コードサイニング証明書を「不正入手」するオンラインサービスの人気は続くのか。
セキュリティソフトが、あるソフトウェアを「問題なし」又は「脅威」として判断する方法の1つに、ソフトウェアの「コードサイニング証明書」がある。
コードサイニング証明書はダークウェブを始めとする裏マーケットで取引されており、証明書を発行元となる機関や企業によって、非常に高値を付ける証明書もあるようだ。
コードサイニング証明書は、認証局から盗み出されたものであると長年信じられてきた。
ところが、Recorded Futureが発表した調査によると、闇取引されているコードサイニング証明書はハッキングによって漏洩したのではなく、不正に発行された証明書である可能性が高いようだ。
コードサイニング証明書の価値とは何か
コードサイニング証明書とは、プログラマーが自身が作成したプログラム、モジュール、ActiveXコントロール等に、自分自身が作成した事を示すデジタル署名の事である。
ソフトウェアを入手したユーザーは、コードサイニング証明書を参照する事で、ソフトウェアの配布元を認証する事が出来る。なりすましや改ざんが行われていないか等のサプライチェーン攻撃の対策にもなるのだ。
また、セキュリティソフトを使って顧客環境のプロセス監視を行ったり、マルウェア検体の解析を行うアナリストは、コードサイニング証明書を確認する。
つまり、正当なコードサイニング証明書をマルウェアに付ける事で、そのマルウェアがユーザーやアナリストの目を盗んでターゲットのシステムに侵入出来る可能性を上げられるのだ。
したがってコードサイニング証明書は、マルウェア配布者にとって非常に価値のあるものである事が分かる。
闇市場で出回る証明書の殆どが「不正入手」されたもの
これまで長い間、闇マーケットで出回るコードサイニング証明書は、攻撃者が認証局に何らかの方法でハッキングを行い、盗み出されたものであると信じられてきた。
しかしRecorded FutureのAndrei Barysevich氏の調査によれば、それら証明書は然るべき手順を踏んで正当なソフトウェアベンダ・作成者に対してユニークに発行されたものである可能性が高い事を指摘。
更にBarysevich氏の調査では、コードサイニング証明書の発行申請は、予め盗み出されたMicrosoftやAppleを始めとする正式なベンダに所属する社員の認証情報を使用して行われた可能性が高いとしている。
したがってマルウェアのコードサイニング証明書は、第三者が正当な企業・機関に所属する認証情報を用いて「不正入手」されたものと言えるのだ。
闇マーケットからコードサイニング証明書を入手する方法とは
Barysevich氏は自身の報告の中で、ダークウェブにコードサイニング証明書を販売するオンラインショップがある事を指摘。
コードサイニング証明書を取得したい顧客は、そのオンラインショップで注文をする。
するとオンラインショップの運営者は、予め確保した企業やその社員の認証情報を使用して、任意の認証局にいって偽物のソフトウェアに対するコードサイニング証明書を入手。
証明書を受け取った顧客は、自身の作成したマルウェアに証明書を付け自分で使用するか、「証明書チェックをくぐり抜けるマルウェア」として自らの顧客に対して販売を行うのだ。
また、Barysevich氏は以下のように語る。
ほぼ間違いなく「なりすまし」に加担させられている企業や社員は、このように違法取引に自身の認証情報が悪用されているに気づいていないであろう。
高価な為マルウェア作成者の多くは”敬遠しがち”
ここまで証明書に関して説明してきたが、”値の張る”証明書はさほど人気ではい。
実際に値段を見てみよう。
証明書を販売するオンラインショップでは、以下の有名な認証局から発行される証明書もサービスの一部に含んでいる。
- Comodo
- Thawte
- Symantec
(この記事ではコードサイニング証明書に絞って説明しているが、実はEV SSL証明書も販売されている。Recorded Futureより引用。)
見て分かる通り、購入価格は発行機関や証明書のタイプによって異なり、$299〜$1799と、証明書でも価格差が$1500もある。
この「値の張る」価格が、マルウェア開発者を遠ざけている原因である。
セキュリティソフトによる証明書チェックを避けてターゲット端末を感染させる方法には、ここから”正当な”証明書を購入する以外にも、比較的廉価なCrypter等のコード難読化ツールを使う方法があるからだ。
今後もこの高い値段を1つの原因として、多くのマルウェア開発者の間で人気が出るサービスとはならないであろう。
だが、可能な限りセキュリティソフトによる検知を逃れ、特定のターゲットに侵入する特別な目的を持つ攻撃者からしたらどんな手を使ってでも検知を避けたいと思うものである。
したがって、資金力のある攻撃者などからは、今後も証明書の購入は支持され続けるだろう。