DigiCertサポートポータルへの不正アクセス：コード署名証明書27件が盗難

DigiCertサポートポータルへの不正アクセス：コード署名証明書27件が盗難

インターネット上で最も信頼された認証局の一つで発生した侵害が、ソフトウェアサプライチェーンのセキュリティについて深刻な疑問を提起している。ソフトウェアやウェブサイトの正当性を検証するデジタル証明書の主要プロバイダーであるDigiCertは、攻撃者がソーシャルエンジニアリングを用いて2名のテクニカルサポート担当者を騙し、バックエンドシステムへのアクセスを取得してコード署名証明書27件を盗み出したことを認めた。それらの証明書は、DigiCertが失効処理を行う前にマルウェアへの署名に使用された。

この事件は、デジタルの信頼性を維持する責任を担う組織でさえ、人間を標的とした攻撃から無縁ではないことを改めて示している。

コード署名証明書とは何か、そしてなぜ重要なのか？

ソフトウェアをダウンロードする際、オペレーティングシステムは有効なデジタル署名が付与されているかどうかを確認することが多い。DigiCertのような信頼された認証局によって発行されたこの署名は、そのソフトウェアが正規のソースから提供されたものであり、改ざんされていないことを証明するためのものだ。これは、WindowsからmacOSに至るまで、現代のオペレーティングシステムが信頼できるソフトウェアと悪意のある偽物を見分けるための核心的な仕組みである。

攻撃者が正規のコード署名証明書を入手した場合、マルウェアを正当性という名の衣で包み込むことができる。セキュリティツール、オペレーティングシステムの警告、さらには一部の企業向けエンドポイント保護システムでさえ、署名済みソフトウェアをデフォルトで信頼できるものとして扱う可能性がある。署名・検証済みに見えるアプリケーションをダウンロードするユーザーには、何か問題があることを知らせる視覚的なシグナルが少なくなる。

今回のケースでは、盗まれた27件の証明書がマルウェアへの署名に実際に使用され、その後DigiCertが侵害を特定して失効処理を行った。失効処理は適切な対応ではあるが、即時の保護をもたらすわけではない。失効確認は常にリアルタイムで実施されるとは限らず、一部のシステムや設定では、以前は有効だった証明書がもはや信頼できないという事実をすぐに認識できない場合がある。

攻撃の手口：ヘルプデスクを標的にしたソーシャルエンジニアリング

アクセスを取得するために使用された手法には、十分な注意を払う価値がある。攻撃者はパッチ未適用のソフトウェア脆弱性を悪用したわけでも、ファイアウォールをブルートフォースで突破したわけでもない。彼らが標的にしたのは人間だった。2名のテクニカルサポート担当者がバックエンドシステムへのアクセスを提供するよう操作されたのであり、これはソーシャルエンジニアリングと広く呼ばれる手法だ。

ヘルプデスクやサポートスタッフがこのような形で標的にされることが多いのは、彼らの仕事が親切さと迅速な対応を求めるものだからだ。攻撃者はしばしば同僚、ベンダー、または緊急の社内要請を装い、サポートスタッフに通常の確認手順を省略させるよう圧力をかける。

この攻撃は、さまざまな業界の大手組織における侵害事例で繰り返し見られる確立されたパターンに従っている。教訓はDigiCertが特別に不注意だったということではない。標的の技術的防御がいかに高度であっても、ソーシャルエンジニアリングは依然として最も効果的な攻撃手段の一つであり続けているということだ。

あなたへの影響

セキュリティソフトウェア、VPNクライアント、またはインターネットから入手するあらゆるアプリケーションをダウンロードする場合、この事件はあなた個人のセキュリティ対策に直接関わる話だ。

第一に、公式かつ一次ソースからのみソフトウェアをダウンロードすることが、これまで以上に重要になっている。この侵害が示すように、証明書の署名は有用なシグナルではあるが、絶対確実ではない。ソースを独自に確認していない限り、サードパーティのアプリストア、ミラーサイト、またはソーシャルメディアやメールで共有されたリンクからのダウンロードは避けるべきだ。

第二に、オペレーティングシステムとセキュリティソフトウェアを最新の状態に保つことで、失効した証明書がデバイス上で無効として認識されるようになる。証明書失効リストおよびOCSP（Online Certificate Status Protocol）の更新は、システムおよびブラウザのアップデートを通じて配布される。古いシステムでは、すでに失効した証明書を引き続き信頼してしまう可能性がある。

第三に、特にVPNやセキュリティソフトウェアのユーザーは、インストールしたソフトウェアの入手元を定期的に確認し、ベンダーからセキュリティに関する通知が出ていないかどうかを確かめる価値がある。信頼性の高いベンダーであれば、ソフトウェア配布パイプラインに影響する問題を開示するはずだ。

組織にとってこの事件は、すべてのサポートおよび管理スタッフに多要素認証を義務付けること、アクセスを許可する前に厳格な確認手順を実施すること、そして機密性の高い証明書管理システムにアクセスできる従業員を監査することの必要性を改めて強調するものだ。

実践的なポイント

• ソフトウェアは公式ベンダーのウェブサイトからのみダウンロードする。 有名なアプリケーションであっても、サードパーティのダウンロードアグリゲーターは避けること。
• OSとブラウザを常に最新の状態に保つ。 失効データはアップデートを通じて配信される。古いシステムでは侵害された証明書を認識できない場合がある。
• ベンダーのセキュリティアドバイザリを確認する。 DigiCertが署名したソフトウェアを使用している場合は、ベンダーの公式セキュリティページにアクセスし、インストール済みのソフトウェアが影響を受けているかどうかを確認すること。
• 予期しないソフトウェアアップデートには懐疑的になる。 アプリケーションの更新を求める未承諾のプロンプトが表示された場合は、外部リンクをクリックするのではなく、アプリケーション自体を通じて確認すること。
• 組織は証明書トラストストアを監査すべきだ。 セキュリティチームは自社環境でどの証明書が信頼されているかを見直し、失効確認が確実に実施されるようにすべきだ。

DigiCertの対応、すなわち影響を受けた証明書の失効処理は、適切かつ当然の措置だ。しかし、より重要な教訓は、ソフトウェア配布を支える信頼のインフラが、技術的なプロセスと同様に人間のプロセスにも依存しているということだ。その信頼がどこから生まれ、どこで崩れる可能性があるかを理解することが、自分自身を守るうえでより有利な立場をもたらしてくれる。