Operaのデジタル証明書窃取、更新を装い不正プログラムをインストール（トレンドマイクロ）

トレンドマイクロは、Operaが攻撃者によって社内ネットワークのセキュリティが侵害され、期限が失効したデジタル証明書のコードが少なくともひとつ窃取された事件についてブログで解説している。

脆弱性と脅威脅威動向

2013.7.1 Mon 17:17

トレンドマイクロ株式会社は6月28日、Opera Software ASA（Opera）が攻撃者によって社内ネットワークのセキュリティが侵害され、期限が失効したデジタル証明書のコードが少なくともひとつ窃取された事件についてブログで解説している。Operaによると、この攻撃者は入手した証明書を自身が作成した不正プログラムの署名にも活用し、これにより標的とされたコンピュータやセキュリティ対策ソフトでさえも、この不正プログラムを正規のファイルと見なしてしまう偽装が可能になったと伝えている。

また、偽装された不正プログラムが、日本時間6月19日の10時から10時36分までの36分間、実際にOperaの自動更新機能を介して配布された事実を認めている。デジタル証明書の悪用に加え、Operaブラウザのような正規ソフトの自動更新機能で不正プログラムが配布されてしまったことは、セキュリティ対策を考える上でも大きな影響がある事例としている。トレンドマイクロでは、すでに問題の不正プログラムの検体「TSPY_FAREIT.ACU」を入手している。この不正プログラムは、Operaの期限切れデジタル証明書を表示し、Operaの更新版を装っていることが分かる。

TSPY_FAREIT.ACUが実行されると、特定のFTPクライアントまたはファイルマネージャから、ユーザ名やパスワード、サーバ名などといった重要な情報を収集する。さらに、ブラウザに保存されているSNSやオンライン銀行、電子商取引などのサイトで使用されるログイン認証情報も入手する。Operaでは今回の事例により、Operaブラウザのユーザに対して期限切れデジタル証明書を装った不正プログラムが自動的にインストールされたことについて、影響を受けるWindowsのユーザ数は、数千人に及ぶと推測している。

《吉澤亨史（ Kouji Yoshizawa ）》