【ITニュース解説】Silver Fox Exploits Microsoft-Signed WatchDog Driver to Deploy ValleyRAT Malware
ITニュース概要
攻撃者「Silver Fox」が、Microsoftの署名がある正規ドライバーの脆弱性を悪用。この「BYOVD」攻撃は、脆弱なドライバーでセキュリティソフトを無効化し、マルウェア「ValleyRAT」に感染させる。正規の署名が悪用されるため検知が困難となる。
ITニュース解説
サイバーセキュリティの世界では、常に新たな攻撃手法が生まれ、私たちのデジタルな生活を脅かしている。今回報告された「Silver Fox」と呼ばれる脅威アクターによる攻撃は、その巧妙さと危険性を示している。彼らは、通常ならば信頼できるはずのマイクロソフト(Microsoft)によって署名されたドライバーを悪用し、コンピューターにインストールされたセキュリティ対策を無効化しようとした。この攻撃について、その仕組みと何が問題なのかを詳しく見ていこう。 まず、ドライバーとは何か、その役割から説明する。コンピューターを構成するハードウェア、例えばマウスやキーボード、プリンター、ネットワークカードなどが正しく動作するためには、それぞれに対応したソフトウェアが必要となる。これが「デバイスドライバー」だ。OS(オペレーティングシステム)は、ドライバーを通じてこれらのハードウェアとやり取りし、私たちがコンピューターを快適に利用できるようにしている。ドライバーはOSの非常に深い部分、通称「カーネル」と呼ばれる中核部分で動作することが多く、コンピューター全体を制御する非常に強力な権限を持っている。そのため、ドライバーに問題があると、コンピューター全体に深刻な影響が出る可能性があるのだ。 次に、「マイクロソフト署名」とは何か。これは、ドライバーが正規のものであり、改ざんされていないことを保証するためのデジタル証明書のようなものだ。マイクロソフトは、OSの安定性とセキュリティを保つため、ドライバー開発者が提出したドライバーが一定の基準を満たしているかを確認し、問題がなければデジタル署名を与える。この署名があることで、ユーザーは「このドライバーは安全だ」と信頼してインストールできる。署名のないドライバーは、Windowsが警告を出したり、インストールを拒否したりすることが一般的だ。今回のケースでは、攻撃に悪用された「amsdk.sys」というドライバーが、このマイクロソフト署名を保有していたという点が重要になる。 このamsdk.sysは、「WatchDog Anti-malware」という特定のセキュリティ製品に関連するドライバーだった。WatchDogはアンチマルウェア(悪意のあるソフトウェア対策)製品であり、コンピューターを保護する役割を担っている。通常、アンチマルウェア製品はその機能の一部として、システム深部を監視・制御するためにドライバーを利用する。しかし、このamsdk.sysドライバーには「脆弱性」、つまり攻撃者が悪用できるプログラム上の弱点が存在したのだ。 Silver Foxは、この脆弱なドライバーを「Bring Your Own Vulnerable Driver(BYOVD)」という手法で悪用した。BYOVDは、「自分で脆弱なドライバーを持ち込む」という意味の攻撃手法だ。最新のOSはセキュリティが非常に強化されており、悪意のあるプログラムがカーネルのようなOSの深部に直接アクセスし、勝手にシステムを操作することは非常に難しくなっている。そこで攻撃者は、OSがすでに信頼している、つまりマイクロソフト署名が付与された正規のドライバーの中に、偶然にも脆弱性があるものを見つけ出し、それをコンピューターに持ち込む(あるいは既存のものを悪用する)。そして、その脆弱性を突いて、正規のドライバーが持つ高い権限を乗っ取ることで、OSのセキュリティ対策を迂回し、本来できないはずの操作を行おうとするのだ。 この攻撃の最も重要な目的は、「セキュリティソリューションの無効化」だった。コンピューターがマルウェアに感染すると、通常はインストールされているアンチウイルスソフトやEDR(Endpoint Detection and Response)のようなセキュリティ対策製品がそれを検知し、阻止しようとする。しかし、攻撃者はマルウェアを完全に実行し、その目的を達成するために、これらのセキュリティ対策が邪魔になる。そこで、まずセキュリティ対策を停止させることを試みる。カーネルレベルで動作するドライバーの脆弱性を悪用することで、OSの最も深い部分からセキュリティソフトを停止させたり、監視機能を無効にしたりできるため、ユーザーレベルのアプリケーションを停止させるよりも格段に困難になる。セキュリティ対策が無効化されれば、Silver Foxは「ValleyRAT」と呼ばれるマルウェアを自由に展開し、情報窃取やさらなるシステム侵害を容易に行うことが可能になる。 今回の攻撃が特に厄介なのは、悪用されたドライバーが「マイクロソフト署名付き」であったという点だ。通常、この署名があることでドライバーは信頼され、セキュリティソフトもそれを危険視しないことが多い。しかし、正規のベンダーによって開発され、マイクロソフトによって署名されたドライバーであっても、その後のバージョンアップや未知のバグによって脆弱性が生まれる可能性がある。今回のケースは、その脆弱性が攻撃者によって発見され、悪用された典型的な例と言えるだろう。OSやセキュリティソフトは、署名されたドライバーを信頼するため、この攻撃はセキュリティソフトの目をすり抜けやすく、被害の発見が遅れる可能性もある。 まとめると、Silver Foxはマイクロソフトによって署名された正規のアンチマルウェア製品のドライバー「amsdk.sys」に存在する脆弱性を悪用し、BYOVD攻撃という手法でコンピューターに侵入した。その目的は、まずコンピューター上のセキュリティ対策を無効化し、その後、ValleyRATのようなマルウェアを自由に展開することだった。この事例は、たとえ正規のソフトウェアであっても脆弱性が存在する可能性があり、その脆弱性が悪用されることで、従来のセキュリティ対策を迂回されてしまう危険性があることを示している。私たちは常に、OSやソフトウェアのアップデートを適用し、既知の脆弱性対策を行うことが重要だと改めて認識させられる攻撃と言えるだろう。