Microsoft は、2012年6月3日(米国時間)、更新プログラム「セキュリティアドバイザリ2718704」を公開しました。この更新プログラムは、マイクロソフト認証機関が発行する、以下の2つの中間CA証明書を失効させ、サポートされる Windows のすべてのバージョンが影響を受けます。
Microsoft のアドバイザリによると、情報収集機能を備えた「Flame」による攻撃を解析した結果、マイクロソフト認証機関が承認していないデジタル証明書が利用されており、Microsoft により署名されているかのように見える Flame のコンポーネントがこの攻撃者に利用されているのを確認しています。これにより、Microsoft からのコードであるかのように見せかけ、暗号通信する二者間に第三者が介在し両者間の情報をすり変えることで通信を制御する「Man-In-The-Middle(MitM、中間者)攻撃」を利用して、偽の Windows Update を通じて偽の証明書を拡散する恐れがあります。
トレンドマイクロや他のセキュリティ関連企業では、この Flame による脅威にさらされるユーザは限られていると指摘しています。しかし、偽の証明書付き不正コードを署名し、セキュリティ検査を回避する機能は、この脅威が広範囲に拡散する恐れがあることを示しています。なお、現時点では、不正プログラムを正規のプログラムに偽装するこうした偽証明書が他の攻撃で使われている事例を確認していませんが、今後、この手口が他の攻撃で利用される可能性は否めません。
トレンドマイクロ製品をご利用のユーザは、こうした脅威から身を守るためにも「セキュリティアドバイザリ2718704」を早急に適用してください。この更新プログラムは、問題の2つの証明書を失効し、不正プログラムである可能性がある、偽証明書により署名されたコードを検知します。
またMicrosoftは、6月4日(米国時間)の夜、同社ブログで中間者攻撃で悪用される Windows Update を保護する追加の更新プログラムを間もなく公開する、と説明しています。トレンドマイクロでは、次回の追加更新プログラムが更新されると、ただちに適用することを強く推奨します。
上記で述べたように、偽デジタル証明書の悪用や偽Windows Updateを介した中間者攻撃が広く攻撃に利用されているという事例は、現時点ではまだ確認されていませんが、この脅威がいつ何時拡大する恐れがあることを改めてお伝えします。トレンドマイクロ製品をご利用のユーザは、Microsoft が公開するセキュリティ情報に従い、同社のセキュリティ更新プログラムが公開され次第すぐに適用してください。
前回ご報告したように、トレンドマイクロ製品をご利用のユーザは、Flame の脅威から保護されています。ユーザは、Microsoft のセキュリティ更新プログラムを更新すると同時に、今回の攻撃で用いられている手口から最大限に身を守るためにも、トレンドマイクロ製品も最新のバージョン(エンジン・パターンファイル)を導入してください。
参考記事:
by Trend Micro
翻訳:船越 麻衣子(Core Technology Marketing, TrendLabs)