コード署名証明書付きのマルウェア

ダークウェブの闇市場で、クレジットカード情報や偽造の身分証明書、銃などよりも高額で取引されるものがあります。コード署名証明書です。

コード署名証明書は、ソフトウェアを頒布させる際に、その発行元の身元を証明するために使われる証明書です。

サイバーセキュテリティの研究機関CSRIの最近の報告によると、ダークウェブ上でそのコード署名証明書が1,200ドルで購入できます。

ここ数年間で、信頼されているソフトウェアベンダーの証明書をマルウェアに付与し、アンチウイルスソフトの検知をバイパスする技術が発展しています。

2003年にイランの核施設を標的にしたStuxnetは有効なデジタル証明書を使い、また最近のCCleanerのアップデートに含まれていたマルウェアも同様の手法で感染を拡大しています。

メリーランド大学カレッジパーク校のセキュリティ研究者の研究報告によると、単にAuthenticode署名をマルウェアにコピーするだけでもアンチウイルスによる検知を逃れることができるとしています。
http://www.umiacs.umd.edu/~tdumitra/papers/CCS-2017.pdf

189種類のマルウェアが111の有効な証明書でサインされ、論文の執筆中に27の証明書が失効した一方で、残りは有効のままでした。下記のサイトで問題のある証明書の一覧が公開されています。
http://signedmalware.org/

多くのアンチウイルスソフトがフィルター条件としてコード署名証明書を見ているため、場合によっては、偽装された証明書でアンチウイルスを回避することが可能です。この研究結果は既に各アンチウイルスベンダーに送られているとのことです。

この記事の執筆・監修者

岡山大

三和コムテック株式会社
セキュリティソリューションプロダクトマネージャー OEMメーカーの海外営業として１０年間勤務の後、2001年三和コムテックに入社。
新規事業（WEBセキュリティビジネス）のきっかけとなる、自動脆弱性診断サービスを立ち上げ（2004年）から一環して、営業・企画面にて参画。 2009年に他の３社と中心になり、たち上げたJCDSC（日本カードセキュリティ協議会 / 会員企業422社）にて運営委員（現在,運営委員長）として活動。PCIDSSや非保持に関するソリューションやベンダー、また関連の審査やコンサル、などの情報に明るく、要件に応じて、弊社コンサルティングサービスにも参加。2021年4月より、業界誌（月刊消費者信用）にてコラム「セキュリティ考現学」を寄稿中。

→ 岡山大の他の記事を読む