セキュリティ意識の高い組織はたいてい、ソフトウェアやファイルに関するセキュリティと真正性を強化するために、コードサイニングを利用しています。コードサイニングには一種のデジタル証明書を使います。これがコードサイニング証明書です。コードサイニングのプロセスでは、アプリケーションがそれに署名した組織のものであることを確認して、間違いなく正規のソフトウェアであるという真正性を検証します。コードサイニング証明書は、セキュリティ強化に有効ですが、思ってもいないところで長く存続し、攻撃グループの隠れ蓑になることもあります。Suckfly APT も、そうしたグループひとつです。
2015 年の終わりに、シマンテックはあるお客様に対して悪質なハッキングツールが使われる疑わしい活動を確認しました。通常であれば、セキュリティソフトウェアで容易に撃退できる低レベルの警告と見なされるところです。ところが、このとき見つかったハッキングツールには、同様のファイルにあまり見られない変わった特徴がありました。有効なコードサイニング証明書で署名されていたのです。ハッキングツールの多くは、とうてい道徳的とは言えない目的で作られ、無料で配布されているので、これを危険信号のきざしと考え、シマンテックはさらに調査を進めました。
調査を進めていくと、これが並みのハッキングツールより大規模であることがすぐにわかりました。シマンテックが発見した Suckfly は高度な脅威グループで、盗み出した複数の証明書に加え、ハッキングツールやカスタムマルウェアを使って標的型攻撃を展開しています。Suckfly は、攻撃前の準備段階で証明書を入手したうえで、政府機関や営利企業の多くを狙った標的型攻撃を開始し、攻撃はほぼ全世界で 2 年間続いています。この手の活動で、盗まれた証明書が悪用されることからも、証明書を保護して悪用を防ぐことがいかに重要かが、改めて裏付けられたと言えます。
貪欲にコードサイニング証明書を盗用
Suckfly は、たくさんのハッキングツールやマルウェアの亜種を自在に利用します。図 1 は、Suckfly が使うマルウェアやツールを機能ごとに分類し、それぞれで重複のないハッシュを使って署名されたファイルの数を示したものです。
図 1. Suckfly が用いるハッキングツールとマルウェア(機能別)
2015 年の終わりにシマンテックが初めて特定した署名付きのハッキングツールは、総当たりによるサーバーメッセージブロック(SMB)スキャナで、そこに電子署名がありました。この証明書を使っている企業は、韓国のモバイルソフトウェアメーカーです。ハッキングツールに署名があるということで当初から疑惑はありましたが、その署名がモバイルソフトウェアメーカーのものだとわかると、疑惑はさらに深まりました。これは、モバイルアプリケーションとはあまり関係のないソフトウェアだからです。
この発見に基づいて、シマンテックは韓国の同じモバイルソフトウェアメーカーの証明書を使って署名されているバイナリがほかにもないか調べ始めました。すると、この証明書で署名されたハッキングツールがさらに 3 つ見つかりました。盗まれた証明書を使って署名されているだけではありません。確認されたハッキングツールは、米国に本社がありインドで営業している医療プロバイダに対する怪しい活動に使われていました。この事実から、この証明書は正当な所有者によって誤用されているか、あるいは所有者から盗まれたのだと考えられます。シマンテックは証明書の所有者と協力し、ハッキングツールとはまったく無関係であることを確認しています。
グループの痕跡をさらにたどって、シマンテックは疑わしいトラフィックをその出どころまで突き止め、この攻撃者が同じインフラストラクチャを執拗に使っている証拠を探しました。その結果、Suckfly の活動は 3 つの IP アドレスから行われていることが判明します。3 ついずれも、中国の成都のアドレスでした。
成都から発信されるトラフィックのほか、盗み出された 9 つの証明書を使って署名されている一連のハッキングツールとマルウェアも見つかっています。
盗まれた 9 つの証明書は、すべて別々の会社のものでしたが、物理的な所在地は韓国ソウル市の中心部に集まっていました。これらの会社がある地区の地図を図 2 に示します。
図 2. ソウル市中心部の地図。証明書を盗まれた会社はすべてこの地域に集中している(地図データ © 2016 SK planet)
証明書が盗まれた正確な状況は不明ですが、社内の証明書を検索して取得するという機能を持ったマルウェアが各企業に侵入した可能性が最も高そうです。実際、この機能が広範囲のマルウェアに組み込まれていた例は、数年前に確認されたことがあります。
盗まれた証明書を所有していた企業は、4 つの業種に分かれています(図 3 を参照)。
図 3. 盗まれた証明書の業種別所有者
悪用のタイムライン
Suckfly が韓国の企業から証明書を盗み出した正確な日付はわかっていません。しかし、ハッキングツールやマルウェアに使われた証明書が最初に発見された日付を分析すると、いつ証明書が盗まれたか見極めることができます。図 4 に、盗まれた証明書が使われた回数を月別にまとめました。
図 4. 盗まれた証明書の Suckfly による悪用状況(月別)
盗まれた 9 つの証明書のうち、最初の 3 つが悪用されたのは、2014 年のはじめでした。2014 年を通じて使われたのはこの 3 つの証明書だけだったことから、他の 6 つは 2015 年に入ってから盗み出されたと考えられます。6 つの証明書がすべて悪用されるのは、2105 年になってからのことです。
図 4 に示したデータによると、最初に悪用された証明書は A 社(教育ソフトウェアメーカー)と B 社(ゲームメーカー #2)のものです。A 社の証明書は、2014 年 4 月から 2015 年 6 月まで 1 年以上にわたって使われ、B 社の証明書も 2014 年 7 月から 2015 年 6 月までほぼ 1 年間使われていました。シマンテックがこの活動を発見した時点では、両社とも証明書が盗み出されたことに気付いておらず、どのように使われていたかも知らなかったといいます。活動に気付いていなかったのですから、A 社も B 社も盗み出された証明書を無効化していませんでした。証明書が無効化されると、インストールを続行するかどうかという確認の前に、検証できないため証明書を信頼できないというメッセージが表示されるようになります。
署名、封印、拡散
すでに述べたように、シマンテックがこの調査で特定した証明書は、ハッキングツールとマルウェアのどちらの署名にも使われています。さらに分析を進めたところ、カスタムのバックドアらしいものも見つかりました。Suckfly は、サイバースパイ活動に利用することを特に目的としてこのバックドアを開発したとシマンテックは考えています。シマンテックは、この脅威を Backdoor.Nidiran として検出します。
Nidiran のサンプルを分析した結果、バックドアは 2014 年はじめから 3 回更新されていたことが判明しました。これは、図 4 に示したタイムラインとも合致します。変更点はわずかで、機能を追加し検出を避けるために実行されたようです。マルウェアはカスタムですが、攻撃に使われるのは、標準的なバックドア機能にすぎません。
Suckfly は、戦略的な Web 攻撃を通じて Nidiran を拡散します。具体的に言うと、Suckfly グループは特別に細工した Web ページを使って、「Microsoft Windows OLE に存在するリモートコード実行の脆弱性」(CVE-2014-6332)を突く悪用コードを拡散し、それが特定のバージョンの Microsoft Windows に影響します。この悪用コードは、被害を受けつつあるユーザーが Internet Explorer を使って悪質なページにアクセスしたときにトリガーされ、攻撃者は現在ログインしているユーザーと同じ権限でコードを実行できるようになります。
悪用に成功すると、自己解凍形式の実行可能ファイルを実行して、その内容が .tmp フォルダに解凍され、Nidiran が拡散されます。次に、svchost.exe が実行されます。これは PE ファイルで、本来は OLEVIEW.EXE として知られる正常なツールです。svchost.exe は、続いて iviewers.dll をロードしますが、これも通常は正常な正規のファイルです。攻撃者は正規の iviewers.dll ファイルに偽装した悪質なファイルを拡散したうえで、DLL ロードの乗っ取りを利用して悪質なコードを実行し、コンピュータに感染することが確認されています。この手口は、Korplug/Plug-x マルウェアに関係があり、中国を拠点とするサイバースパイ活動で頻繁に使われます。
コードサイニング証明書の需要増
証明書を収集する活動は Suckfly が最も活発なようですが、証明書を使ってマルウェアに署名する攻撃グループは Suckfly だけではありません。考えてみれば、世界初のサイバー兵器と見なされている Stuxnet は台湾の企業から盗まれた証明書を使って署名されていたのでした。Suckfly よりずっと以前のことです。そのほか、Black Vine や Hidden Lynx といったサイバースパイ集団も、盗み出した証明書を攻撃に使っています。
2013 年 4 月には、盗み出した証明書とカスタムマルウェアを攻撃活動に利用するサイバースパイ集団について、サードパーティベンダーからレポートが発行されました。このレポートでは、高度な脅威グループの活動拠点が中国にあると報告されています。追跡の結果、シマンテックはこの活動に関与しているグループを Blackfly と判定しました。Blackfly が使うマルウェアは Backdoor.Winnti として検出されます。
Blackfly の攻撃には、今回見つかった Suckfly による攻撃との共通点があります。Blackfly は、まず証明書を盗み出す活動から始め、次にそれを使って、標的型攻撃に用いるマルウェアに署名します。Blackfly が盗み出した証明書は韓国企業のもので、その中心はビデオゲームやソフトウェアの開発業でした。また、Suckfly は D 社(図 4 を参照)から証明書を盗み出していましたが、そのわずか 2 年前には、Blackfly が同じ会社から証明書を盗み出していたという符合もあります。盗まれた証明書は同じものではなく、事例としても異なりますが、どちらも中国から発信された標的型攻撃でカスタムマルウェアに使われた点が共通しています。
攻撃者がマルウェアに署名したがる理由
今回の調査からも、またシマンテックがこれまでに考察してきた他の攻撃を見ても、コードサイニング証明書を使ってマルウェアに署名する手口は一般的になりつつあります。攻撃者が手間と時間をかけて証明書を盗み出そうとするのは、狙ったコンピュータに足がかりを作るために、ますます必要になってきたからです。インターネットとセキュリティシステムが、信頼と評価を軸とするモデルに移行してきたからこそ、コードサイニング証明書でマルウェアに署名しようとする手口が広まってきたとも言えます。つまり、信頼されていないソフトウェアは、署名がなければ実行できない場合があるということです。
Mac OS X など一部のオペレーティングシステムは、有効な証明書を使って署名されている場合にのみ、信頼できるとみなしてアプリケーションを実行するようにデフォルトで設定されています。これは、Apple をめぐる脅威の環境を調査した最近のレポートでもシマンテックが指摘しているとおりです。
図 5. OS X は、信頼できるアプリケーションのみ実行を許可するように設定できる
ところが、評判の高い企業から盗み出した有効なコードサイニング証明書を使えば、攻撃者はその企業の信頼に便乗できるため、簡単に防御をすり抜け、狙ったコンピュータにアクセスできるようになります。
まとめ
Suckfly は、サイバー攻撃グループやサイバー犯罪者が今何に注目しているかを、浮き彫りにしました。シマンテックの調査で明らかになったように、コードサイニング証明書は、所有者がまったくあずかり知らぬところで、よくわからない不審な活動に関与している場合があります。証明書の所有者は、犯罪者の手に渡らないように証明書を厳重に監視する必要があるということです。悪用されないように、証明書に必要な保護対策をとることが重要です。
証明書の安全性は、企業がそれを保護している強度に比例します。ひとたび証明書が危殆化してしまうと、それに署名した企業の信用も失墜します。証明書を盗まれ、マルウェアの署名に悪用されてしまった企業は、常にその攻撃との関連を語られることになるでしょう。
シマンテックは、企業が盗み出された証明書を悪用され、悪質な活動との関係を非難されたりしないように、この種の攻撃を監視しています。この調査の過程でも、Suckfly によって危殆化された証明書がすべて無効化され、関連当事者に通知されたことをシマンテックは確認しました。
過去数年間でシマンテックは、コードサイニング証明書を盗み出す高度な脅威グループとサイバー犯罪集団を数多く発見してきました。高度な脅威を伴うあらゆるケースで、マルウェアを正規のファイルまたはアプリケーションに偽装するために証明書が使われています。
この傾向が広がれば、強力なサイバーセキュリティを日常的に維持し、証明書とそれに対応する鍵を安全な場所に保管することが、ますます重要になります。Symantec Extended Validatio(EV)Code Signing や Symantec Secure App Service などのサービスと暗号化を利用すれば、セキュリティをさらに強化することができます。
保護対策
シマンテックは、Suckfly グループのマルウェアに対する保護対策として、以下の検出定義ファイルを提供しています。
ウイルス対策
侵入防止システム
詳しい情報
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
【参考訳】