Peter Kneffel/picture alliance via Getty Images
Peter Kneffel/picture alliance via Getty Images

マイクロソフトは、ソフトウェアの改ざんやなりすましを排除し、ユーザーにそのソフトウェアが正規のものであることを証明するため、コード署名を提供しています。

ところがBleepingComputerによると、マイクロソフトはrootkitと呼ばれる、侵入後にそのコンピューターのroot権限を奪ってあれこれ好き勝手するためのツール群を含むサードパーティ製のWindows用ドライバーソフト”Netfilter”に署名をつけていた模様です。

これを最初に発見したのはセキュリティ研究者のKarsten Hahn氏で、数日前にそのドライバーが中国のマルウェア用C&C(command & control)サーバーに接続しているにもかかわらず、マイクロソフトのWindowsハードウェア互換性プログラム(WHCP)のチェックを素通りしていることを指摘していました

なぜこのようなことになったのかは不明ですが、マイクロソフトは直ちに問題を調査し、署名のプロセスやサードパーティのアクセスに関するポリシー、検証を"改良する"と述べました。なお、マイクロソフトはこの問題が敵対国の支援を得たハッカーグループの関わるものとは考えていないとしています。

すでに問題のドライバーのメーカーであるNingbo Zhuo Zhi Innovation Network Technologyはセキュリティホールを洗い出し、影響を受けるソフトウェアを含め修正パッチをリリース済み。ユーザーはWindows Updateを通じてそれを適用できるので、Windowsを最新の状態にすれば問題はなさそうです。

Microsoftの説明によると、Netfilterはゲーム向けのソフトウェアなので、企業の環境でそれがインストールされることは殆どないとのこと。またドライバーのインストールには管理者権限が必要なため、企業でもIT管理者が意図的に導入しない限りは驚異にはならないとされています。

ただ、署名付きドライバーにrootkitが含まれていたという事実は、署名の信頼性を覆す出来事であり、もし発覚していないだけで他にも同様の事例があったりすれば、ユーザーはコンピューターへの新しいドライバーのインストールを今までよりも慎重にしなければならなくなるかもしれません。

Source:Microsoft

via:Bleeping Computer