偽装証明書が失効されているか確認を - 「Flame」の不正証明書問題
マルウェア「Flame」による攻撃では、ソフトウェアの開発者を確認する「証明書」の偽装が大きな問題となっている。利用端末において、失効処理が行われているか確認しておく必要がある。
今回の問題が注目されたおもな理由はふたつある。ひとつは第三者が作成した「マルウェア」をはじめとするソフトウェアが、不正な証明書で「Microsoft製ソフトウェア」を偽装できる点。もうひとつは、MS製ソフトの偽装により「Windows Update」を通じて他端末にマルウェアをインストールさせることができる点が挙げられる。
今回の「Flame」は、限られた標的型攻撃であり、発覚後にMicrosoftでは、「Microsoft Active Protections Program(MAPP)」を通じてセキュリティベンダーと情報を共有。主要セキュリティ対策ソフトで定義ファイルさえ更新していれば、検出可能であるため、一般ユーザーへの影響は小さいとされているが、今後「Flame」と同様の攻撃が発生することが懸念されている。
そのためMicrosoftでは偽造証明書対策を強化し、複数の再発防止策を推進しているが、ユーザーとしては、6月4日の更新プログラムによって、問題の「証明書」が失効されているか確認しておくことが重要となっている。
失効対象の証明書は、「Microsoft Enforced Licensing Intermediate PCA」2件および「Microsoft Enforced Licensing Registration Authority CA(SHA1)」の3件。発行者は「Microsoft Root Authority」。
具体的には、「Internet Explorer」のツールメニューにあるインターネットオプションなどから、「インターネットのプロパティ」を開き、「コンテンツ」タブにある証明書の「信頼されない発行元」に、問題の証明書3件が追加されているか確認する。
入っていない場合は、「KB2718704」のインストールを実施。「信頼されない発行元」に3件が追加されたか再度確認する。
追加が確認できない場合は、対策が施された最新の「Windows Updateエージェント」をダウンロードすることが可能。インストール前に、プロパティのデジタル署名においてダイジェストアルゴリズムが「SHA-1」であることを確認しておく必要がある。
(Security NEXT - 2012/06/14 )
ツイート
PR
関連記事
Cisco ASAのSNMP処理にゼロデイ脆弱性「EXTRABACON」
MS、証明書インフラを強化する更新プログラム - 6月より継続的に提供
失効証明書の情報を自動更新するWindows向け更新プログラム
ディスク消去する「Batchwiper」、イランで見つかる - 「Stuxnet」との関係性は不明
Kaspersky、「miniFlame」を確認 - 他マルウェア作者と連携か
MS、Flameによる偽造証明書発生で多重対策を実施 - 証明書のルート分離やWUなど強化
MS、標的型攻撃「Flame」で悪用された証明書を失効させる更新プログラムを公開
中東狙う高度なマルウェア「Flamer」見つかる - コードの複雑さは「Stuxnet」や「Duqu」に匹敵
P2Pソフトやウェブ経由のウイルス感染をブロックする中小企業向けUTM - ワイズ