セキュリティ企業数社は、複数のハッキンググループが、Microsoftの署名を保持したドライバーを用いて一連の攻撃を実行していると報告している。こういった攻撃の中には、「Cuba」ランサムウェアを用いたキャンペーンも含まれている。
提供: Getty
多くのセキュリティサービスは、Microsoftの署名を保持しているものは何であれ、暗黙の信頼を置くため、これは大きな問題と言える。
「Microsoft Windowsハードウェア開発者プログラム」によって認定されたドライバーがさまざまなマルウェアの展開に用いられている件については、SentinelOneや、Google傘下のMandiant、Sophosが報告しており、Microsoftも12月の月例セキュリティパッチ「Patch Tuesday」において、報告を受けたことを認めている。
同社の署名を保持したこの悪質なドライバーは、標的となったシステム上で稼働しているさまざまなベンダーのエンドポイント検知エージェントやウイルス対策ソフトウェアを無効化するために用いられた。同社によると、このドライバーについては、米国時間10月19日にベンダーらから報告を受けていたという。
Mandiantはこの悪質なドライバーを「POORTRY」、そのローダーを「STONESTOP」という名称で追跡している。また同社は、複数のマルウェアファミリーがこのプロセスによって署名されていることを確認しており、これらの署名を保持したマルウェアと関連付けられた組織を9つ挙げている。
SentinelOneは、このドライバーが通信関連や、業務プロセスアウトソーシングのほか、エンターテインメント、運輸、マネージドセキュリティサービス、金融、仮想通貨(暗号資産)といった業界への侵入で用いられていたと報告している。また、一部のケースにおいて、脅威アクターらはSIMスワップにも使用しようとしていたという。
同社の報告には「特筆すべき点として、別の脅威アクターも、Microsoftの署名を保持した類似のドライバーを利用し、医療業界の標的に対して『Hive』ランサムウェアを展開している事実を確認している。これは、類似のツールにアクセスできるさまざまな脅威アクターによって、一般的な手法として用いられていることを意味している」と記されている。
攻撃者は、Microsoftの署名を保持したドライバーを入手するために、同社と認証局(CA)の間でやり取りされる複雑な手続きを経たようだ。
SentinelOneは「ほとんどのセキュリティソリューションは、Microsoftの署名さえ保持していれば何であっても暗黙のうちに信頼してしまう。カーネルモードのドライバーの場合は特にそうだ。この点にプロセス上の大きな問題がある」と記している。
Microsoftは調査の結果、こうしたアクティビティが「開発者プログラムにおけるいくつかのアカウントの悪用に限定されている」ことが判明したと述べた上で、セキュリティ侵害は発見されていないとしている。
また同社は、該当パートナーのセラーアカウントの停止と、ブロッキング検出の実装、影響のあったファイルの証明書の無効化を実施した。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
