ノルウェーのソフトウェア開発会社でインターネットスイートやWebブラウザ “Opera” でも知られる「Opera Software ASA(Opera)」は、攻撃者によって社内ネットワークのセキュリティが侵害され、期限が失効したデジタル証明書のコードが少なくとも1つ窃取されたことを自社サイトの6月26日付けエントリで公表しました。当該エントリによると、この攻撃者は、入手した証明書を自身が作成した不正プログラムの署名にも活用し、これにより標的とされたコンピュータや、セキュリティ対策ソフトでさえも、この不正プログラムを正規のファイルと見なしてしまう偽装が可能になったと伝えています。そして実際に偽装された不正プログラムが、日本時間6月19日の10時から10時36分までの36分間、Opera の自動更新機能を介して配布された事実を認めています。デジタル証明書の悪用に加え、Opera ブラウザのような正規ソフトの自動更新機能で不正プログラムが配布されてしまったことは、セキュリティ対策を考える上でも大きな影響がある事例と言えるでしょう。
トレンドマイクロでは、既に問題の不正プログラムの検体を入手しており、弊社製品では「TSPY_FAREIT.ACU」として検出に対応しています。この不正プログラムは、Opera の期限切れデジタル証明書を表示し(図1参照)、Opera社側の報告でも伝えられているとおり、Opera の更新版を装っていることが分かります。
この「TSPY_FAREIT.ACU」は、実行されると、特定の FTP クライアントまたはファイルマネージャから、ユーザ名やパスワード、サーバ名などといった重要な情報を収集します。
 |
|
|
また、この「TSPY_FAREIT.ACU」は、FTP クライアントからだけでなくインターネットブラウザからも情報を収集します。対象となるブラウザは、”Mozilla Firefox”や、”Google Chrome” さらに興味深いことには “Opera” 自体にまで及びます。収集される情報は、通常これらはブラウザに保存されているような、ソーシャル・ネットワーキング・サービス(SNS)やオンライン銀行、電子商取引(eコマース)などのサイトで使用されるログイン認証情報です。この不正プログラムを利用する攻撃者は、こうして収集した情報を駆使して、ユーザがインターネット上で使用しているさまざまなアカウントを掌握し、またユーザが承諾していない不正な金銭取引も実行する可能性があります。また、収集した情報をアンダーグラウンド市場等で販売して利益を得る場合もあります。
Opera では、今回の事例に伴い、Opera ブラウザを使用しているユーザに対して期限切れデジタル証明書を装った不正プログラムが自動的にインストールされたことについて、影響を受ける Windows のユーザ数は、数千人に及ぶと推測しています。この問題に対処するために、同社では、当該ブラウザの新たなバージョンを公開することを約束しています。
今回のようなデジタル証明書を悪用した隠ぺいの手法は、手口としては新しいものではなく、過去にも「成功例」がいくつか確認されています。例えば、情報収集を目的とした標的型攻撃の「FLAME」があげられます。この攻撃は、Microsoft の証明書を有したコンポーネントを悪用します。また、ユーザに違法行為をしたように誤解させる画面表示や画面ロックの手口で知られる、警察を装った「身代金要求型不正プログラム(ランサムウェア)」も、デジタル証明書による確認自体を避けるために偽のデジタル証明書を表示させるという手法を用いていました。
もちろん、自社のデジタル証明書を悪用した不正プログラムに関して注意喚起の必要が生じたソフトウェア開発会社は、Opera が初めてというわけではありません。他にも2012年に Adobeが自社のデジタル証明書が悪用されたことをユーザに通知した例など、いくつもの事例が発生しています。
トレンドマイクロ製品をご利用のユーザは、トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」によって守られています。特に「ファイルレピュテーション」技術により、問題のデジタル証明書を悪用する「TSPY_FAREIT.ACU」を検出し削除します。Opera からの注意喚起の詳細については、同社サイトのこちらのページ(英語情報)をご参照ください。
※協力執筆者:Alvin John Nieto(Threat Researcher)
参考記事:
by Alvin Bacani (Escalation Engineer)
翻訳:宮越 ちひろ(Core Technology Marketing, TrendLabs)