Windows 10の脆弱性を諜報機関の「NSA」が報告したことを専門家が重視する理由とは?
by Rawpixel
Microsoftは2020年1月、Windows 10を実行する何億台ものPCに影響を与える危険な脆弱性を修正するため、セキュリティパッチを配布しました。Microsoftの報告によると、今回の脆弱性はCryptoAPIというWindowsのAPIで発見されたとのことですが、セキュリティ専門家らが特に「重要な点である」と指摘したのが、「脆弱性を報告したのがアメリカの諜報機関であるアメリカ国家安全保障局(NSA)だった」という点でした。
Microsoft patches Windows 10 after NSA finds vulnerability
https://www.cnbc.com/2020/01/14/microsoft-to-patch-windows-10-after-nsa-finds-vulnerability.html
Microsoft patches Windows 10 security flaw discovered by the NSA - The Verge
https://www.theverge.com/2020/1/14/21065563/microsoft-windows-security-flaw-nsa-patch-attribution-cryptography-update
Microsoft and NSA say a security bug affects millions of Windows 10 computers | TechCrunch
https://techcrunch.com/2020/01/14/microsoft-critical-certificates-bug/
CryptoAPIに含まれた機能の一つを使うと、開発者がソフトウェアにデジタル署名を行い、ソフトウェアが改ざんされていないことを証明できます。しかし、今回Microsoftによって発表されたCryptoAPIの脆弱性を用いた場合、ソフトウェアやファイルを含むコンテンツのデジタル署名を偽装し、危険なコンテンツを安全であるかのように見せかけることができるとのこと。
Microsoftは、「デジタル署名が信頼できるプロバイダーによるもののように見えてしまうため、ファイルが悪意のあるものであるとユーザーが知る方法はありません」と述べ、脆弱性を突くことでランサムウェアのような悪意のあるソフトウェアを脆弱なコンピューターで実行しやすくなる可能性があると指摘。カーネギーメロン大学が運営する脆弱性開示センターのCERT-CCは、今回の脆弱性に関する勧告において、「この脆弱性を悪用することにより、HTTPSまたはTLS通信の傍受や変更が可能になる場合がある」と指摘しました。
by BrianAJackson
その一方で、セキュリティ専門家らは今回の脆弱性発見に関して、別の側面からも注目しています。サイバーセキュリティ企業のTenableで上級研究エンジニアを務めるSatnam Narang氏は、「一般にこのような脆弱性の修正パッチは常に重要ですが、Microsoftに脆弱性を開示したのがNSAであるという点によって、さらに重要性が増しました」と述べました。
NSAは多額の資金を費やしてマルウェアやハッキングツールを開発していることが知られているほか、独自に発見した脆弱性を公開することなく、ゼロデイ攻撃を可能にするツールを作成していたことも判明しています。
NSAが他国のハッカーを追跡するために開発した数々のハッキングツールの存在が明らかに - GIGAZINE
by Ilya Pavlov
また、世界的に流行したランサムウェア「WannaCry」の拡散に、NSAが開発したEternalBlueという脆弱性攻撃ツールが使用されていたこともわかっており、NSAは強い非難を浴びました。
ランサムウェア「WannaCry」を拡散させた攻撃ツール「EternalBlue」は順調に拡散している - GIGAZINE
by Laurent Peignault
NSAがMicrosoftに対して発見した脆弱性を報告したという今回の事例は、「発見した脆弱性を隠し、自分たちの活動に使用する」という過去の方針から、NSAが脱却を図ったものだとみられています。元NSAのハッカーであるJake Williams氏は、「このバグは一般的なハッカーよりも政府機関にとって使いやすいバグといえます。中間者攻撃を行うための理想的な脆弱性でした」と主張し、発見した脆弱性が武器化されるのではなく、Microsoftと共有されたことを歓迎しています。
今回の脆弱性がNSAによって発見されてから、実際にMicrosoftへ通知されるまでどれほどの期間があったのかは明らかになっていませんが、MicrosoftはCNBCに対して「実際に脆弱性が悪用されたことはない」とコメントしたそうです。
政府機関が企業に対して脆弱性を報告する事例は今回が初めてではないものの、脆弱性レポートがNSAに帰属することを認めたのは今回が初めてだとのこと。セキュリティレポーターのBrian Krebs氏は今回のNSAとMicrosoftの連携について、「NSAの研究をソフトウェアベンダーや一般の人々にとって利用可能なものにする」という、新たなイニシアチブの一部だと主張しました。
Sources say this disclosure from NSA is planned to be the first of many as part of a new initiative at NSA dubbed "Turn a New Leaf," aimed at making more of the agency's vulnerability research available to major software vendors and ultimately to the public.
— briankrebs (@briankrebs)
なお、NSAは独自に発表した(PDFファイル)勧告の中で、今回の脆弱性が非常に危険なものであると指摘。「この脆弱性により、Windows端末が広範な悪意あるベクトルにさらされるリスクがあります」と述べ、早急に修正パッチを当てるべきだと主張しています。
・関連記事
NSAが無料で独自開発の高機能リバースエンジニアリングツール「GHIDRA」を公開する予定 - GIGAZINE
NSAなどが市販セキュリティソフトをリバースエンジニアリングして諜報活動に役立てていたことが判明 - GIGAZINE
諜報機関のハッキングツールが敵のハッカーに分析され「再利用」されていたと判明 - GIGAZINE
ランサムウェア「WannaCry」を拡散させた攻撃ツール「EternalBlue」は順調に拡散している - GIGAZINE
NSAが他国のハッカーを追跡するために開発した数々のハッキングツールの存在が明らかに - GIGAZINE
NSAが国内最大手通信会社のネットワークを利用して極秘に情報収集を行っていたことが明らかに - GIGAZINE
サイバー攻撃のトレンドは50万台以上のPCが感染したNSA製ツールを悪用したマルウェア - GIGAZINE
今日は毎月恒例「Windows Update」の日 - GIGAZINE
・関連コンテンツ
