【セキュリティ】デジタル署名への過信は禁物、「署名付きウイルス」が多数出現（10/06/23）

　フィンランドのセキュリティ企業エフセキュアは2010年6月21日、デジタル署名が付与されたウイルスを多数確認しているとして注意を
呼びかけた。プログラムの正当性を検証できるデジタル署名は有用だが、過信は禁物としている。

　デジタル署名とは、デジタルデータの作成者や完全性を証明するために付与されるデータのこと。通常、CAと呼ばれる第三者機関が、
審査をした上で付与する。このため、デジタル署名が付与されたプログラムは、付与されていないプログラムと比べて信頼性が高いと
考えられる。

　しかしながらエフセキュアでは、デジタル署名が付与されたウイルスを多数確認しているという。2010年5月時点で、2万3817件の
デジタル署名付きウイルスを確認。不審なプログラムについては、38万4935件にデジタル署名が付与されていたという。

　ウイルスにデジタル署名を付与する手口の一つは、正当なプログラムに付与された署名をコピーすること。この場合、デジタル署名は
付与されたプログラムには対応していないので、Windows Vistaや7で実行しようとすると、署名が無効であるとの警告が表示される。ただ、
ファイルのプロパティなどからは、署名が無効であることは分かりにくく、ユーザーや対策ソフトメーカーなどを欺くには“有効”な手口だという。

　そのほか、ソフトメーカーの開発環境にウイルスを感染させて、開発されるソフトウエアにウイルスを仕込む手口もある。この場合、
ソフトメーカー自身が「ウイルス感染ソフト」に対して、CAからデジタル署名を発行してもらうことになる。例としては、プログラム開発
ツール「Delphi」に感染するウイルスを使った手口が確認されている。

　デジタル署名には、不正が発覚した場合、CAが無効にできる仕組みがある。しかしながら、実際には適切に機能していないという。
エフセキュアのスタッフによれば、ウイルスに付与されているデジタル署名をCAに報告しても、なかなか対処してもらえないとする。

　同社では、デジタル署名の悪用は今後も続くと予測する。対策としては、ウイルス対策業界が連携して、不正なデジタル署名に関する
情報を交換したり、CAに報告したりする取り組みが必要だろうとしている。

http://itpro.nikkeibp.co.jp/article/NEWS/20100623/349488/

署名ってのはそもそも、その人が作ってから
改ざんされてないですよってことを証明するためのものなんだがな。

>>2
知らないなら黙ってればいいのに

>>3
お前がな

どっちもどっちだな。

元々信じてねぇｗ

署名システムがそもそも機能してねぇし

配布しているプログラム自身は一見汚染されていないし悪いことする部分が
無いように見えても、そのプログラム自身がどこかとネットで通信して
悪いことするモジュールをダウンロードしてきて、実行時に装着して
暴れれば、意味がない。
そのてのバックドアが仕掛けてないことを保証するのは大変。

デジタル署名は作者が作成したものであることを保証するだけであって、
そもそも作者に悪意がある場合・作者が信頼できない場合は無意味。

そりゃそーだ。市マンテックとかﾊﾞｽﾀｰとか

正規のソフトでＰＣが起動不能、修理不能、再インストールとかありえないぞ。

GoggleとかYaheeみたいな署名だとなんか騙されそうだな。

もうｳｲﾙｽ進化しすぎで気にしても意味無い気がしてきた

俺のXPたんがピンチということか

デジタル署名の過信とか言っているけど、
これ根本的な問題は、「CAと呼ばれる第三者機関の審査」を
過信するなって事だよ。

審査する側の人間が信用ならんから
こんなことになっている。

むしろ配布するメーカーなどのサイト側が一番信用ならんな
しょっちゅうユーザーに内緒で中身をころころ替えて"無かった事"にするし

信頼と信用の違い

不正でCAが無効にするといっても
オレオレ証明書とかオレオレ署名とか自分で作れるしなあ

http://sports2.2ch.net/test/read.cgi/operatex/1278389015/

612 ：動け動けウゴウゴ２ちゃんねる ：10/07/08 10:32 ID:uOL2RmHE
よろしくおねがいします

【スレのURL】 http://pc11.2ch.net/test/read.cgi/pcnews/1277304721/
【名前欄】
【メール欄】 sage
【本文】↓
不正でCAが無効にするといっても
オレオレ証明書とかオレオレ署名とか自分で作れるしなあ

デジタル署名は安全！(ｷﾘｯ　とか言っちゃってる人に限って思考の欠如つーか
簡単にオレオレ詐欺やフィッシング詐欺に引っ掛かっちゃうんだよね

>>17-18
巻き込まれ規制大変ｽなぁ
俺もちょくちょく代行して貰ってるからその大変さが身に沁みてわかるわー

現状のWEB配布されてるデジタル署名付きアーカイブなんて
家で例えると玄関に鍵を3つ４つ付けて安心安全って言っておきながら窓全開で外出しちゃってるようなもんだ

10年前の化石時代ならまだしも現在の不正な署名利用を見る限り
ネット回線を介したアクチベーションタイプかハードを介したドングルタイプくらいじゃないと駄目だろ・・・

てゆうか完全に信用してたわ。デジタル署名orz

iOSなら大丈夫なのに
iOSでいこうよ

SIO？

デジタル署名とはなんだったのか

デジタル署名自体は問題ない。

問題はその署名を適当な審査で発行したり、
その署名の内容を調べようとしないこと。

人間は馬鹿だから適当な審査をする
人間は馬鹿だから書名の内容は調べない
人間は馬鹿だから馬鹿だから馬鹿だから…
馬鹿を前提に作るとシステムは破綻する
馬鹿は害悪
馬鹿は呪い
馬鹿は罪
大半の人間は知恵の木の実にありつけなかった

審査しないことまで審査対象と思い込む

何をどう審査したらウィルスにデジタル署名がつくんだ？

普通に本人確認を受けた配布者が署名すれば

いつまでも欠陥OSを使い続けてる馬鹿なドザーざまぁｗｗｗ
ｍ９

｢新聞はインテリが書き、やくざが売って、馬鹿が読む｣で例えると

｢署名ファイルはマが必死に書き、詐欺師が配って、馬鹿が使う｣

つまりこういうことですね

これって一般ユーザーには関係無い話？

>>32
署名の意味わかっていないバカ

署名があれば市販のアンチウィルスソフトでもスルーしちゃう場合があるってことか

デジタル署名(笑)

さぁCRCの時代に戻ろうか…

そんな時代ないから

そういやPGP暗号って最近とんと聞かなくなったな
なんで？

いまもあっちこっちで普通に使われとるがな
おまえらが知らんだけ

そのあちこちとは？

>>39
HTTPSって知ってるか？
PGPだぞ？

違う

>>41
おまえがそれを知ってどうする
さあ早くiPadの画面をスリスリする自慰行為に戻るんだ

誤魔化したか

そういえばPGPもVeriSignのPKIもSymantecに買収されたんだっけ

>>46
>PGPもVeriSignのPKIもSymantecに買収された

ｍｊｄ！！？？
よりにもよってあのシマンテックかよ…ｵﾜﾀ

ガキばっかｗ

もうこれはデジタル署名の構造的に仕方ないね
あとはアクチベーションタイプのデジタル署名を作るくらいかな
ただDRMみたいな事になりそうですごく不安だけど

>>47
残念ながら真実

米Symantec、米PGPなど暗号化ベンダー2社を買収 - クラウド Watch
http://cloud.watch.impress.co.jp/epw/docs/news/20100506_365568.html
米Symantec、SSLやPKIなどVeriSignのセキュリティ事業を買収へ -INTERNET Watch
http://internet.watch.impress.co.jp/docs/news/20100520_368224.html

PGPもSSLもPKI(公開鍵基盤)も企業ユーズとしてかなり信頼出来なくなってるのが現状

goggle.com思い出すなｗ

>>50
そりゃおまえらみたいな馬鹿が世の中に溢れているからだ馬鹿

>>47
もし今回の署名付きウイルスの件(デジタル署名の信頼性への疑問)や
米PGP＆VeriSign買収に関する問題点に興味を持ったのなら↓の一読を奨めとく

Amazon.co.jp： セキュリティの神話: John Viega, 葛野 弘樹 (監訳), 夏目 大: 本
http://www.amazon.co.jp/dp/4873114519

執筆者がMcAfee(笑)関係者という事もあってアレだけど中身自体はかなり斬り込んでる
ここ半年間のセキュリテイに関する話題はほとんど先取り網羅してる
>>50の米Symantec社(笑)の悪行なんかにも敢えて企業名は出さず触れててイイ感じｗ
ただちょっと値が張るのでﾁﾗ見したいなら神保町の三省堂で立ち読み可能(もし地域が違ってたり現在置いて無かったらｽﾏﾝ)

こんなのもっと暗号強度高めればいいだけじゃん

また馬鹿が現れた。

デジタル署名まで信じられなくなったら俺らユーザーはどうやってバイナリィの潔白性を知ればいいの？
本格的にマズいよなコレ

>>49
つ　ガンブラー等のウィルス＆ハッキング

発電所のPCが標的？　Windows「ショートカットファイル」に脆弱性、侵入ソフトもすでに存在（RBB TODAY） - Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20100716-00000020-rbb-sci

> すでに、本脆弱性を使用した攻撃活動が確認されているとのこと。
>
> Realtek Semiconductor社のデジタル署名を使用（模倣）しようとするもので、
> Siemens WinCC SCADAシステム、もしくは製造業や発電所などの
> 大規模な分散システムのオペレーションをコントロールするマシンを標的とするようだ。



またデジタル署名のフィッシング系悪用事件きたよー＼(^o^)／

窓は糞だなｗ

これLinuxやUnix、それにもう使ってる人いないだろうけどMacにも関係あるで

>>59
なんでMacに関係があるの？

Apple社員が犯人だからだろ

ママン♪

MS信者がキチガイだと証明された

改竄されていないことを調べるのに使われる
一番初歩的なチェックの手法としてCRCやハッシュというのがあるが、

CRCやハッシュを元のものに維持したまま改竄するという手口もある。

だから本質的に意味はない。

家に入られないようにする手法として
鍵というものがあるが、

鍵を使わないで侵入するという手口がある。

だから本質的に意味は無い。

>>65

それは違うwww

家に入られないようにする手法として
鍵というものがあるが、

鍵を壊さないで侵入するという手口がある。

だから本質的に意味は無い。

これならいいだろ？

>>64
>　CRCやハッシュを元のものに維持したまま改竄するという手口もある。

ねーよ
CRCはともかくMD５や特にSHAについては机上の空論だろ？
手口と呼べるほど実用的じゃねーぞ

>>67
君は明日から、実社会で鍵をかけることをやめたまえ。
長期間にわたって実行したら、少しは何かを認めてやろう。

>>68
MD5はもう射程距離内に入っているから油断しないほうがいい

>>68
MD5 - Wikipedia
http://ja.wikipedia.org/wiki/MD5#.E5.AE.89.E5.85.A8.E6.80.A7

まぁまだ確かに実用的では無いか

こういうのってハッシュ関数をWEBサイトに文字や画像変換で明記しとくだけでかなり防げるんじゃ…？

生のHTTPは信用できない
コード署名を信用できないならHTTPSも信用できない
そもそも管理者のPCで改ざんされたら意味がない

>>73
つ　Web魚拓
つ　グーグルやヤフー、bingなどのキャッシュ

こういった複数の大手サイトのキャッシュまで同時に改竄出来るような超絶凄腕ハッカーはまずいないでしょ

改ざん後のサイトがキャッシュされるだけ

>>75
あ？何言ってるのこの馬鹿？

>>75
確かに累積収集タイプならその可能性はありえるね
でも世界各国の国立図書館などが行ってるWeb Archiveタイプサービスなどでも照合を行えば、
電子署名本来の安全性と合わせてかなりの安全性が保証されるのでは？

アーカイブサービスとどうやって安全に接続するつもり？

この記事でデジタル署名が信用できないケースは
ハッシュを取る時点で「ウイルス感染ソフト」なので
ウェブに上げると不正なハッシュがアーカイブに拡散する。

署名をコピーして改ざんするケースではユーザが警告を
無視しなければ有効。デジタル署名を信用すれば良い。

>>78
日本語でおｋ

>>79
ちょっと何言ってるかわからないですねー

>>80
わからない？
それは馬鹿だと認めているということか？

さすがに馬鹿を只で教育する金と時間はないなｗ

>>81
暇人だろ？
死ねよ

事実上セキュリティとは「馬鹿をどうするか」に尽きる
だから馬鹿だからと簡単に切り捨てることが出来ない
わが国の課題は馬鹿のレベルがどんどん下がっていること

【レス抽出】
対象スレ： 【セキュリティ】デジタル署名への過信は禁物、「署名付きウイルス」が多数出現（10/06/23）
キーワード： goggle

11 名前：名無しさん＠お腹いっぱい。　[]　投稿日：2010/07/06(火) 23:55:55 ID:lNPuqCtx
GoggleとかYaheeみたいな署名だとなんか騙されそうだな。

51 名前：名無しさん＠お腹いっぱい。　[sage]　投稿日：2010/07/14(水) 14:05:02 ID:???
goggle.com思い出すなｗ


抽出レス数：2


おまえらの記憶力なんてこんなものか

http://sgldwssr.hp.infoseek.co.jp/dsa.rb

124 名前：名刺は切らしておりまして[] 投稿日：2010/07/23(金) 10:12:48 ID:TMdh5XhZ
【解説】
・この脆弱性は現在サポート対象の全てのバージョンのWindowsに存在する
・イラン、インド、インドネシアの水力・電力インフラを特定的に攻撃するrootkitとして発見されたのが発端
・rootkitにはRealtec社の有効なデジタル証明書が付与されていた
・その後、JMicron Technology Corpの同様に有効な証明書が付いた亜種も発見された
・RealtecとJMicronはどちらも台湾のHsinchu Science and Industrial Parkに事務所がある
・証明書はどちらも盗まれたものだが、侵入が物理的なものか電子的なものかは不明
・有効な証明書があればWin7のUACをすり抜けて一般ユーザでrootkitインストール可能
→当初の攻撃はテロ組織または諜報機関によるものであることが濃厚

・その後、攻撃コード&ツールが広く公開されたため今後大量にウィルスが発生する見込み
・.LNK、PIFファイルだけではなくドキュメント(Office文書等）への埋め込みも可能であることが発覚
→★　現在は、Webサイト、メール添付等でダウンロードする全てのMS系ファイルが警戒対象　★

【対策】
・今のところレジストリ変更またはFix Itでショートカットのアイコン画像表示を停止するしかない
　下記サイトの"Fix It"ボタンを押す　（管理者権限必要）
http://support.microsoft.com/kb/2286198
　ただしこれをやるとデスクトップ、スタートメニュー、クイック起動のアイコンが全て白くなって識別不能
・アンチウィルスは基本的に事後対策なので初期攻撃は防げない
　ただ初期攻撃の対象となるような組織は日本ではこんなもんだろ
　- 独占技術（輸出禁止対象レベル）を持つ会社
　- 自衛隊

87 名前：名刺は切らしておりまして　[sage]　投稿日：2010/07/22(木) 14:51:38 ID:5WiUM5nf
ひょっとしてこの脆弱性は10年単位で放置されてたんじゃないか？


126 名前：名刺は切らしておりまして[] 投稿日：2010/07/23(金) 10:26:32 ID:TMdh5XhZ
>>87
放置ではなくMSが気づいてなかった
この手の攻撃はAPT (Advanced PersistentThreat: 高度かつ持続的な脅威)と呼ばれる
攻撃者の目的はできる限り気づかれず長期的に情報収集すること
そのために未公開の脆弱性を利用し、あまり派手にならないように対象から自分に情報送信させる

半年ぐらい前にGoogleやAdobeが中国から攻撃を受けたのもこれ
あれはIEの未発見の脆弱性を使って、社内ソース管理システムから製品ソースの収集を目的にしていた
GoogleがWindows使用禁止にするというのも過剰反応ではない

最近のこの手の話は技術屋レベルではなく、国際間情報戦のレベル

http://anchorage.2ch.net/test/read.cgi/bizplus/1279769374/132-

>>88
タイトルも書けよ

【OS】Windowsに新たな脆弱性、アイコンを表示するだけでウイルス感染 [10/07/20]
http://anchorage.2ch.net/test/read.cgi/bizplus/1279769374/

この問題って俺らにも関係ある？

「俺ら」ってどういうくくりなんだよ

なんでもOKをクリックする馬鹿には関係あるが、そうでない人にとっては当たり前のこと。

>>92って「*nLiteスレやHFSLIPスレで暴れている関西系の老害爺、お断り。」の人？ﾌﾟ

最近この署名偽装を使った手法あちこちで見るけど流行ってたのか

これXP以降はいずれMSからパッチが出るけど（多分8月の定例アップデートで優先度緊急で出る）、
2kは放置だよな。つうか重い腰上げて2kを捨てる事を本気で考えるレベルの深刻さ。

デジタル署名自体の信頼性を証明するデジタル署名が必要なのか
嫌な時代だ

windowsは危険すぎるｗ

tes

電子署名システムの崩壊って本来"緊急"クラスのニュースになって然るべきだと思うんだが…

マイクロソフトの圧力ぐらいわかれよ

マイクロソフトと関係ないだろ。頭悪いのか？

アップデートにデジタル署名を使っていない主流OSなんて聞いた事が無い

だから実はアップルの圧力とでもいうつもりか？

なんでもOKするユーザが最大の脆弱性。

デジタル署名がこの先生きのこるには