パスワードを忘れた? アカウント作成
9315348 story
Opera

Opera社の社内ネットワークが攻撃され証明書が流出 21

ストーリー by hylom
踏んだり蹴ったり 部門より
taraiok 曰く、

先週末の6月26日、Opera Softwareがブログで社内ネットワークインフラに標的型攻撃を受け、期限切れのOperaコードコード署名証明書が盗まれたことを公表した(SECURITY WEEKOperaブログITmediaINTERNET Watch本家/.)。

これにより、協定世界時(UTC)6月19日午前1時~1時36分(日本時間19日午前10時~10時36分)の間にOperaを使っていたWindowsユーザー数千人が、自動的にマルウェアをインストールしてしまった可能性があるという。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2013年07月02日 13時29分 (#2413108)

    > 午前1時~1時36分の間にOperaを使っていたWindowsユーザー数千人が

    そんなにいたんだ!

  • by Anonymous Coward on 2013年07月02日 7時39分 (#2412919)

    コードコード署名証明書

    • by Anonymous Coward

      コードコード高橋圭三です。

    • by Anonymous Coward

      Subjectから「ハッカー」を削るとかの余計な印象操作はするくせに。
      ハッカーが犯罪者であるとは限らないが犯罪者ではないと決まっているわけでもないだろ。

      • by Anonymous Coward

        世間から見たら、ただのパソコンオタクね、としか思われてないよ

    • by Anonymous Coward

      「先週末の」もいらなくね?

      #水曜日だよ

  • by Anonymous Coward on 2013年07月02日 9時38分 (#2412970)

    証明書が期限切れだったのに、それを使ったソフト(Opera)がインストールされたってことなのかな?
    証明書の意味なしてないけど、どういう意味なんだろう。
    期限切れ警告は出るけど無視してインストールしちゃう人がでたかもということかな。

    • コード署名なので、
      ・署名した時点で証明書が有効期間内であり、
      かつ、
      ・署名当時のタイムスタンプ・サーバーの署名が付いていれば、
      特に警告の出ることはなく、正しい署名として検証されます。
      --
      iida
      親コメント
      • by Anonymous Coward

        Virustotalにある検体だと、このコードサイン証明書のValid-toが
        12:59 AM 1/29/2013になってるんですよね

        (信頼できるかどうかは別として)PEヘッダのCompilation timestampも
        2013-06-19 03:06:58ってなってることですし
        ここはきちんと警告を出してほしいところ……

        https://www.virustotal.com/en/file/8ecbca0de44c82d1c7ffced288aa68c1247... [virustotal.com]

      • by Anonymous Coward

        盗まれた証明書の期限が 1/29/2013 だそうなので、
        それより前に、不正コードに署名していないと、攻撃は成功しないですよね?

        • タイムスタンプをつけるのなら、タイムスタンプ署名がコード署名証明書の有効期間内である必要がある。
          コードを作る前にはコード署名のしようがないが、作ってタイムスタンプ署名さえあれば、コード署名自体は物理的にはいつでもよい。なぜなら攻撃者が署名用データを作ろうとするマシンの時計は、攻撃者が自分で勝手に変えられるだろうから。

          マシンの時計だけテキトーに変えて、ごくふつうの署名用ソフトをしれっと使うだけでは、タイムスタンプ署名の時刻と現在時刻の差があるので、うまくいかないかもしれない (というか、うまくいかぬように署名用ソフトを実装してもらいたいものだ) ので、その場合署名用ソフトは自作することになるかも。

          タイムスタンプをつけないのなら――でもこの場合は満了したら警告が出るはずだが――コード署名と同じでなんとでもなる。
          --
          iida
          親コメント
    • 自動でインストールされた可能性があると言うことは、管理者権限を要求したりユーザに確認せず、Operaのアップデータ内でだけ確認する仕組みだったんでしょうか。

      その上で、証明書の期限が切れる程、長期にわたってアップデートプロセスが走らないような運用のユーザが居るかも知れないから、アップデータ内で期限は確認していなかったとか。流出さえさせなければ期限を無視して運用しても危険はほぼありませんし。

      と、言いつつ、一方で、期限が切れた証明書だから、と普段使いの証明書よりも管理が甘かった、とかのミスですかね。
      親コメント
  • by Anonymous Coward on 2013年07月02日 10時52分 (#2413014)

    って、言ってたよね。

    • by Anonymous Coward

      言う方も真に受ける方もどうかしてるぜ!

    • by Anonymous Coward

      今はIEが意外と安全ですね。
      特にマルウェア対策はChromeよりも良くブロックするとか。
      カスタマイズしないのであればIE10を拡張保護モードで使うのが良いでしょう。

typodupeerror

あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー

読み込み中...