アンチウィルスソフトは、マルウェア、ウィルス、インタネットからの様々な脅威、疑わしいまたは、危害を明らかに与える操作からコンピュータを保護するものです。この保護機能を突破することは、ハッカーにとっても難関なわけですが、最近、セキュリティソフト会社発行の証明書を許可せず、セキュリティソフトを無効にするマルウェアが出てきました。このマルウェアは、CertLockと呼ばれています。

 

感染経路

CertLockは、フリーソフトにバンドルされて、システムに入りこみます。感染したシステム上で、ユーザが、インストール済みセキュリティソフトにアクセスを試みると、「アクセスは、Windowsによってブロックされました」という、エラーメッセージが表示されます。このマルウェアは、感染したシステム(PCなど)にセキュリティソフトを新規にインストールすることも、ブロックしてしまいます。セキュリティ対策がされていない「未防備」のまま、つまり、ハッカーの攻撃にさらされたままの状態、になってしまいます。

CertLockは、証明書に関わるWindowsの機能を操作します。通常証明書は、オペレーティングシステムによって信頼され、インストールされているアプリケーションは、それゆえ信頼にたるものとして利用できます。しかし、ハッカーは、署名を書き換えて、セキュリティソフトの証明書をブロックします。

 

これらの証明書は、以下のレジストリに追加されます。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates

その証明書キーは、上記レジストリに「信頼されない証明書」として追加されます。今まで上記キーで登録されていた証明書を利用していたソフトウェアは、信頼されない発行者として認識されてしまい、新規インストールまたは、実行をブロックしてしまいます。

 

Fig 1.セキュリティベンダの証明書を追加

 

Quick Healの検知方法
Quick Heal製品は、CertLockの影響を受けず、また、新しいインストールがブロックされることもありません。Quick Healのふるまい検知システムは、CertLockを検知し、ブロックします。

 

Fig 2. Quick Healのふるまい検知によって、CertLockマルウェアを検知

 

Quick Healのウィルス保護機能は、「Trojan.CertLock 」として、シグネチャーベースで、CertLockマルウェアのファイルを検知します。

CertLockのようなマルウェアに対して、安全対策

  • 認証されていない制作者によって作成されたフリーソフトは、往々にしてハッカーに悪用される傾向があります。純正のフリーではない、ソフトウェアを利用することが肝要です。
  • 多層的に保護できるセキュリティソフトを利用することも重要です。また最新の脅威に対応するには、こまめにソフトウェアのアップデートも、励行しましょう。
  • オペレーティングシステムや、その他プログラムのパッチを最新のものにしておくことも大切です。