Source: https://www.darkreading.com/vulnerabilities-threats/iranian-hackers-ssl-certificates-sign-malware
🛡 概要
最近のサイバー攻撃では、マルウェアが正当なデジタル証明書で署名されている場合、検出が難しくなります。イランのサイバー諜報グループUNC1549がこの手法を利用し、SSL.comの証明書を使ってヨーロッパの組織を標的とした新たなマルウェアを展開しています。この手法により、マルウェアが正当なソフトウェアのように見え、検出率が大幅に低下しています。
🔍 技術詳細
UNC1549は、SSL.comから発行された証明書を用いて、Insight Digital B.V.というオランダの企業名義でマルウェアに署名しています。Prodaftの調査によると、他にもRGC Digital ABやSevenfeet Software ABといったスウェーデンの企業名義で署名されたマルウェアも存在します。これらの企業が本物かどうかは不明ですが、いずれにせよ、正当な証明書を悪用することで、マルウェアの検出を回避しています。
⚠ 影響
マルウェアが正当なデジタル証明書で署名されているため、アンチマルウェアソフトウェアや脅威検出プラットフォームはこれらの攻撃を見逃す可能性があります。特に、UNC1549の最近の攻撃は主にヨーロッパの組織に焦点を当てていますが、署名されたマルウェアはどのネットワークにも深刻なリスクをもたらす可能性があります。SSL.comは、CA/Browser Forumの基準に従うべきですが、これらが遵守されていない場合、証明書の悪用が発生します。
🛠 対策
デジタル証明書の悪用に対する対策としては、CAによる迅速な証明書の取り消しが求められます。CA/Browser Forumの基準では、証明書の悪用が確認された場合、24時間以内に取り消し手続きが行われるべきです。企業は、信頼できる証明書の使用を監視し、異常な活動を早期に検出するためのシステムを導入することが重要です。また、ユーザーは、未知のソフトウェアをダウンロードする際には、常に注意を払うべきです。
