新種のランサムウェア「GodDamn」が、自分のマシンで何が実行されるかをウイルス対策ソフトが最終決定すると信じている人にとっては、懸念すべき手法で話題になっている。Dark Readingの報道によると、GodDamnの背後にいる攻撃者は、Microsoft自身が署名した悪意のあるカーネルドライバーを使用し、信頼されたデジタル証明書を、本来阻止すべきセキュリティツールに対する武器に変えている。これは「Bring Your Own Vulnerable Driver」の略であるBYOVD攻撃の典型的な例であり、ランサムウェア攻撃者のプレイブックにおいて最も信頼性の高い手口の一つになりつつある。

何が起きたのか

GodDamnランサムウェアは、正規のMicrosoft署名を持つカーネルレベルのドライバーを展開して、米国企業を攻撃している。Windowsは署名済みドライバーがOSの深部で動作することを信頼するため、このドライバーは防御をすり抜け、ランサムウェアのペイロードが実行される前にセキュリティソフトを停止させることができた。エンドポイント保護が無効化されると、攻撃者は自由にファイルを暗号化し、ほとんど検知されずにネットワーク内を移動できる。そもそもMicrosoftがそのドライバーに署名したという事実が、ここで最も衝撃的な詳細である。つまり、悪意のあるコードはWindowsの欠陥を悪用したというよりも、署名プロセスそのものに置かれた信頼を悪用したことになる。

BYOVDがセキュリティスタックを回避する仕組み

カーネルドライバーはWindowsマシン上で最も高い特権レベルで動作し、事実上、ほとんどのウイルス対策やエンドポイント検出ツールが動作するレイヤーよりも下位に位置する。攻撃者がそれを欲しがるのはまさにそのためだ。有効な署名を持つドライバーは、未署名や不明な実行ファイルが受けるような精査を引き起こさないため、静かに読み込まれ、システム上で動作する他のセキュリティプロセスを無効化、盲目化、または停止させるために使用できる。

これは従来のウイルス対策を超えて重要である。VPNクライアントソフトウェア、DNSフィルタリングツール、その他のプライバシーやセキュリティアプリケーションも、同じOS上でプロセスとして動作しており、すでにそのレベルの制御を握っているカーネルレベルの攻撃者によってシャットダウンされるのと同じくらい脆弱になりうる。VPNはトラフィックを暗号化し、特定の種類のネットワーク監視を防ぐのに役立つが、悪意のあるドライバーがOSレベルでセキュリティソフトを無効化するのを阻止するようには決して設計されていない。攻撃者がカーネルアクセスを取得すると、ほとんどの一般消費者向けおよび企業向けセキュリティツールが認識できる範囲の下で動作することになり、だからこそ、単一のツールに依存するのではなく、多層防御が重要になる。

BYOVDは新しいものではないが、まさに最新の防御に対して非常に効果的に機能するため、好まれる手法となっている。ランサムウェアのオペレーターは、これを事前に展開する別個のツールとして扱うのではなく、マルウェアに直接この機能を組み込む傾向を強めており、これにより攻撃が加速し、検知が困難になる。攻撃者が有効なものを見つけると迅速に動くという広範なパターンは、現在のランサムウェアの状況全体に見られる。恐喝グループは重要インフラに対しても迅速に攻撃を仕掛ける姿勢を見せており、今年初めにSpaceBearsがフランスの通信事業者を標的にした事例や、ShinyHuntersがNAICに対して主張した大規模データ窃取作戦は、初期防御が破られた後にどれだけのデータが危険にさらされるかを示している。

あなたのデバイスセキュリティにとってこれが重要な理由

GodDamnから得られる核心的な教訓は、ランサムウェア単体に関するものではなく、信頼ベースのセキュリティモデルの脆弱性についてである。署名されたコード、検証済みの証明書、ベンダーの承認はすべて安全性を示すためのものだが、攻撃者はまさにそのシグナルを悪用する方法を見つけ続けている。スピードもまた要因である。重大なcPanel認証バイパス脆弱性が公開された後に攻撃者が数万台のサーバーを侵害するために迅速に動いたのと同様に、ランサムウェア集団は、悪意のある署名済みドライバーを含め、防御側に対して優位に立つあらゆる手法を迅速に実用化する。

日常的なユーザーにとってもIT管理者にとっても、これが強調するのは単純なポイントだ。ウイルス対策、VPN、ファイアウォールなど、単一のセキュリティ層だけでは不十分である。多層防御、すなわち複数の重なり合う保護が、攻撃者が一つの制御を回避する方法を積極的に見つけている状況において、リスクを低減する最も現実的な方法であり続ける。

これがあなたにとって意味すること

自宅であれビジネス環境であれ、Windowsシステムを管理しているなら、GodDamnランサムウェアキャンペーンは、ドライバー署名の強制、エンドポイント検出、パッチ管理を最新に保つよう注意を促すものだ。Windowsには既知の悪質なドライバーをブロックするメカニズムがあり、攻撃者は古いブロックリストに依存して脆弱なドライバーを検知から逃れさせるため、これらの防御を最新に保つことが不可欠である。

VPNは、特に信頼できないネットワークでのトラフィック暗号化や特定の形態の監視への露出を制限するために、プライバシーとセキュリティのツールキットの貴重な一部であり続けるが、高度なマルウェアに対する完全な防御としてではなく、いくつかの層の一つとして理解されるべきである。信頼できるVPNを、最新のウイルス対策ソフト、タイムリーなOSパッチ、ダウンロードやメール添付ファイルの慎重な取り扱いと組み合わせることで、単一のツールに依存するよりもはるかに強固な全体的な態勢が得られる。

実践的な対策

Windowsとすべてのセキュリティソフトウェアを完全に最新の状態に保つこと。Microsoftはこのようなギャップを塞ぐために脆弱なドライバーのブロックリストを定期的に更新している。サポートされている場合は、Windowsセキュリティ設定でメモリ整合性とコア分離機能を有効にすること。これによりBYOVD攻撃の実行が困難になる。重要なデータを定期的にバックアップし、コピーをオフラインで保管して、ランサムウェアの暗号化によってファイルが人質に取られないようにすること。VPNを独立した盾としてではなく、より広範なセキュリティ戦略の一部として扱い、エンドポイント保護や安全なブラウジング習慣と組み合わせること。最後に、新たなBYOVDやランサムウェアの手口について情報を入手し続けること。攻撃者が信頼ベースの防御をどのように回避するかを理解することが、それらのギャップがあなたに到達する前に塞ぐための第一歩である。