中東狙いのFlameも悪用、「証明書偽造」にどう備える?
TechTargetジャパン 12月6日(木)20時11分配信
新たなマルウェアが発見されてセキュリティ業界で注目を浴びるたび、そのマルウェアは独特であり、他のマルウェアよりも先進的であると見なされるのが常だ。だがその見方は、現実と異なることもある。
当然ながら、新手のマルウェアをめぐる過剰な騒ぎの中で、それが現実の脅威なのかどうかを企業が見極めるのは難しい。最近見つかったマルウェアツールキットの「Flame」は、悪名高いマルウェア「Stuxnet」との類似性と相まって、独自の手口を採用していたことから多大な論議を巻き起こした。だが、確かに重大な脅威であることは実証されたものの、現実として、Flameの機能の大半は、過去に他のマルウェアが利用していたものだった。
※関連記事:イランの核施設を狙い撃ちにした「Stuxnet」とは何者か
→http://techtarget.itmedia.co.jp/tt/news/1112/06/news02.html
本稿では、Flameについて分析し、これが本当に一部の専門家が指摘するような特異なマルウェアなのかどうかを検証する。さらに、Flameが使った偽造証明書などの攻撃手段から身を守るため、企業が講じるべき対策についても解説する。
●Flameに関する詳細
Flameに関する詳しい分析は、ハンガリーにあるブダペスト工科経済大学の暗号学システムセキュリティ研究所(CrySyS:Laboratory of Cryptography and System Security)と、露セキュリティ企業のKaspersky Labなどによって行われた。Flameが使っていた技術の大部分は新しいものではなかった。ただし、一般的なマルウェアにはまず見られない、作者に高度な専門知識があることをうかがわせる機能もあった。
伝えられたサイズは約20Mバイトで、大部分のマルウェアよりも大きかった。これは、Flameが利用している共有ライブラリに起因するようだ。共有ライブラリの利用は、プロのソフトウェア開発方式がFlameの開発に使われた可能性を示している。ソフトウェア開発者は一般的に、新しいマルウェア開発の負担を減らすため、コードを再利用する。
Flameは、USBデバイス経由でシステムに侵入し、一部はStuxnetやDuquと同じソフトウェアの脆弱性を悪用していた。脆弱性を悪用するプログラムであるエクスプロイトは、脆弱性などを研究するブラックハット(悪意のあるハッカー)が闇市場で流通させたり、マルウェア作成組織が開発する。標的型攻撃に利用されたFlameは、物理的な侵入によってシステムに感染した可能性もある。
※関連記事:【製品動向】iOS/Android対応が進む「脆弱性診断サービス」
→http://techtarget.itmedia.co.jp/tt/news/1209/07/news05.html
最も特異性が高く、かつ懸念されるのは、Windows Updateを乗っ取るというFlameの機能だ。米Microsoftは、後にFlameが悪用する脆弱性を修正したものの、Windows Updateや全てのMicrosoftソフトウェアのセキュリティが問われることになった。
Flameは、ハッシュ関数アルゴリズム「MD5」の衝突(MD5コリジョン)を利用して生成した偽の証明書と、セキュリティに不備のあるMicrosoft Terminal Servicesの証明書を組み合わせて利用。これにより、Microsoftの認証局に酷似した偽の認証局の作成を可能にした。他の認証局は偽装しない。
これが懸念となるのは、企業が長い時間をかけてMicrosoftのアップデートを信頼するようになり、セキュアだと信じているためだ。アップデート用のデータが暗号化されているかどうかは、それほど重要ではない。ただし、システムの完全性を保証するためには、信頼できる認証局による署名をアップデート用データに施すことが必要になる。残念ながら、認証局の偽造が今後のマルウェアに採用された場合、Microsoftがうまく防御できるかどうかは、まだ分からない。
Flameは、イランを中心とする中東と北アフリカの特定の個人と組織のみが標的だったと伝えられている。そのため、数年前から利用されていたにもかかわらず、Flameに感染したマシンの数は大半のマルウェアよりも少なかった。つまりFlameは、ほとんどの組織にとってほとんど危険がないと考えられる。だが利用されたのは既知の攻撃手段であり、企業はやはり、Flameの要素を使った今後の攻撃に備えなければならない。
●Flame方式の攻撃に対する備え
Flameは、標的を絞り込んだマルウェアであり、ほとんどの企業では対策の必要はないだろう。だが、Flameの教訓を完全に無視できるわけではない。Flameと同様の機能を取り入れた、将来の標的型マルウェアに対する備えは必要だ。
Flameのさまざまな攻撃手法から身を守るため、企業が導入できる対策は幾つかある。
不正証明書の対策としては、ホワイトリストを利用するか、特定の認証局と信頼できるパッチのみを利用する方法がある。例えば、自社署名入りのソフトウェアを使い、全パッチを中央のインフラ経由でプッシュ配信し、クライアント端末は社内で署名されたソフトウェアのみを信頼する設定になっていれば、Flameに対する防御になる。プリントスプーラサービスと機能を無効にすれば、Flameによるプリントスプーラの脆弱性悪用は食い止められる。
システム上で新しいファイルが見つかったり実行されたりした場合、あるいは不審なネットワークトラフィックが検出された場合にアラートが出るようにシステムを設定しておくのも有効だ。不審なネットワークトラフィックには、外部の新たなIPへの接続や、新しいドメイン名のDNSルックアップが含まれる。こうした分析には時間がかかるかもしれないが、自動化できる可能性はある。
平均的なマルウェア開発者には、偽証明書のような複雑な攻撃手法を実装することはできないはずだ。だがマルウェア開発者の専門性が高まるにつれて、プロのソフトウェア開発技術を採用したり、自分たちの攻撃に一層高度な要素を盛り込むようになるだろう。プロセスを自動化するため、先端の技術を取り入れたマルウェアツールキットさえも利用するようになるかもしれない(参考:初心者でも利用できるサイバー攻撃ツールキットの普及 シマンテックが注意を呼び掛け)。
マルウェアに採用される可能性のあるプロの技術には、自動更新機能を備えたソフトウェアのモジュール化、暗号化接続と分散型アーキテクチャの利用などがある。MD5コリジョンでは、偽証明書を作成するための高度な手法が必要とされる。マルウェア開発者は、MD5コリジョンに関するプレゼンテーション(訳注:https://trailofbits.files.wordpress.com/2012/06/flame-md5.pdf)が示す通り、「HashClash」というツールを使ってFlameの一部コードを再利用できるかもしれない。
●Flameの情報をインシデント対応に生かす
新たに発見されたマルウェアについては、不必要な騒ぎが多い。とはいえ、企業がマルウェアに関する調査結果を無視することがあってはならない。新たな脆弱性を突き、多くのシステムを攻撃するマルウェアは、直ちに対策が必要な場合もある。ただし、旧式の攻撃手段を使い回すマルウェアに対しては、現在のセキュリティ対策を見直す必要はほとんどないのも事実だ。
Flameは、さまざまなエクスプロイト技術を多数組み合わせ、特定の組織と個人を標的にする。Flameの手口に関する詳細が公になれば、その一部を使い回すマルウェアも出現するかもしれない。だが、大部分は既に公にされ、他のツールキットにも使われている手口ばかりだ。大半の企業は、Flameの標的にされることはない。ただし、Flameに関する詳しい情報をインシデント対応チーム(CSIRT:Computer Security Incident Response Team)の机上訓練に活用することは、多くの企業にとって役に立つだろう。
本稿筆者のニック・ルイス氏は、米セントルイス大学の情報セキュリティアーキテクト。情報セキュリティプロフェッショナルの認証資格(CISSP)を有する。2002年にミシガン州立大学でテレコミュニケーション、2005年にノリッジ大学で情報アシュアランスの科学修士を取得。ハーバード大学医学部の小児科病院であるボストン小児病院やInternet2、ミシガン州立大学に勤務後、2011年より現職。