EDRを無効化 「Windowsドライバ脆弱性」攻撃がパッチ配布後も止まらない理由：「EDR」を無効化する手口と対策【中編】

脆弱な「Windows」用のドライバを悪用して「EDR」製品を無効化する手口を、攻撃者集団BlackByteが編み出した。専門家はこの手法の危険性を訴えている。何が危険なのか。

[Arielle Waldman，TechTarget]

　ランサムウェア（身代金要求型マルウェア）攻撃集団BlackByteは、「Windows」用ドライバの脆弱（ぜいじゃく）性を悪用して、セキュリティ製品である「EDR」（エンドポイント脅威検知・対処）製品を無効化する攻撃手法を編み出した。セキュリティベンダーSophosで脅威研究者を務めるアンドリアス・クロプシュ氏は、同社公式ブログのエントリ（投稿）で、その手法の仕組みを解説した。

“高度かつ厄介”な攻撃の危険性

併せて読みたいお薦め記事

連載：「EDR」を無効化する手口と対策

• 前編：セキュリティ“最後のとりで”「EDR」を無効化するWindows脆弱性　悪用の手口は

進化するランサムウェア

• ランサムウェアで考える“バックアップがあるだけ”では無意味な理由
• 「RaaS」も登場　ランサムウェア攻撃が“ビジネス化”する理由と危険性

　Sophosの脅威研究チームによる分析から、BlackByteがEDR製品を無効化する手口と、オープンソースツール「EDRSandblast」の仕組みが幾つかの点において似ていることが分かった。攻撃者はEDRSandblastを使うと、脆弱なドライバを悪用して、EDR製品による検出を回避できるようになる。BlackByteが用いるランサムウェアとEDRSandblastの類似点としては、両者がほぼ同じ機能を搭載することや、悪用のために参照するドライバのリストが似ていることなどがある。

　「BlackByteは、EDRSandblastのソースコードの一部を複製して、同じような機能を実装した」と研究チームは結論付けた。ドライバのリストに関してクロプシュ氏は、「BlackByteのランサムウェアが持つリストを復号したら、ファイルのヘッダがないことを除けば、ソースコード共有サービス『GitHub』にあるEDRSandblastのリストとほぼ同じになるはずだ」と述べる。EDRSandblastのソースコードはGitHubで公開されている。

　Sophosで脅威研究担当のシニアマネジャーを務めるクリストファー・バッド氏は、米TechTargetの取材に対して「BlackByteは複数のセキュリティベンダーを標的にしている」と指摘。セキュリティベンダーはBlackByteの攻撃手法を認識しておかなければならないと、バッド氏は強調する。

　ドライバの入手は容易だ。「攻撃者はベンダーのWebサイトから脆弱なドライバをダウンロードするだけでよい」とバッド氏は語る。脆弱なドライバに関する情報が広まり、ベンダーがパッチを配布したら、次にベンダーは脆弱なドライバをWebサイトから削除する。世の中のデバイスが、ドライバの脆弱性の影響を受けないようにするためだ。「だが脆弱なデバイスの流通は止められない」（同氏）

　バッド氏が懸念するのは以下だ。

• この攻撃手法が広範囲に適用できること
  • 「アーキテクチャ的にはどのセキュリティ製品にも適用できる」と同氏は説明する。
• 非常に高度であること
  • 「Windowsの仕組みに詳しい人が関わっていることが分かるので、この手口は洗練されている」と同氏は語る。
• EDR製品などのセキュリティソフトウェアが、OSの同じ1機能を利用している状況を、攻撃者が理解していること

---

　後編は、BlackByteの攻撃を防ぐための対策を紹介する。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。