ShrinkLockerとは
- Pipeline Co. Ltd.
- 2022年7月1日
- 読了時間: 7分
ShrinkLockerは、Windowsに標準搭載されている暗号化機能であるBitLockerを悪用したランサムウェアの一種です。このランサムウェアは、標的のPCのボリューム全体を暗号化した上で、復号化キーを盗もうとするという攻撃手法を使っています。
1.BitLockerとは
BitLockerは、Windows 10 Pro以上のOSに標準搭載されている暗号化機能です。ノートパソコンの紛失や盗難時の情報漏えいリスクを低減することができます。ただし、回復キーという復号化のキーを別に保管してあることが前提です。
主な特徴は以下の通りです:
ディスク全体の暗号化: BitLockerを有効にすると、ディスク全体が暗号化されます。
データ保護: 紛失や盗難の際に、データが不正アクセスから保護されます。
TPM (Trusted Platform Module) 対応: TPM 1.2以降のチップを搭載したデバイスで利用可能です。
回復キーの管理: BitLockerを有効にする際は、回復キーのバックアップが必要です。
一方で以下の注意事項があります:
①データ復旧には回復キーが必要
BitLockerで暗号化したデータを復旧するためには、回復キーが必要です。このため、回復キーを安全に保管しておくことが重要です。
②ハードウェアの変更に注意
ハードウェアを変更すると、BitLockerの認証が失敗する可能性があります。このため、ハードウェアを変更する前に、BitLockerの設定を確認する必要があります。
③不正アクセスの防止
BitLockerで暗号化したデータは不正アクセスから保護されますが、回復キーが漏洩すると、データが不正に復元される可能性があります。
④定期的な確認
BitLockerの設定を定期的に確認し、回復キーの保管状況(所在・安全な場所に保管されているか)を確認することが必要です。
これらの注意事項を理解し、適切に対応することで、BitLockerを安全に使用することができます。
2.ShrinkLockerの攻撃手法
ShrinkLockerはデータ保護機能として強力なBitLockerを悪用するため、被害にあうと回復が困難な状況になります。ShrinkLockerにはBitLockerの特徴の裏腹にある以下のような特徴があります。
① BitLockerの悪用: ShrinkLockerは、Windowsの標準暗号化機能であるBitLockerを悪用して、ターゲットのPCを完全に暗号化します。他のランサムウェアとは異なり、BitLockerを使うことで、より強力な暗号化を実現しています。
② 復号化キーの盗取: ShrinkLockerは、暗号化したデータの復号化キーを盗もうとします。つまり、ユーザーがキーを持っていても、攻撃者に奪われてしまうため、通常のランサムウェアよりも回復が困難です。
③ 回復の困難さ: ShrinkLockerによる被害は非常に深刻で、通常のランサムウェアよりも回復が困難です。BitLockerの暗号化を解除するには、復号化キーが必要不可欠ですが、攻撃者に奪われてしまうため、データの復元が極めて難しくなります。
ShrinkLockerへの備え
ShrinkLockerは被害にあうと深刻ですが、回避策、被害低減策はあります。
① BitLockerの適切な設定
ShrinkLockerは、BitLockerを悪用して被害者のデータを暗号化します。BitLockerを適切に設定し、回復キーを安全に保管することが重要です。
② エンドポイントセキュリティの強化
ShrinkLockerのような新しい脅威に対応するため、エンドポイントセキュリティソリューションを導入することが重要です。最新のエンドポイントセキュリティソリューションを使用し、定期的に更新することで、新しい脅威から保護できます。
③従業員教育の実施
従業員に対して、ShrinkLockerの脅威や、BitLockerの適切な使用方法について教育を行うことが重要です。従業員が脅威に対する認識を持つことで、対策が適切に行われることにつながり、被害を未然に防ぐことができます。
④バックアップの実施
ShrinkLockerによってデータが暗号化された場合でも、バックアップがあれば、データを復元することができます。被害低減策として、定期的なバックアップの実施が重要です。
⑤ネットワークの監視
ShrinkLockerはWindowsOS特有の通信技術の脆弱性を使って侵入をすると考えられています。この感染を早期に検知するため、ネットワークの監視を行うことが重要です。異常な通信パターンを検知することで、被害を最小限に抑えることができます。
これらの対策を講じることで、ShrinkLockerの脅威から組織を守ることができます。 従業員教育や、最新のセキュリティ対策の導入が重要です。
4.ShrinkLockerの侵入経路
ShrinkLockerがどのような経路で侵入しうるのでしょうか?考えられる経路について述べます。
①Null Sessionの悪用
ShrinkLockerは、Null Sessionを悪用して、リモートからシステムに侵入する可能性があります。Null Sessionは、認証なしでリモートアクセスを可能にする機能で、適切に管理されていない場合に脆弱性となります。
②MS-RPCの脆弱性の悪用
ShrinkLockerは、MS-RPCの脆弱性を悪用して、リモートからシステムに侵入する可能性があります。MS-RPCは、Windows上で広く使用されているリモートプロシージャコールプロトコルで、適切に管理されていない場合に脆弱性となります。
③ステルス技術の使用
ShrinkLockerは、ステルス技術を使用して、侵入を隠蔽する可能性があります。ステルス技術は、侵入検知システムを回避するために使用される可能性があります。
これらの侵入経路に対して、適切な対策を講じることが重要です。BitLockerの適切な設定、Null Sessionの管理、MS-RPCの脆弱性への対応、そして侵入検知システムの導入などが考えられます。
5.Null Sessionの悪用とは
①Null Sessionとは
Null Sessionは、ユーザー名やパスワードを使わずにWindowsシステムにアクセスできる機能です。この機能は、システム管理者が特定のタスクを実行するために使用されることがあります。
②Null Sessionの脆弱性
Null Sessionが適切に管理されていない場合、悪意のある攻撃者に悪用される可能性があります。攻撃者は、Null Sessionを使ってリモートからシステムにアクセスし、機密情報を盗み取ったり、システムを乗っ取ったりする可能性があります。
③Null Sessionの悪用方法
攻撃者は、Null Sessionを使ってIPC$共有にアクセスし、サービスを操作したり、情報を収集したりする可能性があります。さらに、Null Sessionを使って、ユーザー情報やシステム情報を収集し、さらなる攻撃に使用する可能性があります。
④Null Sessionの対策
Null Sessionを無効化することで、この脆弱性を防ぐことができます。また、ファイアウォールやIDS/IPSなどのセキュリティ対策を導入し、不審な活動を監視することも重要です。
Null Sessionの悪用は、システムの深刻な侵害につながる可能性があるため、適切な対策を講じることが重要です。システム管理者は、Null Sessionの管理に十分注意を払う必要があります。
6.侵入検知システムを回避するためのステルス技術とは
侵入検知システム(IDS)は不正なネットワークアクセスを検知し、早期に被害を回避するための有効な対策ですが、攻撃者はこれを回避するためのステルス技術を使う可能性があります。ステルス技術には、以下のようなものがあります。
①パケットフラグメンテーション:
パケットを小さな断片に分割することで、IDSの検知を回避する手法です。断片化されたパケットは、IDSでは完全なパケットとして認識されず、攻撃の痕跡を隠すことができます。
②タイミングの調整:
攻撃を行うタイミングを調整することで、IDSの検知を回避する手法です。攻撃を低速で行ったり、一定の時間間隔をおいたりすることで、IDSの検知を逃れることができます。
③ペイロードの変更:
攻撃ペイロードの内容を変更することで、IDSの検知を回避する手法です。ペイロードの文字列や構造を変更することで、IDSの特徴ベースの検知を回避できます。
④ポート番号の変更:
攻撃に使用するポート番号を変更することで、IDSの検知を回避する手法です。一般的に使用されないポート番号を使うことで、IDSの検知を逃れることができます。
これらのステルス技術を組み合わせて使うことで、より高度な攻撃を行うことができます。これに対してはセキュリティ専門家による適切な管理と対策が重要です。
7.まとめ
ShrinkLockerのような新しい手法のランサムウェアの出現は、セキュリティ対策の重要性を示しています。BitLockerなどの標準機能を悪用する攻撃手法に対しては、適切な設定と管理が不可欠です。
また、定期的なバックアップの実施や、最新のセキュリティソフトウェアの導入など、多層的な対策を講じることが重要です。
今後も、このような新しい脅威に対する注意喚起と、適切な対策の検討が必要不可欠となるでしょう。
