全ての防御機能を無効化できる、カーネルモードで動作するランサムウェア：民衆の敵になったRobbinHood

正当なベリサイン署名されたドライバを媒介してWindowsに入り込むランサムウェア「RobbinHood」。カーネルモードで動くためセキュリティ製品も無効化できる。

≫ 2020年04月15日 08時00分公開

[Alex Scroxton，Computer Weekly]

　Sophosが、新種のランサムウェア攻撃に関する調査結果を公開した。この攻撃は正当なデジタル署名が施されたハードウェアドライバをサイバー犯罪者が展開し、ユーザーデータを暗号化する前に標的のシステムからセキュリティ製品を削除する。

　ランサムウェア「RobbinHood」（訳注）は、古い脆弱（ぜいじゃく）性であるCVE-2018-19320を悪用する。台湾企業GIGA-BYTE Technology（GIGABYTE）が製造し、現在は非推奨になっているドライバにこの脆弱性が存在する。このドライバは、失効していない有効なVerisign Authenticode署名を含んでいる。製造は中止されているが、依然数多く使用されている。

訳注：イングランドの伝説上の人物であるロビン・フッドは「Robin Hood」。

　この信頼済みかつ署名済みのGIGABYTEドライバが媒介として使われ、Windowsカーネルにパッチを適用し、悪意のある未署名のドライバを読み込み、カーネルモードから防護用のセキュリティアプリケーションを削除する。

　Sophosの研究者によると、このような攻撃が見られたのは初めてだという。ランサムウェアがセキュリティ製品の回避を試みる手口は新しくないが、ユーザーモードではなくカーネルモードからプロセスを強制終了するのは明らかに有利だ。

　重要なのは、悪意のあるドライバには強制終了するコードしか含まれていないことだ。つまり、標的が既知の脆弱性を含まない、パッチを完全適用済みのWindowsシステムを実行していても、攻撃側はランサムウェア攻撃に先駆けてセキュリティ防御を破棄できる。

　Sophosでエンジニアリング部門のディレクターを務めるマーク・ローマン氏によると、同社が行ったRobbinHoodの分析ではこのランサムウェアの進化がいかに迅速で危険性が高いかが示されたという。

　「合法的な署名が行われた独自のサードパーティー製ドライバを利用して、機器を制御し、インストール済みのセキュリティソフトウェアを無効にして、改ざんを防止するために特別に設計された機能を回避する。このようなランサムウェアを目にしたのは今回が初めてだ。防御プロセスを強制終了してしまえば遮るものは何もなくなり、マルウェアは自由にランサムウェアをインストールして実行できる」（ローマン氏）

　Sophosは、RobbinHoodの背後にいる悪意のドライバの作成者が、2019年に多くの犠牲者を出して混乱を引き起こしたランサムウェアの作成者と同じグループであることを示唆する多くの指標を発見した。当時、特に米メリーランド州ボルティモアでは、このランサムウェアによって地方政府の職員が2週間以上もシステムにアクセスできなくなった。

　ローマン氏は、ユーザーがRobbinHoodから身を守るために実行可能な幾つかの手順を提示している。「三方面からのアプローチをお勧めする。まず、今日のランサムウェア攻撃は複数の技術や手口を使用する。そのため、防御側は広範な技法を導入して可能な限り多くの攻撃段階を阻止し、セキュリティ戦略にパブリッククラウドを組み入れ、エンドポイントセキュリティソフトウェアでは改ざん防止などの重要な機能を有効にする必要がある。可能であれば、脅威インテリジェンスや脅威ハンティングの専門家で補完する」と同氏は話す。

　「次に、多要素認証、複雑なパスワード、制限付きアクセス権、パッチの定期適用、データのバックアップ、脆弱なリモートアクセスサービスのロックダウンなど、堅牢（けんろう）なセキュリティプラクティスを適用する。最後に、大切なことだが、従業員のセキュリティトレーニングへの投資を続ける」

　RobbinHoodの仕組みの技術的な詳細は、Sophosのブログで確認できる。

TechTargetジャパントップセキュリティ