EDRを削除・無力化するランサムウェアの脅威 巧妙な手法を解説

エンドポイントの異常を発見するために、EDRが広く導入されている。だが、このEDRを削除することで発見を免れて広がるランサムウェアが生まれた。

[Rob Wright，Cybersecurity Dive]

　基本的なサイバー防御を固め、EDR（Endpoint Detection and Response）を導入することでマルウェアの感染やランサムウェア攻撃に対抗する企業は多い。

　だが、EDRを削除した後に広がるランサムウェア攻撃が見つかった。どうしてそのようなことが可能なのだろうか。

EDRを削除・無力化するランサムウェアの脅威　巧妙な手法を解説

　このような動作をするランサムウェア「Medusa」が見つかった。悪質なデバイスドライバ（ドライバ）を使用して、標的組織のネットワークへ侵入するとともに、EDR製品を妨害したり、削除したりする。

　Medusaを調査したのはAIサービスを提供するElasticのサイバーセキュリティチームSecurity Labsだ（注1）。

　犯行グループはMedusaを配布するために、「HeartCrypt」と呼ばれるサービス（マルウェアを隠匿する手法でPacker as a Serviceと呼ばれる）とドライバ「ABYSSWORKER」を展開した。

　このドライバは今回初めて検出されたものではない。ソフトウェア企業のConnectWiseが2025年1月に報告済みだ（注2）。当時は「Microsoft Teams」を悪用した別のITサポート詐欺の攻撃キャンペーンに関与していた。

　Elasticによると、Medusaの攻撃では悪質なドライバが「CrowdStrike Falcon」の正規のドライバを偽装してEDRを妨害する。さらに他社のデジタル証明書を悪用して、あたかも正規プログラムであるかのように装っているという。

　Elastic Security Labsのシリル・フランソワ氏（シニアリサーチエンジニア）は次のように述べた。

　「全ての攻撃の証拠（サンプル）は、中国企業から盗まれたと思われるすでに失効したデジタル証明書を使って署名されていた。これらの証明書は広く知られており、さまざまなマルウェアのサンプルや攻撃キャンペーンで共有されているもので、このドライバ特有のものではない」

　証明書が失効しているのであれば、危険性はないと考えるのは早計だ。ABYSSWORKERのような悪質なプログラムでは依然として有効な場合がある。なぜなら、ドライバはカーネルレベルのアクセス権を持つため、「Windows」などのOSは失効済みの証明書で署名されたドライバであっても、一部の読み込みを許可することがあるからだ。全てのドライバを一律にブロックするとシステム性能に悪影響を及ぼし、最悪の場合、システムがクラッシュする恐れがある。

　Elasticで脅威調査を担当するデボン・カー氏（ディレクター）は「Cybersecurity Dive」に対し、次のように語った。

　「われわれの理解では、Windowsがドライバの署名を検証する仕組み上、証明書チェーンに『古い証明書』が含まれている場合でも、一部のドライバはインストールされ、実行が許可されてしまうようだ」

　カー氏は続けて「攻撃者が証明書の署名日時を改ざんする手法もあり、これによって有効期限切れや失効済みの証明書を、あたかも有効であるかのように見せる。このような技術もこうした攻撃に生かされている可能性がある」と述べた。

　このような欠陥があるため、近年、ドライバがハッキングツールとして人気を集めている。ドライバを使えばカーネルへアクセスでき、EDRをはじめとしたセキュリティ製品のプロセスを強制終了させるなど、特権的な操作が可能にする。攻撃者はABYSSWORKERのような独自の悪質なドライバを開発することもあれば、正規のドライバの脆弱（ぜいじゃく）性を悪用して攻撃に利用するBYOVD攻撃（脆弱なドライバを悪用して攻撃）することもある（注3）。

この手法はどの程度広がっているのか

　フランソワ氏によると、ABYSSWORKERのドライバはファイルやプロセスを操作し、EDRのプログラムを終了させたり、さらには完全に削除したりすることも可能だという。このドライバは特定のAPIに登録されたコールバック通知を削除することで、EDR製品を無力化できるようだ。

　2025年3月の初め、サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）と連邦捜査局（FBI）、サイバーセキュリティ支援組織のMS-ISACが共同で発表したサイバーセキュリティ勧告によると、Medusaはこの2年間で300以上の組織に感染被害を与えており（注4）、多くは（電力やガス、鉄道、空港などの）重要インフラ分野の組織だという。この勧告ではMedusaの攻撃グループがEDR製品を妨害または削除するために、BYOD攻撃を使用していることも指摘した。

　ConnectWiseの投稿によると、以前の攻撃キャンペーンにおいて、このドライバはSentinelOneの製品を標的にしていたようだ。しかし、Elasticは、ABYSSWORKERが現在複数の異なるEDRベンダーを標的にしていると指摘した。

出典：Medusa ransomware using malicious driver as EDR killer（Cybersecurity Dive）
注1：Shedding light on the ABYSSWORKER driver（Elastic Security Labs）
注2：Attackers Leveraging Microsoft Teams Defaults and Quick Assist for Social Engineering Attacks（LinkedIn）
注3：Microsoft-signed driver used in ransomware attacks（Cybersecurity Dive）
注4：Medusa ransomware slams critical infrastructure organizations（Cybersecurity Dive）