Microsoft は Flamer に関連してセキュリティアドバイザリ(2718704)を公開しました。Flamer では、コンポーネントの署名に Microsoft 提供の証明書が使われており、この証明書は信頼できる Microsoft Root Authority に連鎖しています。このため、これらの署名済みのコンポーネントは、あたかも Microsoft から提供されているように見えます。
Microsoft ターミナルサービス(またはリモートデスクトッププロトコル)を使うと、シンクライアントから Windows アプリケーションや Windows デスクトップ全体にアクセスできます。Microsoft は、ターミナルサービスライセンスサーバーで構成される、ターミナルサービス用のライセンス管理システムを提供しています。このサーバーは、クライアントにライセンスを提供し(クライアントアクセスライセンス)、環境内のクライアントに接続するためのライセンスを管理および強制する機能を企業に提供します。
ターミナルサービスライセンスサーバーを使用するには、最初に Microsoft に連絡してサーバーのライセンス認証を行う必要があります。Microsoft は、ライセンス認証の一環として、Microsoft がターミナルサービスライセンスサーバーの適切な所有権を個別に識別、検証できる証明書をターミナルサービスライセンスサーバーに発行します。これらの証明書は、Microsoft Enforced Licensing Intermediate PCA 証明機関に連鎖し、さらに Microsoft Root Authority に連鎖します。発行される証明書は限定的に使用されるものですが、これによりコード署名が不適切に許可されます。
Flamer は、このような証明書を使ってコードに署名して、Microsoft がコードを生成したように見せかけています。
シマンテックでは、セキュリティアドバイザリ(2718704)を確認して必要に応じてコンピュータを更新することをお勧めします。Microsoft では、3 つの証明書を信頼されていない証明書ストアに移動し、不適切に署名された実行可能ファイルを無効にすることも含めて、今回の更新でこの問題を修正済みです。
シマンテックは、Flamer コンポーネントを W32.Flamer として検出します。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。