Operaに不正アクセス、コードサイニング証明書悪用でマルウェア配布の恐れ：ウイルス対策ソフトでの検出は可能

ノルウェーのOpera Softwareが標的型攻撃を受けた。攻撃者がコードサイニング証明書を手に入れ、Webブラウザ「Opera」の自動更新機能を悪用して悪意あるソフトウェアを配布した恐れがある。

[高橋睦美，＠IT]

　ノルウェーのOpera Softwareは6月26日、標的型攻撃を受けたことを明らかにした。この結果、攻撃者がコードサイニング証明書を手に入れ、Webブラウザ「Opera」の自動更新機能を悪用して悪意あるソフトウェアを配布した恐れがあるという。

　Opera Softwareが攻撃を受けたのは6月19日。内部ネットワークインフラに侵入され、ソフトウェアの配布元を認証し、改ざんされていないことを保証する役割を果たすコードサイニング証明書にアクセスされた。

　攻撃者はこのコードサイニング証明書を悪用してマルウェアに署名を加え、正当なアップデートを装って配布した恐れがある。6月19日の午前1時から1時36分（日本時間では午前10時から10時36分）の間にWindows版Operaを利用していたユーザーは、Operaの自動更新機能によってマルウェアをダウンロードし、自動的にインストールしてしまった恐れがあるということだ。

　Opera Software側は、悪用された証明書を無効化し、新たなコードサイニング証明書を用いた新バージョンを早急に用意するとしている。ユーザーには、PC上のソフトウェアを最新の状態にアップデートし、ウイルス対策ソフトウェアで検査するとともに、準備が整い次第、速やかにOperaをアップデートするよう呼び掛けている。

　なお、Opera Softwareがこの件を告知したブログエントリのタイトルは「Security breach stopped」（セキュリティ侵害は食い止められました）。同社はまた、ユーザー情報の流出などは確認されておらず、「影響は限定的なもの」とも説明している。

　しかし、Sophosが運営するセキュリティブログ、Security Nakedは「少なくとも1つの悪意あるファイルがOperaのサーバにポストされた」「そのファイルがOpera自身によってダウンロードされ、インストールされた」ことを指摘し、侵害事件はまだ終わったようには思えないと述べている。

　Sophosは、Opera Software同様、最新のバージョンが準備でき次第ダウンロードするとともに、ウイルス対策ソフトウェアを最新の状態にアップデートし、余裕があれば音で万スキャンを実行するよう推奨している。「よいニュースとして、含まれているマルウェアは広範なアンチウイルスツールで検出できる」（同社）という。