2月下旬に初めて報じたNVIDIAへのハッキング攻撃の余波で、問題が浮上しつつあります。盗まれたとされる1TBのデータの中には、2つのコード署名証明書が含まれていました。このデータには、ハードウェアの回路図、ファームウェア、ドライバー、従業員情報などが漏洩していました。Bleeping Computerによると、これらの証明書がハッカーの手に渡った場合、脅威アクターがそれを転用して(マルウェア)ソフトウェアの署名に利用できる可能性があるという重大な問題が生じます。
これらの証明書が公開されたことによる危険性の証拠は、わずか数時間後に明らかになりました。セキュリティ研究者のフロリアン・ロス氏がTwitterで、実際に発見されたマルウェアへのリンクを提供しました。それらは、あたかも本物の、改変されていないNVIDIAのコードであるかのように署名されていました。もちろん、これらはマルウェア自体へのリンクではなく、マルウェアの存在を報告するウイルススキャンデータベースへのリンクでした。
多数のマルウェアが仕込まれたようで、現在では正規のNVIDIAコードとして認定されています。疑わしいパッケージの中には、Mimikatzに感染しているものが多く見られます。Mimikatzは、感染したコンピュータのメモリからパスワードやPINコードなどを抽出するプログラムです。
オンライン検出データベースのリストにある他の一般的な「Nvidia 署名」マルウェアは、ルートキット マルウェアである KDU と、機会があればシステムのコンピューティング リソースをこっそり消費しようとするソフトウェアである暗号通貨マイニング マルウェアでした。
Windows が期限切れの証明書を持つアプリのインストールをブロックしないのはなぜですか?
新たなマルウェアは、ファイルの開発者がNVIDIAであり、第三者によって改変されていないことを「証明」するためにデジタル署名されるようになりました。証明書の有効期限は、Windowsが場合によっては受け入れてしまうため、マルウェア作成者の欺瞞を特に妨げるものではありません。
興味深いことに、2014年に期限切れとなった証明書は、2つの漏洩の中で最も問題のある証明書です。これは、抜け穴があったために、実際に確認されたすべてのマルウェアで使用されていた証明書です。2015年、Microsoftは古いデバイスとの下位互換性を確保するため、2015年7月29日より前の証明書を持つドライバーの実行を意図的に許可しました。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
コンピュータ管理者は、Windows Defender アプリケーション制御ポリシーを使用して、不正な証明書で署名されたコードがマシン上で実行されないようにブロックし、読み込み可能なNVIDIAドライバを制御することができます。ただし、これは高度な設定プロセスであるため、Microsoftが盗まれた証明書を失効させるためのユーザー向けアップデートを提供することが期待されます。ただし、Microsoftによるこのような大規模な措置により、一部の古い正規のNVIDIAドライバがWindows 10および11で動作しなくなる可能性があります。
マーク・タイソンはトムズ・ハードウェアのニュース編集者です。ビジネスや半導体設計から、理性の限界に迫る製品まで、PCテクノロジーのあらゆる分野を網羅的にカバーすることに情熱を注いでいます。
