編集部
Microsoftが2024年に開始したクラウドベースのコード署名プラットフォーム「Trusted Signing」がサイバー攻撃者によって悪用されていることが判明した。攻撃者は有効期限がわずか3日の短期証明書を利用し、「Lumma Stealer」などのマルウェアに正規の証明書を付与することで、セキュリティ検知を回避する手口を採用している。
Microsoftは悪用防止策として、法人には3年以上の事業実績を条件に証明書を発行する一方で、個人は容易に自身の名前で署名が可能となっている。専門家は、攻撃者がEV(Extended Validation)証明書よりも手続きの容易なMicrosoftの証明書へ移行していると指摘しており、利便性が裏目に出た格好となった。
Microsoft「Trusted Signing」サービスが悪用される背景とは
Microsoftが2024年より提供を開始した「Trusted Signing」は、開発者が手軽にソフトウェアにコード署名を行えるクラウドベースのサービスである。同サービスでは、「Microsoft ID Verified CS EOC CA 01」によって発行される有効期限3日間の短命なコード署名証明書を利用することが特徴である。攻撃者たちはこの証明書を利用し、「Crazy Evil Traffers」の暗号通貨窃盗キャンペーンや、「Lumma Stealer」といったマルウェアに署名していることがBleepingComputerなどにより報告されている。
本来、署名済みの実行ファイルはセキュリティ対策ソフトやブラウザのフィルターにおいて信頼性が高いと判断され、MicrosoftのSmartScreen警告も回避しやすくなる。特にEV(Extended Validation)証明書は厳しい審査を経て発行されるため、最高の信頼性を得られるが、入手が難しくコストもかかる。それに対してMicrosoftのTrusted Signingは月額9.99ドルで簡単に署名が可能となるため、悪意あるユーザーにとって魅力的な手段となった。
Microsoft側は、サービス悪用を防ぐために法人利用者には3年以上の事業実績を要求しているが、個人は自らの名前で簡単に登録ができる状況だ。こうした容易なプロセスが逆に攻撃者を引き付ける一因になったとも考えられる。
短期証明書という仕組みが攻撃者にもたらすメリットと課題
Microsoftが採用する短期証明書は、通常3日間で失効することが特徴である。攻撃者がこれを利用する最大の利点は、短期間とはいえ有効期間中の証明書によって署名された実行ファイルが長期的に有効とみなされることだ。Microsoft側で明確に取り消し処理が行われない限り、一度署名されたマルウェアは、署名の有効期間が過ぎた後も信頼性が維持されるという問題がある。
さらに、従来のEV証明書取得は複雑であり、攻撃者が盗用した場合にも速やかな無効化が容易だった。短期証明書は取得が容易であるが故に発行件数も多くなり、監視が難しい側面も指摘できる。一方でMicrosoftは、サービスの安全性を確保するため、脅威インテリジェンス監視を活用し、悪用が発覚した証明書は速やかに失効させているとしている。
実際、BleepingComputerがMicrosoftに問い合わせた際、同社はすでに指摘されたマルウェアを検知済みで、関連する証明書の取り消しおよびアカウントの停止処置を済ませていると説明している。短期証明書の導入は利便性とセキュリティの両立を目指した試みであるが、そのバランスの難しさが露呈した形となった。
コード署名の信頼性を保つために必要なユーザーの意識改革
今回の問題は、Microsoftの「Trusted Signing」サービスに限らず、コード署名そのものの信頼性に対するユーザーの認識にも警鐘を鳴らす出来事と言える。署名済みのソフトウェアが必ずしも安全であるとは限らず、攻撃者にとっても署名済みのファイルがフィルターを突破しやすいことが明確になった。Microsoftが提供する証明書という信頼性の高さを逆手にとった攻撃は、従来以上に巧妙化していると専門家も指摘している。
こうした状況下では、利用者自身が署名されたファイルの安全性を鵜呑みにせず、より積極的にファイルの出所や挙動を確認することが重要となる。MicrosoftのSmartScreenやアンチマルウェア製品も当然対策を進めているが、署名そのものが絶対的な保証ではないことを改めて認識する必要がある。
Microsoftが悪用防止に向けて法人利用条件を厳格化したように、個人レベルでも署名プロセスの透明性を求める姿勢が必要だ。安全なサービス利用には、発行元だけでなく受け手側の意識改革が欠かせないといえる。
Source:BleepingComputer