NVIDIAから署名付き証明書データが流出しNVIDIA製ドライバーになりすましたマルウェアが複数登場

NVIDIAはハッカーグループの攻撃によって機密情報を盗み出されたことを2022年3月1日に発表しており、盗み出したデータを人質に仮想通貨での身代金支払いやマイニング性能制限の撤廃などを要求されていることが報じられています。新たに、盗まれたデータの中にNVIDIAのコード署名証明書が含まれていたことが判明し、証明書を悪用してNVIDIA製ドライバーになりすましたマルウェアの存在も複数報告されています。

Malware now using NVIDIA's stolen code signing certificates
https://www.bleepingcomputer.com/news/security/malware-now-using-nvidias-stolen-code-signing-certificates/

NVIDIAは2022年3月1日に「私たちは脅威アクターが従業員の資格情報と一部のNVIDIAの機密情報を取得し、オンラインでリークし始めたことを認識しています」と述べ、サイバー攻撃の被害を発表しました。この攻撃は南米を中心に活動するハッカーグループ「LAPSUS$」によるもので、LAPSUS$は「製品の回路図」「ドライバー」「ファームウェア」「文書」「内部ツール」「ソフトウェア開発キット(SDK)」「NVIDIA製GPUに組み込まれているマイクロコントローラーの『Falcon』に関する全ての情報」を含む合計1TBのデータを盗んだと主張。NVIDIAに対して「仮想通貨での身代金支払い」「Windows・macOS・Linux向けGPUドライバーのオープンソース化」「マイニング性能制限機能『Lite Hash Rate(LHR)』の撤廃」を要求しています。

NVIDIAが機密情報をハッキンググループに盗まれたことを認める、「GPUのマイニング制限を撤廃しろ」との脅しも - GIGAZINE

そして2022年3月4日には、セキュリティ研究者のBill Demirkapi氏が流出データの中にWindows向けドライバーの署名に利用可能なコード署名証明書が2つ含まれていたことを明らかにしました。

上記のコード署名証明書はどちらも有効期限が切れていますが、Windowsはコード署名証明書の有効期限が切れていてもドライバーのインストールを許可するとのこと。このため、攻撃者が流出したコード署名証明書をマルウェアに付与した場合、WindowsはマルウェアをNVIDIA製ドライバーと認識してインストールしてしまいます。

流出したコード署名証明書を利用した攻撃はすでに複数報告されています。例えば、ウイルスチェックサービスのVirusTotalに登録された以下のマルウェアの詳細ページには、署名者としてNVIDIAの名前が記されています。

Microsoftでセキュリティ＆エンタープライズ担当ヴァイスプレジデントを務めるデイヴィッド・ウェストン氏は、NVIDIAになりすましたマルウェアの攻撃を防ぐためにWindows Defender Application Control(WDAC)を利用して任意のドライバーをブロックしたり、特定のバージョンのNVIDIAの証明書を許可したりといった対策を推奨しています。

しかし、セキュリティ関連メディアのBleeping Computerは、一般的なWindowsユーザーにとってWDACの設定が困難であると指摘し、流出したコード署名証明書がWindowsの失効リストに登録されることを望んでいます。一方で、コード署名証明書が失効リストに登録されるとNVIDIAによって開発された本物のドライバーもブロックされてしまうことから、問題解決には時間がかかるとも推測しています。