【投稿者コメント】

【キーワード】

[WinOSは危険OS]､[なぜ放置するのか？]､[基幹業務停止深刻被害]

【件名】

｢WindowsOSの安全機能のBitLockerが悪用されて､ランサムウェア被害が拡大中／MSのやるべき事は､一刻も早く､このランサムウェアのShrinkLocker被害を解消する事であり､IT世界を破壊する生成AIを拡大する事ではない／MicrosoftはITベンダではなく､ネットワーク犯罪のランサムウェア被害に手を貸す犯罪企業なのか｣

【投稿本文】

【１】最近､ランサムウェア被害が拡大して社会生活が破綻する様な深刻な事態になった

　最近､地域の基幹病院のカルテ管理システム等のPCドライブが､ランサムウェで暗号化されて使用不可になり､基幹病院の業務停止に追い込まれて､地域住民の健康安全が脅かされると云う事件が徳島県等､国内11病院で､相次いでいる！(→ https://www.yomiuri.co.jp/national/20211228-OYT1T50173/ )

　海外の被害事例では､ランサムウェアの感染に依る米国石油パイプライン大手の停止とか､ランサムウェアによる米国の上下水道施設を対象としたサイバー攻撃とか､ノルウェーのアルミニウム製造大手がランサムウェアによる攻撃を受けて長期間に渡って生産量が著しく低下する事態が発生と､幅広い！(→ https://www.hitachi-solutions.co.jp/security/sp/column/cyberattack/06.html )

　ランサムウェア攻撃を受けて､公共サービスや社会インフラや基幹産業が停止すると云うように､停止すれば深刻な被害が発生する｢重要な基幹システム｣が標的になるから､このまま､ランサムウェ被害が放置され続けると､急に､市役所の住民票の交付が出来なくなるとか､自動車の免許更新が出来なくなるとか､水道･電気･ガスや電車や飛行機が止まる事態にも成りかねず､社会生活が破壊されてしまう！

【２】｢ランサムウェア｣が､WindowsOSの安全機能を悪用して､被害が拡大し続けている

　｢ランサムウェア｣とは､ソフトウェアを悪用して､企業の重要データを格納したドライブを暗号化して身代金を要求するマルウェアの事だ！

　ここで､下記の【以下転載】に依れば､なんと､｢悪用されるソフトウェア｣とは､WindowsOSの安全機能である｢BitLocker｣と云うではないか？！

　そもそも､｢BitLocker｣は､本来､デバイスの紛失や盗難､廃棄に於けるデータ漏洩のリスクを抑える為のWindowsOSの安全機能だが､このWindowsOSの安全機能が乗っ取られて悪用されると云うから､ひどい話しだ！

　その手口を下記に示す｡

　犯罪者(攻撃者)は､ファイルを格納したドライブを暗号化するのに､わざわざ､暗号化ソフトを持ち込まなくとも､WindowsOSの安全機能の｢BitLocker｣を乗っ取って悪用出来るから､便利この上もない！

　WindowsOSの安全機能の｢BitLocker｣と云えども､犯罪者(攻撃者)に悪用されれば､単なる攻撃ツールの凶器･兵器･武器に過ぎなくなる！

　下記の手口では､攻撃が3段階となっており､それこそ､Microsoftが本気になれば､各攻撃の段階で､悪性挙動＝犯罪操作を無効化･防御出来るはずだ！

　特に､手口②の行程(工程)に於いて､BitLockerに依る｢ドライブの暗号化｣操作に於いては､二重三重の安全対処(例:暗号化の前に､生体認証やパスキーに依る認証を義務付ける)を施行すれば､比較的容易に防御出来るはずなのに､なぜ､Microsoftは､｢BitLockerの悪用防御対策｣を実行しないのか､不思議だ？

　更に､Microsoftは､Windows11の次期大型Updateの24H2では､この危険な｢BitLocker｣をディフォルトで有効(ON)に設定すると云うから､ランサムウェア攻撃を助長すると云う､この基地外ざたの強行･凶行には驚く！

【３】なぜ｢ランサムウェア｣対策が実行されずに､約20年間も放置され続けているのか？

　これらのランサムウェア被害は､最近､急に､増大したのではなく､・・・

　初めて存在が知られたランサムウェアは､1989年にジョセフ･ポップによって作られた｢AIDS Trojan(英語版)｣と云う｢トロイの木馬｣であり､猛威を振るったランサムウェアの例は､2005年5月に顕著になった､Gpcode（英語版)､TROJ.RANSOM.A､Archiveus(英語版)､Krotten､Cryzip､MayArchive等のマエウェアであり､その後､ランサムウェアに依る被害は､世界的に増大してきて､2013年6月に､セキュリティソフトウェア企業のマカフィーは､2013年の第1四半期に於いて､25万個以上に及ぶランサムウェアのサンプルを収集したと発表して､今日に至る｡

　と云う事は､ランサムウェアの本格な被害報告が､2005年5月頃と云うから､今に至る約19年間も､Microsoftは､何ら､対策を実行せずに､ランサムウェア被害を放置し続けたと云う事だ！

【４】なぜ､WindowsOSの安全機能の｢BitLocker｣機能が悪用出来るのか？／ランサムウェア被害の具体的な手口は？

　ここで､下記の手口の①では､既に､標的のPCは､攻撃されて､乗っ取られているからこそ､PCユーザ権限＝アドミン権限を窃盗して､BitLockerのON/OFFの検知や空きパーティションを作ってブートファイルをインストール出来たのだ！

　つまり､BitLocker云々と云う前に､簡単に､PCがPC所有者以外の犯罪者(攻撃者)に乗っ取られてはならぬのであって､それでは､PC起動時のPC所有者か否かの認証は､全く､意味がなくなる！

　IT端末が､簡単に､乗っ取られる様なOSは､まともなOSとは云えないから､本来は､すぐに廃棄すべきOSと云える！

　云うなれば､ランサムウェアの本格な被害報告が､2005年5月頃と云うから､その時に､ランサムウェア被害を解消出来なかったのであるから､本来､2005年5月に､危険なWindowsOSは廃棄されて当たり前である！

　なぜ､ランサムウェア被害を解消出来ないかと云うと､WindowsOSには､簡単に乗取り出来る脆弱性が多数あり､明確な脆弱性の他に､不明な､未知な脆弱性が数限りなく存在するからだ！

　ランサムウェア被害が既存のウィルス対策ソフトで防御出来ない理由は､ランサムウェア感染･乗取りに､WindowsOSの多数の不明な､未知な脆弱性が悪用されるからだ！

【５】MicrosoftはWindowsOSの脆弱性対策を確実に実行せよ！

　Microsoftは､危険なWindowsOSを廃棄しないのであれば､責任をもって､WindowsOSの脆弱性対策を確実に実行する責務がある！

　例えば､｢ドライブの暗号化(BitLocker)｣や｢バックアップ取得｣の様な｢重要操作｣を実行する前には､生体認証やパスキーに依る｢認証｣操作を義務付けるとか・・・

　少なくとも､PCの命運を左右する重要な操作の前に､｢Winows Server OS｣の如き､｢Active Directory｣ベースの｢ファイルアクセス権限管理｣を厳密に実行すべきだ！

　この問題は､WindowsOSの脆弱なファイルシステムの｢NTFS､FAT32､FAT16｣を､サーバOS並みの安全な｢ReFS(Resilient File System)｣へブラシュアップしない限り､解消すまい！

 

【BitLockerを悪用したランサムウェア攻撃の｢ShrinkLocker｣の手口】

①まずVBScriptを使ってOSがBitLockerに対応しているか否かをチェックして､条件を満たせば､各非ブートパーティションを100MB縮小して､その空きスペースにプライマリパーティションを新設して､ブートファイルをインストールする｡

②その後､レジストリを変更して､RDP接続の無効化やTPM非搭載デバイスでのBitLockerの有効化等を実行して､被害者が後から回復出来なくなる様に､暗号化キー等を保護する為のプロテクタを無効化して削除した上で､BitLockerを悪用してドライブを暗号化して､64文字のランダムな暗号化キーを生成して､攻撃者へ標的PCのデバイス情報や暗号化キー等を送信する｡

③最後に､ログ等を削除してPCを強制的にシャットダウンして､PC再起動後は｢There are no more BitLocker recovery options on your PC｣(BitLockerの回復オプションがありません)と云うメッセージが表示され､PCが使えなくなり､データにもアクセス出来なくなり､PCが破壊される！

 

【以下転載】

https://pc.watch.impress.co.jp/docs/news/1594922.html　
｢BitLockerを悪用してPCを暗号化するランサムウェア､Kasperskyが注意喚起｣
　　　　　　　　　　　　　　　　　　PC Watch　宇都宮 充　2024年5月27日 14:33

　Kasperskyは23日、BitLockerを悪用したランサムウェア攻撃「ShrinkLocker」について、情報を公開し注意喚起した。

　ShrinkLockerは、Windowsに標準搭載の暗号化機能であるBitLockerを悪用した攻撃で、標的のPCのボリューム全体を暗号化した上で、復号化キーを盗むという手法が用いられているという。BitLockerは本来、デバイスの紛失や盗難、廃棄におけるデータ漏洩のリスクを抑えるための機能となっている。

　まずVBScriptを使ってOSがBitLockerに対応しているかなどをチェック。条件を満たしている場合は、各非ブートパーティションを100MB縮小し、そのスペースに新たにプライマリパーティションを設定し、ブートファイルをインストールする。パーティションの名前は攻撃者のメールアドレスに変更される。

　その後、レジストリ変更によって、RDP接続の無効化やTPM非搭載デバイスでのBitLockerの有効化などを実行。被害者があとから回復できなくなるよう、暗号化キーなどを保護するためのプロテクターを無効化して削除する。さらに、64文字のランダムな暗号化キーを生成し、攻撃者に対して標的となったデバイス情報や暗号化キーなどを送信する。

　最後にログなどを削除してPCを強制的にシャットダウンする。再起動後は「There are no more BitLocker recovery options on your PC」(BitLockerの回復オプションがありません)というメッセージが表示され、PCが使えなくなり、データにもアクセスできなくなる。

　Kasperskyでは、Windowsの内部構造などを熟知した攻撃者が関わっていると考えられると分析している。また緩和策として、PCの暗号化のほか、ネットワークトラフィックのロギングの監視、VBScriptやPowerShell関連のイベント監視、バックアップなどを行なうよう勧めている。

■編集部のおすすめ記事：
・｢回復キーを無くすと終わるBitLocker。自動で有効化されてしまうことも。まさかのためのBitLocker入門｣
　https://pc.watch.impress.co.jp/docs/topic/feature/1437468.html 

■関連リンク：
・｢Kasperskyのホームページ｣
　https://www.kaspersky.com/ 
・｢ニュースリリース(英文)｣
　https://securelist.com/ransomware-abuses-bitlocker/112643/ 

■関連記事：
・｢Windows 11更新でBitLocker暗号化キーを求められる不具合。不明だとデータ消失に,2022年8月22日｣
　https://pc.watch.impress.co.jp/docs/news/1433664.html 

添付図１_BitLockerを悪用したランサムウェア攻撃の｢ShrinkLocker｣では､標的のPCのボリューム全体を暗号化した上で､復号化キーを盗んで､最後にログ等を削除してPCを強制的にシャットダウンして､再起動後は｢There are no more BitLocker recovery options on your PC｣(BitLockerの回復オプションがありません)と云うメッセージが表示され､PCが使えなくなり､データにもアクセス出来なくなり､PCが破壊される！｢BitLocker｣は本来､デバイスの紛失や盗難､廃棄に於けるデータ漏洩のリスクを抑える為の安全機能だが､この安全機能が悪用される！