「偽のコードサイニング証明書の利用増大について」

www.recordedfuture.com

近年（2015年以降）、偽のコードサイニング証明書が使われることが増えているそうです。使用自体はイランの核施設に影響を与えたStuxnetなどでもみられますが、これは米国とイスラエルの諜報部門によるものとされるコストをあまり問わないもので、一般のマルウェアとは全く違うと考えるべきでしょう。

この傾向と背景についてのRecorded Futureの調査結果が冒頭記事となります。

偽の証明書というと、既存企業に侵入、窃取するなどのクラック的なものが想像されがちですが、この調査結果によれば、実際の偽証明書の多くは販売されたものです。アングラ掲示板などでは、2015年以降、そういった証明書の発行が広告されています。

そして、ここで販売されるものはComodoやThawte、Symantecなどが発行する正式かつ個別のものです。

こういった販売業者は片手で数える程度は存在することが確認されており、互いに競争関係にあります。

ちなみにRecorded Futureからのインタビューに答える業者もいて、その業者が言うには、半年で60件を販売したことがあるそうです。ちなみにお値段は1000ドル以下程度なので、60件だと6万ドル（700万円程度）ですが、さまざまなリスクを考慮すると、年間1500万円の売上が「いい商売」といえるかは疑問を感じます。

現状での証明書の価格は、EV証明書の有無などにもより変動し、295～1799ドルとなっています。

ところで、これらの証明書はSymantecなど正規の販社から発行されているわけですが、発行先も、実在の企業だそうです（アングラ業者とのやり取りの中で出てきた情報）。Recorded Futureでは、これらの実在の企業は、偽証明書に自らの情報が使われていることは認識していないだろうと考えています。証明書の発行元が申請の住所や電話番号について、実際の発行にあわせた確認をしていないのか、それとも何らかの手段で確認をごまかしているのかは不明です。

なお、偽証明書の効力ですが、遠隔操作マルウェアで試したところ、アンチウイルス製品の検出確率が大幅に低下したと書かれています。ブラウザでのダウンロード時も警告されにくくなるため、侵入確率が高まるのは間違いありません（ただしChromeだと他ブラウザよりも異常を検出する確率が高いそうです）。