Video Screencast Help
Symantec to Separate Into Two Focused, Industry-Leading Technology Companies. Learn more.
Security Response

身近に潜む Stuxnet の脅威

Created: 22 Sep 2010 10:41:30 GMT • Translations available: English
Fergal Ladley's picture
0 0 Votes
Login to vote

この 7 月、産業用制御システムを標的とする Stuxnet ワームについて紹介しました。Stuxnet の作成者は、台湾の半導体メーカー 2 社のデジタル署名を盗み、ワームが用いるルートキットでその署名を使用していました。その作成者が、署名を盗むために必要になる秘密キーをどのように手に入れたのかは、依然として明らかになっていません。

バイナリにデジタル署名するには、秘密キーが必要です。攻撃者がキーを手に入れることができた場合、キーの所有者の署名を盗むことができます。したがって、秘密キーの所有者は、そのキーをだれにも知られないようにする必要があります。どういうわけか、Stuxnet の作成者によりこれらの秘密キーが盗まれてルートキットの署名に使用され、そのルートキットが Windows Vista と Windows 7 で読み込まれるようになりました。

デジタル証明書の秘密キーを入手することは、想像するほど難しくはありません。Infostealer.Nimkey は、PKCS#12 公開キー証明書ファイルを盗む脅威の一例です。PKCS#12 証明書は、通常の公開キー証明書とは異なり、公開キーだけでなく秘密キーも含めることができます。

この脅威は、スパム電子メールのメッセージにより広がったようです。この電子メールのメッセージには、イタリア、ハンガリー、ドイツ、米国テキサス州およびフロリダ州でトロイの木馬をホストしている、危険な Web サイトへのリンクが含まれており、.com ファイル拡張子の付いたファイル(irs-pdf-f941.irs.com、report6.com、details.com など)として送信されます。これは、ファイル名を Web サイトへのリンクに見えるようにすることで、無防備なユーザーをだましてマルウェアを実行させる、よくあるソーシャルエンジニアリングの手法です。

Infostealer.Nimkey が実行されると、米国国税庁発行の「Form 941 for 2010: Employer's QUARTERLY Federal Tax Return」の PDF(http://www.irs.gov/pub/irs-pdf/f941.pdf)がダウンロードされて表示されます。これは、マルウェアが処理を始める間ユーザーの気をそらすために用いられているもう 1 つのソーシャルエンジニアリングの手法です。

ユーザーの気をそらしている間、トロイの木馬はポーランド、モルドバ、またはボスニアにある Web サイトから別のマルウェアファイルをダウンロードします。ダウンロードされたファイルの 1 つが「alg.exe」という名前で保存されます。もう 1 つのファイルは「AcroIEHelper.dll」という名前のブラウザヘルパーオブジェクトです。AcroIEHelper.dll は、Internet Explorer を起動するとアクティブになり、そのブラウザでアクセスした URL を記録して、この情報を中国のサーバーに送信します。

alg.exe コンポーネントは、「Cert_*.p12」というファイルを検索します(これらのファイルは、前述の PKCS#12 証明書です)。秘密キーはパスフレーズで暗号化されているため、Infostealer.Nimkey にはキーストロークだけでなく Windows クリップボードのデータもキャプチャする組み込みのキーロガーが装備されています。その後、盗んだ証明書、キーストローク、および Windows クリップボードのデータを HTTP 経由でサーバーに送ります。詳細は、Infostealer.Nimkey に関する記事を参照してください。

この脅威には、秘密キー情報を盗むために必要なものすべてが備わっています。この情報を入手すれば、だれでも信頼できるソフトウェアベンダーの署名で自分のファイルにデジタル署名できます。もしかすると、次の大きなトロイの木馬にデジタル署名するのはあなたの会社かもしれません。

デジタル証明書の秘密キーを盗む脅威は増えているため、署名されたマルウェアはますます増えていくと思われます。残念ながら、これはデジタル署名の信頼性を下げることにつながります。秘密キーのセキュリティ侵害が懸念される場合は、プロバイダに問い合わせてサポートを受けてください。