マルウェア「Flamer」が電子証明書を偽装

マルウェア「Flamer」が電子証明書を偽装 9

ストーリー by reo 2012年06月07日 10時50分
どこぞの政府系組織が作ったのであろう部門より

taraiok 曰く、

Microsoft は同社の発行する電子証明書が不正に使用されたことを発表した。該当する電子証明書は、Microsoft Enforced Licensing Intermediate PCA が 2 種と Microsoft Enforced Licensing Registration Authority CA (SHA1) が 1 種の合計 3 種類。サポート対象の全 Windows (Mobile／Phone を含む) が影響を受けるという (SECURITY WEEK の記事、ITmedia エンタープライズの記事、本家 /. 記事より) 。
原因は最近発見されたマルウェア「Flamer」。Flamer は中東地域での感染が確認されていたもので、高度な機能を持ち、不正な証明書を使用し、外部からは Microsoft が作成した合法的なソフトウェアであるように見えるという (TechNet Blogs の記事) 。Flamer は Stuxnet や Duqu に匹敵するコードの複雑さを持ち、デスクトップ画面の盗撮、セキュリティ製品の無効化といった機能を備えており、リムーバブルドライブや、脆弱性を悪用してネットワーク経由で感染するという。
すでに Microsoft は 6 月 3 日に Flamer が悪用していた電子証明書を失効させる更新プログラムとセキュリティアドバイザリ (2718704) をリリースしている。同社は早急にアップデートを行うことを推奨している (Security Next、Microsoft の SA) 。Microsoft は今後は Flamer と同じ技術が、より広範囲に攻撃を行うために利用される可能性があると指摘している。

この議論は賞味期限が切れたので、アーカイブ化されています。新たにコメントを付けることはできません。

記事ページを表示すべてのコメント取得

検索9コメント Log In/Create an Account

署名鍵の漏洩事件、かとおもったら... (スコア:3, 興味深い)

by JULY (38066) on 2012年06月07日 11時44分 (#2168735)

エフセキュアブログ : Microsoft Updateと最悪のシナリオ [f-secure.jp] を読むと、
攻撃者は、Microsoftが企業顧客のため、Terminal Serviceのアクティベーションライセンスを作成するのに使用しているメカニズムを、不正使用する方法を見つけ出したことがわかる。驚くべきことに、これらのキーはバイナリに署名するのにも利用することができた。
ということだから、元々、ターミナルサービスように同梱されている鍵が、コード署名にも使えちゃった、という話かな？
確かに、失効された「Microsoft Enforced Licensing Intermediate PCA」の証明書の目的にコード署名が含まれているし、「Microsoft Enforced Licensing Registration Authority CA」の方は、「＜すべて＞」になっている。
- Re:署名鍵の漏洩事件、かとおもったら... (スコア:2, 参考になる)
  
  by Anonymous Coward on 2012年06月07日 14時05分 (#2168864)
  
  http://blogs.technet.com/b/srd/archive/2012/06/06/more-information-abo... [technet.com] によると、
  作成された証明書にはX509 ExtensionがあってVista以降のOSではコード署名用の証明書としては使用できないそうです。
  (Microsoft HydraはTerminal Serviceナントカのコードネームでしたっけ)
  なので、攻撃者はMD5が衝突するように証明書を変更しX509 Extension部分を別のフィールドに格納していたようです。
  
  シェア
  
  親コメント
  - Re:署名鍵の漏洩事件、かとおもったら... (スコア:2)
    
    by JULY (38066) on 2012年06月07日 17時42分 (#2169058)
    
    なるほど。その辺が、
    Microsoft certification authority signing certificates added to the Untrusted Certificate Store - Security Research & Defense - Site Home - TechNet Blogs: [technet.com]
    When we initially identified that an older cryptography algorithm could be exploited and ...
    　
    という辺りにつながってくるんでしょうね。SHA-1 や SHA-256 じゃなくて、MD5 だったんで、衝突するように変更できちゃった、と。
    
    シェア
    
    親コメント
っかし話題になんないねー (スコア:0)

by Anonymous Coward on 2012年06月07日 15時24分 (#2168926)

ネタがアレゲじゃないから？
住民がアレゲじゃないから？
- Re: (スコア:0)
  
  by Anonymous Coward
  
  正直、大多数の人が電子証明書の仕組み自体よく分からないからじゃない？
  とりあえずあると安心らしいけど、何がどういう仕組みでどこまで証明されるの？みたいな。
合法？ (スコア:0)

by Anonymous Coward on 2012年06月07日 20時14分 (#2169134)

電子証明書を不正に使用するのは公文書偽造罪とかに当たりそうな気はしますが、そもそも
>Microsoftが作成した合法的なソフトウェアに見えるという
というところが意味わかりません。
「あたかもMicrosoftによって電子署名されたかのように見える」とかだったらわかるのですが…
- Re: (スコア:0)
  
  by Anonymous Coward
  
  少なくとも「公文書」ではなく、「私文書」です。
  また、「文書」ではなく「電磁的記録」です。
  >「あたかもMicrosoftによって電子署名されたかのように見える」とかだったらわかるのですが…
  それはその通りです。翻訳がまちがってます。
前例に従うとこうなる？ (スコア:0)

by i_i (22332) on 2012年06月07日 21時31分 (#2169188) 日記

こんな脆弱なルート証明書を運営している組織 [microsoft.com]は、ルート証明書の更新プログラム [microsoft.com]から追放しなくては！
これ、やばいんじゃ無いの？ (スコア:0)

by Anonymous Coward on 2012年06月08日 6時34分 (#2169294)

適当なソフトをダウンロード→書名があるからOK→これ、もしくはこれの亜種をインストール→以降のWindowsUpdateは

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

マルウェア「Flamer」が電子証明書を偽装 9

マルウェア「Flamer」が電子証明書を偽装 More ログイン

署名鍵の漏洩事件、かとおもったら... (スコア:3, 興味深い)

Re:署名鍵の漏洩事件、かとおもったら... (スコア:2, 参考になる)

Re:署名鍵の漏洩事件、かとおもったら... (スコア:2)

っかし話題になんないねー (スコア:0)

Re: (スコア:0)

合法？ (スコア:0)

Re: (スコア:0)

前例に従うとこうなる？ (スコア:0)

これ、やばいんじゃ無いの？ (スコア:0)

スラド