Windows 10に新たなランサムウェアの脅威?「潜在的に阻止不可能」な脆弱性の主張を検証
セキュリティ企業Nyotronは先日、MicrosoftのWindows 10にランサムウェア攻撃に悪用される可能性のある新たな脆弱性を発見したと発表しました。Nyotronは、Windows 10に組み込まれているランサムウェア対策の一つを回避する「潜在的に阻止不可能な」手法の詳細を公開しました。ランサムウェアとは、コンピューターを乗っ取り、制御を取り戻すための身代金を要求する攻撃です。
Nyotron社によると、「RIPlace」と呼ばれるこの技術は、ランサムウェアがWindows 10の「コントロールされたフォルダーアクセス」(CFA)を回避できるようにするものだという。同社のビデオデモはこちらでご覧いただけます。
https://www.youtube.com/watch?v=S2On-R6ecik&feature
Nyotronはエンドポイントセキュリティを専門とし、エンドユーザーデバイスとそれらに接続するネットワークに重点を置いています。Nyotronはこれまで脆弱性レポートを定期的に提供してきたわけではありませんが、今回の主張は深刻な可能性を秘めていると感じました。エンドポイントセキュリティの重要性を考慮し、NyotronとMicrosoftに連絡を取り、この問題をより深く理解するために、より深く調査することにしました。
つまり、Nyotron社がこれを脆弱性だと主張していることには同意できないものの、同社はセキュリティ関係者が知っておくべき問題を発見したということです。幸いなことに、Nyotron社とMicrosoft社は、少なくとも現時点では、これが実際の攻撃で確認されていないことに同意しています。
背景
コントロールされたフォルダー アクセスは、Microsoft が 2017 年 10 月に Windows 10 に導入した機能です。CFA として知られるこの機能は、通常、ランサムウェアによる暗号化の対象となるファイルに対して、追加のセキュリティ レイヤーを提供します。
CFAは、監視対象のディレクトリ内のファイルを暗号化しようとする試みを検出するための監視機能を追加することでこれを実現します。暗号化はランサムウェア攻撃の重要な手法であるため、これはランサムウェア攻撃を効果的に阻止できる合理的な対策です。
CFA の背後にある考え方はシンプルです。たとえば、ユーザーがセキュリティ警告を回避して実行可能ファイルを実行することを選択したために、システム上でマルウェアの実行を阻止できなかった場合でも、CFA は少なくとも、ランサムウェアの主な動作であるキー ファイルの暗号化を阻止することで保護を提供できます。
CFAは構成可能なので、任意のフォルダを含めることができます。また、グループポリシー、PowerShell、System Center Configuration Manager(SCCM)、モバイルデバイス管理(MDM)ツールを使用する企業向けに構成可能な機能も備えています。
CFAとその動作に関するMicrosoftのドキュメントによると、CFAは「多層防御」(DiD)対策であることに留意することが重要です。つまり、CFAはそれ自体が主要なセキュリティバリアではなく、他のセキュリティバリアが機能しなくなった場合に備えて追加の保護を提供することを目的としたものです。DiD対策はシートベルトのようなものだと考えてください。衝突を防ぐためのものではありませんが、衝突が発生した場合の重大性を軽減することを目的としています。
セキュリティバリアと DiD 対策のこの区別は重要なので、これについては後ほど詳しく説明します。
ニヨトロンの主張
上記のNyotronのデモでは、制御されたフォルダアクセスをバイパスすると思われる手法を見ることができます。デモではまず、CFAで保護されているディレクトリが表示されます。このディレクトリ内のファイルは、マルウェアによる暗号化からCFAによって正常に保護されています。次に、CFAの保護が失敗し、ファイルが暗号化される別の攻撃を示します。
Nyotron は、このフローチャートを含むホワイトペーパーでより詳しい情報を提供しており、バックグラウンドで何が起こっているかを詳しく示すのに役立ちます。
このフローチャートは、CFAが機能していないと思われる非常に特殊な例を示しています。具体的には、「RIPlace」という手法において、悪意のあるコードはファイルを削除せずに、暗号化されたバージョンに置き換えます。Nyotronとのやり取りによると、この状況はCFAがファイルを保護するために監視する方法にエラーがあるために発生します。技術的な詳細を説明すると、DefineDosDeviceの使用時にDosDeviceパスを渡す際にエラーが発生します。DefineDosDeviceはレガシー関数です(DOSを覚えていますか?)。Microsoftは、CFAに必要な追加のチェックと処理の一部として、必要なフィルタードライバーを作成する際にこの関数を使用しているようです。
Nyotronのレポートからもう一つ重要な点が、この問題は権限が制限されたアカウントで発生するという点です。つまり、この問題は管理者権限を必要としません。
簡単に言えば、CFA にはファイルの置き換えを防ぐバグがあります。
私はNyotron社に、これが攻撃に使用されたことがあるか尋ねたが、同社の広報担当者はそのようなことはないと答えた。
マイクロソフトの公式回答として、広報担当者は次のように述べています。「この手法はセキュリティ上の問題ではなく、当社のセキュリティサービス基準の条件を満たしていません。フォルダーアクセスの制御は、オプトイン型の多層防御機能であり、セキュリティ境界ではありません。」
Microsoftは、将来のリリースでこの問題に対処することを検討すると表明しました。これは、MicrosoftがNyotronの基本的な技術的詳細に同意しているものの、これをセキュリティ上の脆弱性とは見なしていないことを意味します。したがって、これは短期的なパッチ適用の基準を満たしていませんが、将来のWindowsバージョンで解決される可能性があります。
テクニカル分析
これをどう解釈すればいいのでしょうか?これは脆弱性なのでしょうか?懸念すべき問題なのでしょうか?
Microsoftの基準に基づくと、これは脆弱性ではありません。セキュリティ境界の不備を示すものでもありません。むしろ、多層防御(Defense in Depth)対策の有効な回避であり、ほとんどの人が存在すら忘れていた古いDOS時代のレガシー機能の問題に起因するものと思われます。残念ながら、これは脆弱性の典型的な例でもあります。脆弱性は古いコードに発生する傾向があります。
Microsoftが将来のリリースでこの問題に対処する可能性があると示唆したのは、同社の慣行と一致しています。また、レガシー機能に起因する問題であることを考えると、これは理にかなっています。古いコードには未知の依存関係が多く存在し、レガシー機能に変更を加えるたびに大量のテストが必要になります。アップデートには常に安定性に関するリスクが内在しており、そのリスクと問題がもたらすセキュリティリスクのバランスを取る必要があります。そして、今回のように古い低レベルのコードに触れると、そのリスクは増大します。
NyotronとMicrosoftは共に、この問題が積極的に利用されていないことに同意しています。これも、これが長期的な修正となることを裏付けるもう一つの理由です。前述の通り、このようなレガシーコードへの変更はリスクを伴い、安定性の問題(例えばクラッシュ)を引き起こす可能性があります。潜在的なセキュリティリスクから保護するために、実際にクラッシュを引き起こすアップデートを適用するのは望ましくありません。そうすることで、ある問題が別の問題にすり替えられることになります。そして今回のケースでは、解決策が解決策の原因よりも危険度が増しています。
もちろん、脅威環境は変化する可能性があります。そして、この手法が広く採用され、より広く使用されるようになれば、マイクロソフトはより迅速に対応できる可能性があります。
脆弱性レポートは往々にして簡潔ではありません。そして今回もまさにその一つです。確かに問題は存在します。いいえ、Microsoftはまだ修正していません。いいえ、現在は使用されていません。はい、将来的には使用される可能性があります。はい、Nyotronから現在利用可能な解決策があります。おそらく(おそらくそうでしょうが)、Microsoftは将来的にこれに対処するでしょう。
Microsoftがこの問題に対処するまで、Windows 10 を導入している企業は独自のリスク評価を行う必要があります。最後にもう一度強調しておきたいのは、これは DiD 対策であり、ランサムウェアがシステムに侵入していない限りは問題にならないということです。ランサムウェアの作成者は創造性に富んでおり、この問題がなくても、このような DiD 対策を回避する方法を見つけるでしょう。
ランサムウェアが心配な方は、まずしっかりとしたバックアップとリカバリプログラムを用意することをお勧めします。そうすれば、ランサムウェア攻撃を受けた場合でも、攻撃前の状態に復元できます。ランサムウェアの台頭から5年以上が経ちましたが、これはこの種の攻撃に対する最も効果的で実績のある唯一の対策です。
