Last Updated on 2024-11-14 09:10 by admin
ルーマニアのサイバーセキュリティ企業Bitdefenderは、2024年11月、ShrinkLockerランサムウェアの被害者向けに無料の復号ツールをリリースした。
ShrinkLockerランサムウェアに関する主要な事実を以下にまとめる:
ルーマニアのサイバーセキュリティ企業Bitdefenderは、2024年11月、ShrinkLockerランサムウェアの被害者向けに無料の復号ツールをリリースした。
ShrinkLockerは2024年5月にKasperskyによって初めて確認された新種のランサムウェアで、Microsoftの標準機能であるBitLockerを悪用して暗号化を行う。主な被害はメキシコ、インドネシア、ヨルダンで確認された。
このマルウェアの特徴は以下の通り:
- VBScriptで作成されている
- Windows 10、11、Server 2016、Server 2019に対応
- システム感染から暗号化までの所要時間は1デバイスあたり約10分
- Active Directoryドメインコントローラーを経由して拡散する
- 契約業者のマシンを起点としたサプライチェーン攻撃の形態をとる
具体的な被害事例として、中東の医療機関への攻撃が確認されている。攻撃者は侵入後、2つのスケジュールタスクを作成し、最初のタスクでランサムウェアを配布、2日後に暗号化を実行する手法を用いた。
BitdefenderのテクニカルソリューションディレクターであるMartin Zugec氏によると、このランサムウェアにはシステム再起動後の実行再開機能に欠陥があり、この脆弱性を利用して攻撃を防止できる可能性がある。
from:Free Decryptor Released for BitLocker-Based ShrinkLocker Ransomware Victims
編集部解説
BitLockerを悪用するShrinkLockerランサムウェアについて、重要な観点から解説させていただきます。
今回の事例で特に注目すべきは、正規のWindowsセキュリティ機能であるBitLockerが攻撃に悪用されている点です。これは、セキュリティツールが「諸刃の剣」となり得ることを示す典型的な例といえます。
特筆すべきは攻撃の効率性です。1デバイスあたりわずか10分で暗号化を完了できる手法は、企業ネットワーク全体を短時間で機能停止に追い込む可能性があります。医療機関への攻撃事例では、わずか2.5時間で重要システムへのアクセスが完全に失われました。
また、このマルウェアはVBScriptで書かれているという特徴があります。Microsoftは2024年後半からVBScriptを非推奨とすることを発表していますが、これは逆説的に、レガシーシステムを使用し続ける組織にとってのリスクを浮き彫りにしています。
サプライチェーン攻撃の観点からも重要な示唆があります。今回の事例では、契約業者のマシンが侵入経路として使われました。これは、セキュリティは最も脆弱な部分の強度に依存するという原則を改めて示しています。
ポジティブな側面としては、Bitdefenderによる無料の復号ツールの提供があります。推定で16億ドル相当の身代金が防止されたとされており、セキュリティコミュニティの協力による具体的な成果といえます。
今後の対策として重要なのは、BitLockerの使用状況の監視です。「Microsoft-Windows-BitLocker-API/Management」ソースからのイベントを追跡することで、早期の攻撃検知が可能になります。
長期的な視点では、正規のセキュリティツールの悪用という新しい攻撃トレンドへの対応が課題となります。組織は、セキュリティツールの導入だけでなく、その使用状況の監視と制御にも注力する必要があるでしょう。