Malwarebytesは3月15日(米国時間)、「Stolen Nvidia certificates used to sign malware — here's what to do|Malwarebytes Labs」において、先日NVIDIAから窃取されたコード署名証明書がマルウェアの署名に悪用されていると指摘した。NVIDIAはランサムウェアグループ「LAPSUS$」のサイバー攻撃を受けてデータ流出が発生しており、そのデータに含まれていた2つのコード署名証明書がマルウェアの署名に悪用されているという。
-
Stolen Nvidia certificates used to sign malware — here's what to do|Malwarebytes Labs
流出したとされる2つのコード署名証明書は有効期限が2011年~2014年および2015年~2018年で、有効期限は既に切れている。しかし、Microsoftは有効期限が切れたドライバを使えなくするといったことはしていない。これはシステムが動作しなくなるのを防止するためだが、信頼できない証明書が追加できるルートにもなっている。
Malwarebytesは該当する証明書が自分のシステムにあるかどうかを確認したい場合、シリアル番号を比較すればよいと説明している。流出した証明書のシリアル番号は次のとおり。
- 43BB437D609866286DD839E1D00309F5
- 14781bc862e8dc503a559346f5dcc518
Malwarebytesは、正規のNVIDIAドライバの動作を止めてしまう可能性があることから、MicrosoftがWindowsに対して失効を認識させることに消極的な態度を取る可能性を示唆している。Microsoftが何らかの対応を取るまでは、流出した証明書を悪用して署名されたドライバがロードされる危険性があるとされており注意が必要。
