不正侵入により期限切れのOperaのコードサイニング証明書が盗まれる、マルウェアの署名に悪用の可能性も(ソフォス)

　Webブラウザ「Opera」の開発元であるノルウェーOpera社は現地時間26日、同社のネットワークに不正侵入があったことを発表した。これについて、セキュリティ企業のソフォスが現状を分析し、より深刻な事態の可能性を指摘している。

脆弱性と脅威脅威動向

2013.7.2 Tue 8:00

　Webブラウザ「Opera」の開発元であるノルウェーOpera社は現地時間26日、同社のネットワークに不正侵入があったことを発表した。これについて、セキュリティ企業のソフォスが現状を分析し、より深刻な事態の可能性を指摘している。

　Opera社のセキュリティグループは26日、同社公式ブログに「Security breach stopped（セキュリティ侵害は止まった）」と題する記事を投稿。それによると6月19日、同社のネットワークインフラに標的型攻撃があったという。システムのクリーニングは完了しており、ユーザーのデータが漏洩した証拠は見つかっておらず、現在は捜査当局と連携し、攻撃元や攻撃の範囲について調査を行っているとした。また現在見つかっている証拠から、「影響は限定的になると思われる」とした。

　しかし「攻撃者は、古く期限切れのOperaのコードサイニング証明書の少なくとも1つを盗み出した可能性があり、これは、マルウェアの署名に悪用される場合があります」とも述べている。攻撃者がコードサイニング証明書を悪用すれば、Opera Softwareによって発行されたように見せかけた、あるいは、Operaブラウザを偽装した悪意のあるソフトウェアを配布することが可能だ。Oepraは、「6月19日午前1時～午前1時36分の間に、Operaを利用していた数千のWindowsユーザーには、悪意のあるソフトウェアが自動的に配布されインストールされた恐れがある」と言及。そこで同社では、同社では、新しいコードサイニング証明書を使用したOperaの新バージョンをリリースする予定だとしている。

　これに対し、ソフォスは「Security breach stopped（セキュリティ侵害は止まった）となっていますが、本当にそうでしょうか？」と疑問を投げかけている。署名され配布されたマルウェアがある以上、「Security breach not stopped（止めることのできなかったセキュリティ侵害）というタイトルの方が、より正確ではないでしょうか？」と指摘している。実際Opera社は、ソフォスの製品で「Mal/Zbot-FG」として検出されるマルウェアが配布されていたとしている。

　そのためソフォスでは、Operaユーザーに対し、最新版の導入とウイルス対策ソフトでのチェックを行うように呼びかけている。

Opera、不正アクセスによりコードサイニング証明書が盗難……ソフォスが状況分析

《冨岡晶@RBB TODAY》