マイクロソフト署名のドライバー、ランサムウェア攻撃に悪用される

今回は「マイクロソフト署名のドライバー、ランサムウェア攻撃に悪用される」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 セキュリティ企業数社は、複数のハッキンググループが、Microsoftの署名を保持したドライバーを用いて一連の攻撃を実行していると報告している。こういった攻撃の中には、「Cuba」ランサムウェアを用いたキャンペーンも含まれている。

 多くのセキュリティサービスは、Microsoftの署名を保持しているものは何であれ、暗黙の信頼を置くため、これは大きな問題と言える。

 「Microsoft Windowsハードウェア開発者プログラム」によって認定されたドライバーがさまざまなマルウェアの展開に用いられている件については、SentinelOneや、Google傘下のMandiant、Sophosが報告しており、Microsoftも12月の月例セキュリティパッチ「Patch Tuesday」において、報告を受けたことを認めている。

 同社の署名を保持したこの悪質なドライバーは、標的となったシステム上で稼働しているさまざまなベンダーのエンドポイント検知エージェントやウイルス対策ソフトウェアを無効化するために用いられた。同社によると、このドライバーについては、米国時間10月19日にベンダーらから報告を受けていたという。

 Mandiantはこの悪質なドライバーを「POORTRY」、そのローダーを「STONESTOP」という名称で追跡している。また同社は、複数のマルウェアファミリーがこのプロセスによって署名されていることを確認しており、これらの署名を保持したマルウェアと関連付けられた組織を9つ挙げている。

 SentinelOneは、このドライバーが通信関連や、業務プロセスアウトソーシングのほか、エンターテインメント、運輸、マネージドセキュリティサービス、金融、仮想通貨(暗号資産)といった業界への侵入で用いられていたと報告している。また、一部のケースにおいて、脅威アクターらはSIMスワップにも使用しようとしていたという。

 同社の報告には「特筆すべき点として、別の脅威アクターも、Microsoftの署名を保持した類似のドライバーを利用し、医療業界の標的に対して『Hive』ランサムウェアを展開している事実を確認している。これは、類似のツールにアクセスできるさまざまな脅威アクターによって、一般的な手法として用いられていることを意味している」と記されている。

 攻撃者は、Microsoftの署名を保持したドライバーを入手するために、同社と認証局(CA)の間でやり取りされる複雑な手続きを経たようだ。

 SentinelOneは「ほとんどのセキュリティソリューションは、Microsoftの署名さえ保持していれば何であっても暗黙のうちに信頼してしまう。カーネルモードのドライバーの場合は特にそうだ。この点にプロセス上の大きな問題がある」と記している。

 Microsoftは調査の結果、こうしたアクティビティが「開発者プログラムにおけるいくつかのアカウントの悪用に限定されている」ことが判明したと述べた上で、セキュリティ侵害は発見されていないとしている。

 また同社は、該当パートナーのセラーアカウントの停止と、ブロッキング検出の実装、影響のあったファイルの証明書の無効化を実施した。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
日本のIoT市場規模、2027年に8.7兆円に–IDC予想
IT関連
2023-06-09 20:04
MSCHFがSpotにリモコン式ペイントボール銃搭載、ボストン・ダイナミクスは嫌な顔
ロボティクス
2021-03-21 09:03
空を飛び、潜水する「水空合体ドローン」 KDDIが世界初
ロボット・AI
2021-06-11 02:37
業務自動化のUiPathが約790億円調達、IPOもまもなく
ソフトウェア
2021-02-03 06:49
「NP後払い」のネットプロテクションズがJCBと資本提携、約60億円の調達とともに事業連携を強化
フィンテック
2021-02-26 01:13
MS、「ワードパッド」を非推奨アプリに–今後のWindowsリリースで削除予定
IT関連
2023-09-05 21:55
伊藤忠商事、ウイングアーク1stの「SVF TransPrint」採用–請求書などの発送をデジタル化
IT関連
2021-02-15 10:13
機動戦士ガンダムで例えるゼロトラストセキュリティの必要性–中編
IT関連
2021-02-12 18:38
ServiceNowと「Oracle Cloud Infrastructure」連携、マルチクラウド管理を向上
IT関連
2021-04-16 06:55
マイクロソフト「Teams」関連の開発者向け機能やツールを多数発表
IT関連
2021-05-27 07:44
「追い風が吹く今こそ、デジタルビジネスの加速を」–ガートナー鈴木氏
IT関連
2022-11-15 13:29
Backboneモバイルゲーミングコントローラーをセレブが約46億円のシリーズAで支援
IT関連
2022-02-25 23:49
リコーが統合型アクセラレータープログラム「TRIBUS 2021」成果発表、スタートアップ企業6社公開・社外から117件の応募
IT関連
2022-02-22 21:19
NTTデータGSL、「GBMT Public Cloud for GROW with SAP」が「QPPS」認定を取得
IT関連
2025-01-21 16:58