Dell 社の一部のコンピュータで、中間者攻撃に対する脆弱性が見つかりました。これはルート証明書の認証局に伴う問題が原因で、今年のはじめに Lenovo 社のコンピュータで見つかった SuperFish を思い起こさせます。そのときも同じような脆弱性が問題になったからです。SuperFish も、中間者攻撃を許してしまい、安全な(と思われていた)通信が傍受される恐れがありました。
今回 Dell コンピュータの問題を発見したのは Joe Nord 氏で、氏は 2039 年まで有効な eDellRoot という証明書があることを突き止めました。
図 1. Joe Nord 氏が発見した、eDellRoot 認証局
Dell 社は、同社のコンピュータの多くに eDellRoot という自己署名ルート証明書をインストールしており、そのうえ、あろうことか秘密鍵も搭載していました。その名前のとおり、秘密鍵は公開されてはならないものです。にもかかわらず、同じ秘密鍵が同社の多くのコンピュータで共通して使われていたのです。攻撃者がこれを利用すれば、影響を受けるコンピュータに対して中間者攻撃をしかけられることになります。
中間者攻撃だけではなく、eDellRoot の認証局と秘密鍵があれば、攻撃者はコードに署名することもできます。ということは、マルウェアに署名して、あたかも他の会社のものであるかのように装うことができるわけです。eDellRoot 認証局がインストールされているコンピュータでは、それが正規のファイルと認識されてしまいます。eDellRoot 認証局によって署名されたマルウェアが、すでに VirusTotal で確認され始めています。
図 2. eDellRoot 証明書で署名されたファイル
シマンテックは、Dell 社のコンピュータを調査し、eDellRoot 認証局が以下のモデルに存在することを確認しました。
Asus 社のコンピュータに証明書がインストールされているという報告も届いていますが、シマンテックで独自の確認はとれていません。
図 3. eDellRoot 認証局がインストールされている Dell Inspiron 15 7000
Dell 社はすでにこの問題に対応済みであり、該当するモデルでは eDellRoot 証明書が「意図せずセキュリティ上の脆弱性を引き起こしてしまった」と認めています。同社は、該当するモデルでこの問題に対処するために証明書を削除する手順も公開しています。同社の指示に従わずに証明書を削除した場合には、再起動するとまたインストールされる可能性があります。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
【参考訳】