Windows標準機能を悪用してデータを暗号化するランサムウェア出現 カスペルスキー報告

　Windowsが搭載する暗号化システム「BitLocker」を悪用してデータを暗号化。パスだけを盗み、攻撃者に連絡をさせる──こんな性質のランサムウェア「ShrinkLocker」を確認したとして、カスペルスキーが5月28日に注意を呼び掛けた。

　カスペルスキーによれば、ShrinkLockerはVBScriptで書かれたスクリプトによって、攻撃対象であるOS（Windows）のバージョンを確認し、その上でBitLockerを有効化する点が特徴という。

　OSが攻撃に適するバージョンの場合、スクリプトによって立ち上げ時の設定を変更。Windowsがインストールされていないパーティションを縮小し、空いた領域を使ってOSのブートファイルを含む新たなパーティションを設定する。そのパーティションのラベルを攻撃者のメールアドレスにし、被害者が連絡できるようにするという。

　その後、ユーザーによる自力の復旧を防ぐため、復号キーを保護するプロテクトを削除する。そして64文字のランダムなキーを生成し、攻撃対象になったPCの情報と合わせて攻撃者に送信する。

　次に、侵入の痕跡となるログなどを削除した後、システムを強制的にシャットダウンする。起動しなおすと、被害者のPCはBitLockerが有効になっており、画面には「お使いの PCにはもうBitLocker回復オプションがありません」というメッセージが表示されるという。これにより、暗号化を解除するには攻撃者に連絡するしかない状況を作り出すわけだ。

　カスペルスキーは、確認したスクリプトが「Windowsの最新バージョンからWindows Server 2008までのレガシーシステムに感染させることができる」と分析している。日本ではまだ同様の被害を確認していないものの、メキシコ、インドネシア、ヨルダンではすでに確認しており、主に鉄鋼業者やワクチンの製造企業、政府機関がターゲットになっていたという。

　BitLockerは本来、ストレージを暗号化することで、PCの盗難・紛失時のリスクを低減するためのものだ。カスペルスキーは「本来データの盗難や流出のリスクを軽減するために設計されたBitLockerが、攻撃者によって悪用されている。セキュリティ対策がこのように武器化されたことは、皮肉なこと」とコメント。

　被害の緩和には、ユーザー権限の適切な管理によって暗号化機能の不正な有効化を防ぐ、ネットワークトラフィックやログの監視、定期的なバックアップなどの対策が重要と呼び掛けている。