脆弱な「Windows」用のドライバを悪用して「EDR」製品を無効化する手口を、攻撃者集団BlackByteが編み出した。専門家はこの手法の危険性を訴えている。何が危険なのか。
ランサムウェア(身代金要求型マルウェア)攻撃集団BlackByteは、「Windows」用ドライバの脆弱(ぜいじゃく)性を悪用して、セキュリティ製品である「EDR」(エンドポイント脅威検知・対処)製品を無効化する攻撃手法を編み出した。セキュリティベンダーSophosで脅威研究者を務めるアンドリアス・クロプシュ氏は、同社公式ブログのエントリ(投稿)で、その手法の仕組みを解説した。
Sophosの脅威研究チームによる分析から、BlackByteがEDR製品を無効化する手口と、オープンソースツール「EDRSandblast」の仕組みが幾つかの点において似ていることが分かった。攻撃者はEDRSandblastを使うと、脆弱なドライバを悪用して、EDR製品による検出を回避できるようになる。BlackByteが用いるランサムウェアとEDRSandblastの類似点としては、両者がほぼ同じ機能を搭載することや、悪用のために参照するドライバのリストが似ていることなどがある。
「BlackByteは、EDRSandblastのソースコードの一部を複製して、同じような機能を実装した」と研究チームは結論付けた。ドライバのリストに関してクロプシュ氏は、「BlackByteのランサムウェアが持つリストを復号したら、ファイルのヘッダがないことを除けば、ソースコード共有サービス『GitHub』にあるEDRSandblastのリストとほぼ同じになるはずだ」と述べる。EDRSandblastのソースコードはGitHubで公開されている。
Sophosで脅威研究担当のシニアマネジャーを務めるクリストファー・バッド氏は、米TechTargetの取材に対して「BlackByteは複数のセキュリティベンダーを標的にしている」と指摘。セキュリティベンダーはBlackByteの攻撃手法を認識しておかなければならないと、バッド氏は強調する。
ドライバの入手は容易だ。「攻撃者はベンダーのWebサイトから脆弱なドライバをダウンロードするだけでよい」とバッド氏は語る。脆弱なドライバに関する情報が広まり、ベンダーがパッチを配布したら、次にベンダーは脆弱なドライバをWebサイトから削除する。世の中のデバイスが、ドライバの脆弱性の影響を受けないようにするためだ。「だが脆弱なデバイスの流通は止められない」(同氏)
バッド氏が懸念するのは以下だ。
後編は、BlackByteの攻撃を防ぐための対策を紹介する。
米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。
Z世代が考える「日本が最も力を入れて取り組むべき課題」1位は「ジェンダー平等」――SHIBUYA109 lab.調査
SDGsで挙げられている17の目標のうち、Z世代が考える「日本が最も力を入れて取り組むべき...
高齢男性はレジ待ちが苦手、女性は待たないためにアプリを活用――アイリッジ調査
実店舗を持つ企業が「アプリでどのようなユーザー体験を提供すべきか」を考えるヒントが...
IASがブランドセーフティーの計測を拡張 誤報に関するレポートを追加
IASは、ブランドセーフティーと適合性の計測ソリューションを拡張し、誤報とともに広告が...