企業のセキュリティを脅かす新たな「EDRキラー」の危険性とは

ランサムウェア対策で必要不可欠とも言えるEDRを停止する攻撃「EDRKillShifter」が流行し始めた。

[Rob Wright，Cybersecurity Dive]

　ランサムウェア対策ではEDR（Endpoint Detection and Response）が必要不可欠だ。ランサムウェア攻撃による異常を検知し、対応し、脅威を可視化するためにはEDRが欠かせないと言えるだろう。

　セキュリティサービスを提供するESETが2025年3月25日に発表したレポートによると（注1）、ランサムウェアを使う攻撃者が脆弱（ぜいじゃく）なデバイスドライバを悪用して「EDRキラー」と呼ばれるツール「EDRKillShifter」を作成、販売しているという。EDRの動作を妨害したり、削除したりするケースが増えている。

EDRを停止するランサム用ツール　販売開始以降に悪用が増える

　攻撃者が脆弱なドライバを悪用するのは（注2）、ドライバがOSのカーネルへのアクセス権を持っているためだ。悪質な活動が検知される前にEDRのようなセキュリティ製品のプロセスを強制終了させることができる。

　ESETの研究者はEDRKillShifterと呼ばれるカスタムツールを分析した。これは、悪名高いランサムウェア集団「RansomHub」によって開発され、管理されている。状況はよくない。このツールはダークWeb上で入手可能だからだ。研究者は「Play」や「Medusa」（注3）、「BianLian」といった他のランサムウェア・アズ・ア・サービス（RaaS）集団でもEDRKillShifterの使用が増えていることを確認した。

　EDRKillShifterをはじめとするEDRキラーは、RaaSの関係者にとって価値のあるツールで、ますます人気が高まっている。ESETのマルウェア研究者ヤクブ・ソウチェク氏とヤン・ホルマン氏は、レポートの中で「EDRKillShifterが唯一のEDRキラーというわけではない。実際、当社の研究者はランサムウェアを攻撃手段とする人物が使うEDRキラーの種類が増えていることを確認した」と述べた。

　EDRはランサムウェア対策で有用だ。ランサムウェア攻撃で使われる不正コード内に含まれる暗号化ツール（エンクリプター）を効果的に検知したり、阻止したりできるからだ。

　RaaS関連の犯罪者がEDRキラーのようなツールを使うのはこうした検知を回避するためだ。

　このような状況はセキュリティベンダーや企業のセキュリティチームにとって大きな課題だ。ソウチェク氏とホルマン氏によると、ESETではEDRキラーによって悪用される脆弱なドライバを「潜在的に危険なプログラム」としてフラグ付けし、読み込まれるのを防いでいるという。企業に対しても同様に対策するように推奨している。

　研究者はプロジェクト「Living Off The Land Drivers」（LOLDrivers）が管理するデータベースには（注4）、1700件以上の脆弱なドライバが存在すると指摘した。しかし、ソウチェク氏とホルマン氏によると、これらのうちEDRキラーに実際に使用されているドライバはごくわずかであり、その種類も比較的変化しないという。

LOLDriversとはどのようなデータベースなのか

　LOLDriversはRed Canaryで高度な脅威検出について研究しているマイケル・ハーグ氏の研究に触発されたプロジェクトで、Splunkの脅威研究チームのディレクターであるホセ・エンリケ・エルナンデス氏が中心となって推進している。

　このデータベースには悪用される可能性のあるWindowsドライバの情報が格納されている。LOLDriversの目的は攻撃者がサイバー防御を回避し、悪意のあるコードを実行するために利用するドライバを追跡することだ（キーマンズネット編集部）

　一方、脆弱なドライバを特定し、阻止することは依然として難しい課題だ。ESETのレポートによると、EDRキラーはしばしば難読化されたコードを使用して、初期の検出を回避している。研究者はRansomHubが開発したEDRKillShifterには、64文字のパスワードで保護されたシェルコードが含まれていることを発見した。

　レポートの中で研究者は次のように記している。

　「このパスワードがなければ、セキュリティ研究者は標的となるプロセス名の一覧も、悪用されている脆弱なドライバも取得できない」

　EDRKillShifterには非常に効果的であるという評判があり、2024年にダークWeb上でサービスとして提供されて以降、攻撃に使用する競合ランサムウェア集団が増えている。ESETの研究者によると、ダークWebでの公開後に「活動の急増」が確認されたという。

出典：Ransomware gangs increasingly brandish EDR bypass tools（Cybersecurity Dive）
注1：Shifting the sands of RansomHub’s EDRKillShifter（WeLiveSecurity）
注2：Microsoft-signed driver used in ransomware attacks（Cybersecurity Dive）
注3：Medusa ransomware using malicious driver as EDR killer（Cybersecurity Dive）
注4：Living Off The Land Drivers（LOL Drivers）