イラン国家系ハッカー、SSL.com証明書を利用してマルウェアに署名

読了時間：6分

出典：Stu Gray（Alamyストックフォト経由）

新種のマルウェアは現在でも検出が難しいですが、有効なデジタル証明書で署名された悪意のあるコードはさらに阻止が困難です。

これは、イランのサイバー諜報グループに関連付けられた複数のマルウェア亜種に当てはまります。このグループはUNC1549（別名Subtle Snail、Nimbus Manticore、Smoke Sandstorm、Tortoiseshell）として追跡されており、悪名高いCharming Kitten高度持続的脅威（APT）にも関連しています。Check Point SoftwareとProdaftの研究者によると、UNC1549はヒューストンに拠点を置く認証局（CA）であるSSL.comのデジタル証明書を使用し、欧州の組織を標的とした新たなバックドアや情報窃取型バイナリを展開しています。

SSL.comの証明書を利用することで、悪意のあるコードは正規のソフトウェアプログラムのように見えました。「これにより検出率が大幅に低下し、多くのサンプルが複数のマルウェアエンジンで検出されないままでした」とCheck Pointはレポートで述べています。

つまり、多くのアンチマルウェアや脅威検出プラットフォームは、正規のデジタル証明書を持つUNC1549のマルウェアを見逃す可能性があります。デジタル証明書はソフトウェアやドメイン、ユーザーIDなどの信頼性を保証するために使用されます。UNC1549の最近の攻撃は欧州組織に集中していますが、署名付きマルウェアはどのネットワークにとっても検出上の課題と重大なリスクをもたらします。

SSL.comのような公開鍵基盤（PKI）分野の企業は、CA/Browser Forumのベースライン要件に従う義務があります。これらは証明書が不正に発行されたり、認可されていない当事者に購入されたりするのを防ぐためのものです。しかし、SSL.comの場合、これらの要件の一部が守られていなかったようで、UNC1549が強力なツールを手に入れることを許してしまったと研究者は述べています。

Dark Readingは、複数のチャネルを通じてSSL.comにこの活動を報告し、コメントを求めました。最初に「Eva, SSL.comのAIエージェント」から問い合わせ内容を要約した返信がありましたが、質問には答えませんでした。追って再度問い合わせたところ、悪用された証明書に関するサポートチケットが発行され、その後「Joy」という別のSSL.com「担当者」（人間か別のAIエージェントかは不明）から、チケット対応について手伝えるかという連絡がありましたが、その後音沙汰がありませんでした。記事執筆時点で、広報担当者やコミュニケーション担当者との取材要請には回答がありません。

偽企業による有効証明書の取得

Prodaftの報告によると、UNC1549が使用したすべての悪意のあるバイナリは、オランダの企業Insight Digital B.V.に発行されたSSL.com証明書で署名されていました。UNC1549が他の攻撃で使用したマルウェアの分析では、スウェーデンに拠点を置くRGC Digital ABおよびSevenfeet Software ABという企業にも同様のコード署名証明書が発行されていたことが判明しました。

これらがUNC1549によってなりすまされた実在企業なのか、脅威アクターが作成した偽の企業なのかは不明です。Dark Readingが調査したところ、Insight DigitalとRGC Digitalのウェブサイトは、同じ「工事中」のストックアートを使った全く同じ簡素なデザインでした。3社ともウェブサイトに電話番号やメールアドレスはなく、連絡フォームのみが設置されています。

「脅威アクターは、SSL.comに非常に手ごろな価格を支払い、自分たちの悪意ある追加を加えたバイナリや正規のWindows DLLに署名し、ファイルを正規のものに見せかけています」とProdaftの研究者はレポートで述べています。

Prodaftの広報担当者はDark Readingに対し、SSL.comはUNC1549だけでなく他の脅威アクターにも頻繁に悪用されていると語りました。「他にも複数のグループがこのサービスを悪用しているのを確認しています」と述べ、先週の調査発表後にもUNC1549による新たな署名証明書が確認されたと付け加えました。

Check Pointは、この脅威グループが数か月にわたりCAの証明書を使用していることを突き止めました。「2025年のNimbus Manticoreマルウェアの追跡では、複数のデータソースに基づき、5月からSSL.comのコード署名を使い始めたと考えられます」とCheck Point Researchの脅威インテリジェンスグループマネージャー、Sergey Shykevich氏はDark Readingに語っています。

Shykevich氏によれば、SLL.comがさまざまな脅威グループにどれほど頻繁に悪用されているかを特定するのは難しいものの、イランの脅威グループVoid Manticoreに関連する破壊的なワイパー「DruidFly」も同CAの証明書で署名されていたと指摘します。また、最新のUNC1549活動で観測された4つのSSL.com証明書のうち3つは、現在も有効だと述べています。

悪用されたSLL.com証明書が警鐘を鳴らす

Check PointとProdaftの両者は、UNC1549の活動をSSL.comに直接報告していません。Prodaftは、悪意のあるバイナリをVirusTotalでフラグ付けし、広範なセキュリティコミュニティにリスクを知らせたと述べています。

デジタル証明書の悪用は、不正購入や元の所有者からの盗難を問わず、CAにとっては重大な緊急事態となります。前述のCA/Browser Forumのベースライン要件によれば、CAは悪用の証拠を得てから24時間以内に証明書を失効しなければならず、失効は証拠取得から5日以内に完了しなければなりません。

CAは通常、マルウェアのコード署名に使われた誤発行や盗難証明書に対して迅速に対応します——たとえそれが証明書に依存する正規顧客に混乱をもたらすことになってもです。繰り返しの誤発行や悪用問題に対するペナルティは厳しく、2017年にはGoogleがSymantec証明書の信頼を失効させると発表し、クラウド大手が3万件以上の誤発行証明書を発見したことで、サイバーセキュリティベンダーは同年にPKI事業をDigiCertに売却することになりました。

ベースライン要件には、証明書購入申請者の身元確認に関する詳細な規則が含まれており、偽の組織やなりすましによる不正購入を防ぐことが目的です。これには、申請者が完全修飾ドメイン名（FQDN）を管理していることの確認など、複数の審査・認証ステップが含まれます。

UNC1549が証明書購入時にSSL.comにどのような情報を提供したのか、その情報がどれほど説得力のあるものだったのかは不明です。しかし、Insight DigitalとRGC Digitalのウェブサイトの著しい類似性や連絡先情報の欠如は、CAにとって警戒すべきサインであるはずです。

署名付きマルウェアへの対策

デジタル証明書で署名されたマルウェアは検出が非常に困難ですが、企業のセキュリティチームが無防備というわけではありません。まず、Check Pointのレポートに記載された侵害指標（ファイルハッシュなど）を検出ルールに追加することで、有効な署名があってもUNC1549のマルウェアを検知できます。

次に、証明書のメタデータには悪意の可能性を示す特徴的なサインが存在します。昨年のRed Canaryのブログ記事では、ファイル名と署名者の不一致（例：Microsoftではない組織が署名したMicrosoft Teamsバイナリ）や、作成日時と署名日時が極端に近いファイルバージョン情報など、注目すべきポイントが紹介されています。

「もちろん、すべての新しいバイナリが悪意あるものとは限りませんが、最近の作成日時は悪意の兆候となる場合があり、特にMicrosoft Teamsのような確立されたアプリケーションのインストーラーを装っている場合は要注意です」と当時研究者は述べています。