【緊急】マイクロソフトとNSAがWindows10に影響を与えるセキュリティバグを警告(パッチリリース済)

画像クレジット: Akos Stiller/Bloomberg / Getty Images

マイクロソフト は、Windows 10を実行している何億台ものコンピューターに影響を及ぼす、危険な脆弱性に対するセキュリティパッチをリリースした。

この脆弱性は、CryptoAPIという名で知られている、数十年前から存在するWindows暗号化コンポーネントの中で発見された。このコンポーネントはさまざまな機能を持っているが、その中の1つが、ソフトウェアが改ざんされていないことを証明するために、開発者がソフトウェアにデジタル署名を行う機能だ。しかし、今回発見されたバグによって、攻撃者は正当なソフトウェアを偽装することできるようになり、ランサムウェアなどの悪意のあるソフトウェアを、脆弱なコンピューター上で実行することが容易になる可能性がある。

「そうしたデジタル署名は信頼できる提供者からのもののように見えるため、ユーザーは、ファイルが悪意のあるものであることを知る手段はありません」とマイクロソフトは言う。

カーネギーメロン大学の脆弱性開示センターであるCERT-CCは、その勧告の中で、このバグはHTTPS(またはTLS)通信の傍受および変更にも使用できると述べている。

マイクロソフトは、このバグが攻撃者に積極的に悪用されていることを示す証拠は見つかっていないと述べた上で、バグを「重要」に分類した。

独立系セキュリティジャーナリストのブライアン・クレブス(Brian Krebs)氏が今回のバグの詳細を最初に報告した

国家安全保障局(NSA)は報告者たちとの電話を通して、この脆弱性の存在を確認し、Microsoftが修正を開発できるように詳細を引き継いだことを発表した。

わずか2年前、NSAはMicrosoftに見つけた欠陥を警告する代わりに、Windowsの脆弱性を見つけて利用することで、監視行為を行ったと批判された。同組織はその脆弱性を利用して、脆弱なコンピューターに密かにバックドアを設置する手段であるEternalBlueと言う名の攻撃手段を作成したのだ。しかし、この攻撃手段は後に流出し、多数のコンピューターにWannaCryランサムウェアを感染 させるために利用され、数百万ドル(数億円)単位の損害をもたらした。

NSAのサイバーセキュリティディレクターであるアン・ニューバーガー(Anne Neuberger)氏は、TechCrunchに対して、今回の脆弱性は発見されたあと、脆弱性エクイティプロセス(発見された欠陥をセキュリティ攻撃作戦のために使えるように残すべきか、あるいはベンダーに対して開示するべきかを決定するプロセス)を経たと語っている。バグがMicrosoftに報告される前に、NSAによって攻撃的な作戦に使用されたかどうかは不明だ。

「このような重大な脆弱性が、武器化されるのではなくベンダーに引き継がれたのは心強く感じます」

ニューバーガー氏は、攻撃者がバグを積極的に悪用しているのをNSAは確認していない、というマイクロソフトの調査結果を認めた。

元NSAハッカーであり、Rendition Infosecの創業者であるジェイク・ウィリアムス(Jake Williams)氏はTechCrunchに対して、この欠陥が「兵器化されずに」ベンダーに開示されたことは「心強い」ことだと語った。

「これは一般的なハッカーよりも、政府にとって使いやすいバグなのです」と彼は言う。「これは、ネットワークの中間でアクセスする人間にとって、理想的な攻撃手段となったことでしょう」。

マイクロソフトは、バグが悪用され脆弱なコンピューターたちが激しい攻撃に晒される恐れがあるため、火曜日の一般リリースに先立って、米国政府、軍事、その他の著名な企業に対して、Windows 10および(やはり影響を受ける)Windows Server 2016向けのパッチをリリースしたと言われている。

マイクロソフトは脆弱性の詳細に関して、その存在に気がつく企業がほとんどないように極めて厳しい管理を行ったと、情報筋はTechCrunchに語っている。政府のサイバーセキュリティアドバイザリーユニットである国土安全保障省国家保護・プログラム総局(CISA)など、マイクロソフト社外のほんの一部と、NSAだけが説明を受けたのだ。

CISAはまた、連邦機関に対して脆弱性に対するパッチを早急に適用するよう指示を出した。

ウィリアムス氏は、既に修正されたこの欠陥は、「エンドポイントのセキュリティ制御をいくつでもバイパスできる合鍵」のようなものだったとTechCrunchに語った。

熟練した攻撃者たちは、証明書を取得し盗むことによって、マルウェアを正当なソフトウェアとして偽装させることを、長年試みてきた。昨年攻撃者たちが、コンピューターメーカーAsus(エイスース)の所有する証明書を、ソフトウェア更新ツールのバックドアバージョンに署名するために盗んだ。このツールが会社のサーバーに投入されることで、結果として「数十万」ものAsusの顧客が危険にさらされた。

証明書が紛失または盗難に遭った場合には、それらを使用してアプリ作成者になりすまし、悪意のあるソフトウェアに署名して、元の開発者から提供されたもののように見せかけることができる。

セキュリティ会社CrowdStrikeの共同創業者兼最高技術責任者であるドミトリー・アルベロビッチ(Dmitri Alperovitch)氏は、そのツイートで、NSAが発見したバグは「深刻な問題」だと述べている。

「全員がパッチを当てなければなりません。待っていては駄目だ」と彼は述べている。

原文へ
(翻訳:sako)