライブラリの利用は、プロのソフトウェア開発方式がFlameの開発に使われた可能性を示している。ソフトウェア開発者は一般的に、新しいマルウェア開発の負担を減らすため、コードを再利用する。

　Flameは、USBデバイス経由でシステムに侵入し、一部はStuxnetやDuquと同じソフトウェアの脆弱性を悪用していた。脆弱性を悪用するプログラムであるエクスプロイトは、脆弱性などを研究するブラックハット（悪意のあるハッカー）が闇市場で流通させたり、マルウェア作成組織が開発する。標的型攻撃に利用されたFlameは、物理的な侵入によってシステムに感染した可能性もある。

関連記事

• 「人の脆弱性」をあぶり出す、4つの侵入テスト手法
• 無料で使える、Windows向けパスワード解析／脆弱性スキャンツール9選
• 無料で使える、無線LANやSQL Serverなど向け脆弱性対策ツール11選
• 【製品動向】iOS／Android対応が進む「脆弱性診断サービス」

　最も特異性が高く、かつ懸念されるのは、Windows Updateを乗っ取るというFlameの機能だ。米Microsoftは、後にFlameが悪用する脆弱性を修正したものの、Windows Updateや全てのMicrosoftソフトウェアのセキュリティが問われることになった。

関連記事

• Windows Server 8の無停止パッチ適用機能は管理者の福音となるか
• Windows管理者が見落としがちな5つのリスクとは？

　Flameは、ハッシュ関数アルゴリズム「MD5」の衝突（MD5コリジョン）を利用して生成した偽の証明書と、セキュリティに不備のあるMicrosoft Terminal Servicesの証明書を組み合わせて利用。これにより、Microsoftの認証局に酷似した偽の認証局の作成を可能にした。他の認証局は偽装しない。

　これが懸念となるのは、企業が長い時間をかけてMicrosoftのアップデートを信頼するようになり、セキュアだと信じているためだ。アップデート用のデータが暗号化されているかどうかは、それほど重要ではない。ただし、システムの完全性を保証するためには、信頼できる認証局による署名をアップデート用データに施すことが必要になる。残念ながら、認証局の偽造が今後のマルウェアに採用された場合、Microsoftがうまく防御できるかどうかは、まだ分からない。

　Flameは、イランを中心とする中東と北アフリカの特定の個人と組織のみが標的だったと伝えられている。そのため、数年前から利用されていたにもかかわらず、Flameに感染したマシンの数は大半のマルウェアよりも少なかった。つまりFlameは、ほとんどの組織にとってほとんど危険がないと考えられる。だが利用されたのは既知の攻撃手段であり、企業はやはり、Flameの要素を使った今後の攻撃に備えなければならない。

Flame方式の攻撃に対する備え

　Flameは、標的を絞り込んだマルウェアであり、ほとんどの企業では対策の必要はないだろう。だが、Flameの教訓を完全に無視できるわけではない。Flameと同様の機能を取り入れた、将来の標的型マルウェアに対する備えは必要だ。

　Flameのさまざまな攻撃手法から身を守るため、企業が導入できる対策は幾つかある。