ウイルス対策ソフトウェアの脆弱性により、ランサムウェアに対する保護を回避できます

2021/06/03 セキュリティーニュース
logo

研究者が説明した攻撃は、保護されたフォルダ機能をバイパスし、マウスクリックをシミュレートすることで保護を無効にすることを目的としたものです。

ロンドン大学とルクセンブルグ大学の専門家グループは、人気のあるウイルス対策製品に深刻な脆弱性があることを特定しました。この脆弱性により、保護を無効にしてアプリケーションのホワイトリストを制御し、ランサムウェア対策機能をバイパスすることができます。

研究者が説明した 2 つの攻撃は、ファイルを暗号化するためにウイルス対策プログラムが提供する保護されたフォルダ機能をバイパスすること (カットアンドマウス攻撃) と、マウス クリックをシミュレートしてリアルタイムのウイルス対策保護を無効にすること (ゴーストコントロール攻撃) を目的としたものです。

保護されたフォルダ機能を使用すると、ユーザーはマルウェア保護の追加レイヤーが必要なフォルダを指定できるため、それらへの安全でないアクセスをブロックする可能性があります。 保護されたフォルダへの書き込み権限は、ホワイトリストにある限られた数のアプリケーションにのみ付与されます。 ただし、ホワイトリストに登録されたアプリ自体は、他のアプリによる誤用から保護されていません。 したがって、マルウェアはホワイトリストに登録されたアプリケーションを仲介者として使用して、保護されたフォルダに対して操作を実行できるため、この信頼は正当化されません。

研究者が開発したカットアンドマウス攻撃のシナリオでは、悪意のあるコードを使用してホワイトリストに登録されたアプリケーション (メモ帳など) を制御し、保護されたフォルダに保存されている被害者のファイルを書き込み、暗号化できることが示されました。 この目的のために、ランサムウェアはフォルダ内のファイルを読み取り、メモリ内でそれらを暗号化してシステム クリップボードにコピーし、メモ帳を起動してフォルダの内容をクリップボードのデータで上書きします。

さらに悪いことに、信頼できるアプリケーションとしてペイントを使用すると、前述の攻撃シナリオを使用して、ユーザーのファイルをランダムに生成された画像で上書きし、永久に破壊する可能性があることがわかりました。

 一方、ゴーストコントロール攻撃は、それ自体が深刻な結果をもたらす可能性があります。これは、ウイルス対策ソリューションのユーザー インターフェイスで正当なユーザー アクションをシミュレートしてリアルタイムのマルウェア保護を無効にすると、攻撃者が制御下にあるリモート サーバーからインストールし、不正なプログラムを実行します。

研究者によってテストされた 29 のウイルス対策ソリューションのうち、14 はゴースト コントロール攻撃に対して脆弱です。  29 製品すべてがカットアンドマウス攻撃に対して脆弱でした。 研究者は、ソリューションの名前とその製造元を報告しませんでした。

まとめ

ランサムウェア攻撃にはウイルス対策ソリューションが役に立たないということです。殆どの標的型攻撃はメールに添付されているファイルか、リンク先のサイトにアクセスし、マルウエアに感染し、最終的にはランサムウェア攻撃に合うことが多いです。ランサムウェア攻撃を受けるとシステムを数日から数週間停止しなければならなくなります。PCを起動することも禁止されます。そうなると経済活動もできなくなります。

 

弊社で標的型攻撃やランサムウェア攻撃に対応したメールソリューションの提供を開始しましたので、ご利用ください。