コード署名されたマルウェアとは何ですか?またそれを回避する方法は何ですか?

コード署名は、オペレーティング システムとユーザーがソフトウェアの安全性を判断できるように、ソフトウェアに証明書ベースのデジタル署名を使用する方法です。適切なソフトウェアのみが、対応するデジタル署名を使用できます。

ユーザーはソフトウェアを安全にダウンロードしてインストールでき、開発者はコード署名によって製品の評判を保護できます。しかし、ハッカーやマルウェア配布者は、まさにそのシステムを使用して、ウイルス対策スイートやその他のセキュリティ プログラムを通じて悪意のあるコードを入手しています。では、コード署名されたマルウェアとは何ですか?また、どのように機能するのでしょうか?

• Windows 10 コンピューター上の悪意のあるソフトウェア (マルウェア) を完全に削除します
• 銀行口座に対する最も危険なマルウェアのトップ 10
• ポリモーフィック マルウェアおよびハイパーポリモーフィック マルウェアについて学ぶ

コード署名されたマルウェアとは何ですか?

ソフトウェアがデジタル署名されている場合、それは公式のデジタル署名があることを意味します。認証局は、ソフトウェアが合法で安全に使用できることを判断するために、ソフトウェアに証明書を発行します。

オペレーティング システムが証明書をチェックしてデジタル署名を検証するため、ユーザーは心配する必要はありません。たとえば、Windows は、ソフトウェアが正規であることを確認するために必要なすべての証明書を含む証明書チェーンを使用します。

証明書チェーンには、最終証明書によって識別されるエンティティを証明するために必要なすべての証明書が含まれています。実際、これは、端末証明書、中間 CA 証明書、およびチェーン内のすべての関係者によって信頼されるルート CA 証明書で構成されます。チェーン内の各中間 CA 証明書には、その 1 つ上のレベルの CA によって発行された証明書が含まれています。ルート CA はそれ自体の証明書を発行します。

システムが稼働したら、ソフトウェア、コード署名システム、および CA を信頼できます。マルウェアは悪意のあるソフトウェアであり、信頼されておらず、認証局やコード署名にアクセスできません。

ハッカーが認証局から証明書を盗む

ウイルス対策ソフトウェアは、システムに悪影響を与えるため、マルウェアが悪意のあるものであることを認識します。これにより警告がトリガーされ、ユーザーは問題を報告し、ウイルス対策ソフトウェアは同じウイルス対策エンジンを使用して他のコンピューターを保護するマルウェア シグネチャを作成できます。

ただし、マルウェア作成者が公式のデジタル署名を使用してマルウェアに署名できれば、上記のプロセスは発生しません。代わりに、ウイルス対策ソフトウェアとオペレーティング システムが危険なものを検出しないため、コードで署名されたマルウェアが正規のルートを通じてシステムに侵入する可能性があります。

トレンドマイクロの調査によると、マルウェア市場全体が、コード署名されたマルウェアの開発と配布のサポートに焦点を当てています。マルウェアオペレーターは、悪意のあるコードの署名に使用される有効な証明書にアクセスできます。以下の表は、2018 年 4 月以降、コード署名を使用してウイルス対策ソフトウェアを回避するマルウェアの量を示しています。

トレンドマイクロの調査では、マルウェアの約 66% がデジタル署名を持っていることも示しています。さらに、トロイの木馬、ドロッパー、ランサムウェアなど、複数のバージョンのデジタル署名を持つ特定の種類のマルウェアもいくつかあります。

コード署名デジタル証明書はどこから来たものですか?

マルウェアの配布者と開発者がコード署名されたマルウェアを作成するには 2 つの方法があります。彼らは、直接、または正規の組織を取得またはなりすまして、CA に証明書を要求することによって、認証局から証明書を盗みます。

ご覧のとおり、ハッカーの標的となるのは CA だけではありません。正規の証明書にアクセスできる配布者は、信頼できるデジタル署名付き証明書をマルウェア開発者や配布者に販売できます。

チェコ共和国のマサリク大学とメリーランド州サイバーセキュリティ センターのセキュリティ研究チームは、Microsoft Authenticode 証明書を匿名の購入者に販売している 4 つの組織を発見しました。マルウェア開発者が Microsoft Authenticode 証明書を取得すると、コード署名と証明書ベースの保護を通じて、あらゆるマルウェアに署名できます。

場合によっては、ハッカーは証明書を盗む代わりに、ソフトウェア ビルド サーバーに侵入します。新しいソフトウェア バージョンがリリースされると、そのバージョンには正規の証明書が付与され、ハッカーはこのプロセスを利用して悪意のあるコードを追加します。

コード署名されたマルウェアの例

では、コード署名されたマルウェアとはどのようなものなのでしょうか?以下に、このタイプのマルウェアの 3 つの例を示します。

• Stuxnet マルウェア: このマルウェアは、盗まれた 2 つの証明書と 4 つのゼロデイ脆弱性を使用して、イランの核開発計画を破壊しました。これらの証明書は、JMicron と Realtek の 2 社から盗まれました。 Stuxnet は、すべてのドライバの検証を必要とする Windows の新しい導入要件を回避するために、盗んだ証明書を使用しました。
• Asus サーバー侵害: 2018 年 6 月から 11 月にかけて、企業がユーザーにソフトウェア アップデートをプッシュするために使用する Asus サーバーにハッカーが侵入しました。 Kaspersky Lab の調査によると、約 50 万台の Windows デバイスが、検出される前にこの悪意のあるアップデートを受信しました。これらのハッカーは、ソフトウェア サーバーがシステム アップデートを配布する前に、証明書を盗むことなく、マルウェアの正規の Asus デジタル証明書に署名します。
• Flame マルウェア:中東諸国をターゲットとする Flame モジュール マルウェアの亜種。不正に署名された証明書を使用して検出を回避します。 Flame 開発者は、弱い暗号化アルゴリズムを使用してコード署名デジタル証明書を偽装し、Microsoft が署名したかのように見せかけました。破壊的であることを目的とした Stuxnet とは異なり、Flame はスパイ ツールであり、PDF ファイル、AutoCAD ファイル、テキスト ファイル、その他の種類の重要な産業文書を検索します。

コード署名されたマルウェアを回避するにはどうすればよいですか?

このタイプのマルウェアはコード署名を使用してウイルス対策ソフトウェアやシステムによる検出を回避するため、コード署名されたマルウェアから保護することは非常に困難です。ウイルス対策ソフトウェアとシステムを常に更新することが不可欠です。不明なリンクをクリックしないようにし、リンクをたどる前にリンクの出所を注意深く確認してください。 「マルウェアによるリスクとその回避方法」の記事を参照してください。