トレンドマイクロでは、2013年2月下旬、特定の 2つの企業に属するデジタル証明書によって署名された不正プログラムの検体を確認。該当する 2社は、専門的なソフトウェアを開発するソフトウェア会社です。この 2つのデジタル証明書は、非常に専門的な製品を作る開発者に使用されるため、この攻撃が成功する確率を高くすることが可能です。
トレンドマイクロは、これらの悪用された証明書が署名された複数の検体を確認しています。これらの検体は、「TROJ_KRYPT.SMMV」や「TSPY_KRYPTIK.NO」として検出されます。これらの不正プログラムに同じ作者が関与しているかどうかは判断できませんが、類似している点があります。
これらの攻撃は、Java の脆弱性を悪用する「JAVA_EXPLOIT.SO」および「JAVA_EXPLOIT.EOJ」を利用してコンピュータに侵入します。注目すべきは、悪用される脆弱性が 2012年初期のもので、ユーザが Java の更新版をインストールさえしていれば保護されていた点です。
この他、これらの不正プログラムは、同様のパッケージングツールも利用していました。これにより、さまざまな種類の不正プログラムが、実際に不正プログラムの物理ファイルを作成することなく、感染したコンピュータのメモリに侵入することが可能になります。また、パッケージングツールは、検出を回避するために、オリジナルのどのような不正なコード(検出対応しているものも含む)からでもまったく異なるファイルを生成するため、過去の不正プログラムのコードを再利用することを可能にします。
有効なデジタル証明書を利用することで、標的とするコンピュータやセキュリティソフトでさえも、実行中のプログラムが正規の提供元からのものであるかのように装うことができます。トレンドマイクロは、これまでにも署名された不正プログラムに関連する同様の事例について報告しています。
・Police Ransomware Bears Fake Digital Signature
http://blog.trendmicro.com/trendlabs-security-intelligence/police-ransomware-bears-fake-digital-signature/
・Trend Micro Detects Reported Malicious Utilities with Adobe Certificates
http://blog.trendmicro.com/trendlabs-security-intelligence/trend-micro-detects-reported-malicious-utilities-with-adobe-certificates/
今回の事例、そして同様の事例から、「信頼できる」ソフトウェアであったとしても悪意あるものにもなれるということが明らかになっています。トレンドマイクロは、パッケージングツールを利用してコンパイルされたいずれのファイルであっても、検出対応することでユーザを保護します。
参考記事:
by Brian Cayanan (Threats Analyst)
翻訳:栗尾 真也(Core Technology Marketing, TrendLabs)