ここから本文です

Windowsに証明書偽装の脆弱性、通信盗聴やマルウェアに悪用の恐れも あのNSAが報告した意図は?

1/20(月) 7:39配信

ITmedia NEWS

 インターネットを介した通信が盗み見されることを防ぐHTTPS接続。ユーザーがダウンロードするプログラムが不正なものでないことを保証する電子署名。Microsoft Windowsに実装されているそうしたセキュリティ対策の、文字通り鍵を握る技術に脆弱性が見つかった。この脆弱性が悪用できることを実証するコードも直後に公開され、攻撃の発生は時間の問題と見られている。

【その他の画像】

 Microsoftが1月14日の月例セキュリティ更新プログラムで対処した「Windows CryptoAPIのなりすましの脆弱性」(CVE-2020-0601)。発見したのは米国防総省傘下の情報機関、国家安全保障局(NSA)だった。NSAといえば、この手の脆弱性を駆使した諜報活動を行っているといわれる組織。過去にはWindowsの脆弱性をこっそり悪用していた実態も暴露されている。

 Microsoftによると、脆弱性は「ECC(楕円曲線暗号)証明書」と呼ばれる電子証明書を検証する方法に存在する。悪用すれば、攻撃者が偽造した証明書を使って不正な実行可能ファイルに署名し、信頼できる送信元から送られた正規のファイルに見せかけることができてしまう恐れがある。

 例えばMicrosoftの証明書を偽造してマルウェアに署名することで、信頼できるプログラムを装って、セキュリティ対策ソフトをすり抜けるといった手口も考えられる。安全なはずのHTTPS接続に割り込んで通信の内容を盗み見したり、改ざんしたりする攻撃が発生するかもしれない。

 この問題は、Windows 10とWindows Server 2016および2019が影響を受ける。それ以外のWindowsは、今回でサポートが終了したWindows 7も含めて、ECC証明書に対応していないことから影響は受けないという。

 Microsoft以外の製品でも影響を受ける場合があり、GoogleはWebブラウザChromeのアップデートを公開してこの脆弱性に対処した。

 NSAやCERT/CCなどの米セキュリティ機関は、Microsoftの発表に合わせて一斉にアドバイザリーを公開した。NSAでは「公開鍵インフラ(PKI)に対する信頼を揺るがしかねない極めて重大な脆弱性」と位置付け、「リモート悪用ツールがすぐにも出現して広く出回るだろう」と予想、できるだけ早く更新プログラムを適用するよう呼び掛けている。

 実際に、Microsoftの更新プログラム公開の翌日から翌々日にかけ、偽造証明書を使って中間者攻撃などを仕掛けるコンセプト実証コードがGitHubで相次いで公開された。米セキュリティ機関のSANS Internet Storm Centerは、更新プログラムを適用していないシステムで、偽造した電子署名が何の問題もなく通用してしまうことを確認したとしている。

 暗号に詳しいセキュリティ専門家ブルース・シュナイアー氏のブログによると、NSAはこの脆弱性に関する電話会見まで開いて質問も受け付ける異例の対応を見せた。こうしたアピールの背景には、セキュリティ業界に対する信頼を取り戻したいという意向があったとされる。ただし、いつ脆弱性を発見したのかという質問には答えなかったという。

 更新プログラムを公開した時点で、この脆弱性がアクティブな攻撃に使われた事案は確認していないとMicrosoftは言う。

 しかしシュナイアー氏は、NSAの研究者が他国のサイバー兵器を調べる中で、この脆弱性を発見した可能性もあると推測。「この脆弱性は既に、犯罪組織や主要国の政府が兵器化して使っていると想定すべき」と述べ、「NSAがこの脆弱性を使っていることさえ想定できる」とも付け加えている。

 今回の脆弱性は、著名セキュリティジャーナリストのブライアン・クレブズ氏が、Microsoftのパッチが公開される前日に報じたことでも注目された。同氏は複数の筋の話として、「Microsoftは米軍やインターネットの重要インフラを管理する組織に対し、この脆弱性を修正するパッチを密かに提供していた」とも伝えていた。

 これに対してMicrosoftは、更新プログラムは「Security Update Validation Program(SUVP)」という制度を通じ、世界中の選ばれた組織に検証してもらう目的でリリース候補を提供していると説明した。ただしどんな組織であっても、完成版の更新プログラムを通常のスケジュールより前倒しで提供することはないと強調している。

ITmedia NEWS

最終更新:1/20(月) 7:39
ITmedia NEWS

こんな記事も読まれています

あなたにおすすめの記事