新型ランサムウェア「Osiris」が登場:BYOVDテクニックで防御を突破する最新の脅威
サイバーセキュリティの世界で新たな脅威が出現しました。2025年11月、東南アジアの大手フードサービス・フランチャイズ企業を標的とした攻撃で、これまで知られていなかったランサムウェアファミリー「Osiris」が発見されました。この記事では、Osirisランサムウェアの攻撃手法、技術的特徴、そして組織を守るための具体的な対策について詳しく解説します。セキュリティ担当者はもちろん、IT管理者にとっても必読の内容です。
この記事のポイント
- 「Osiris」は2016年の同名マルウェアとは無関係の完全に新しいランサムウェア株
- BYOVD(Bring Your Own Vulnerable Driver)技術を使用してセキュリティソフトを無効化
- POORTRYドライバーという悪意のあるカスタムドライバーを攻撃に使用
- INCランサムウェアグループとの関連が疑われる技術的痕跡を発見
BYOVDとは何か:攻撃者が使う巧妙なテクニック
BYOVD(Bring Your Own Vulnerable Driver)は、攻撃者がシステムの防御を突破するために使用する高度な手法です。通常、Windowsシステムでは、カーネルレベルの操作には正規のドライバーが必要です。攻撃者はこの仕組みを悪用し、脆弱性のある正規ドライバーをシステムに持ち込んで、セキュリティソフトウェアを無効化します。
従来のBYOVD攻撃では、既知の脆弱性を持つ正規のドライバーが使用されていました。しかし、Osirisの攻撃者たちは一歩先を行き、「POORTRY」という悪意のあるカスタムドライバーを独自に開発しました。このドライバーは、特権昇格とセキュリティツールの終了に特化して設計されており、正規の脆弱なドライバーよりもはるかに効果的に攻撃目的を達成できます。
POORTRYドライバーの使用は、この攻撃グループが高い技術力を持っていることを示しています。カスタムドライバーの開発には、Windowsカーネルの深い知識と、ドライバー署名の迂回技術が必要だからです。
攻撃の流れ:侵入から暗号化まで
Osirisランサムウェアによる攻撃は、複数の段階を経て実行されます。まず、初期侵入後、攻撃者は環境内で偵察活動を行います。この段階で、NetscanやNetexecといった正規のネットワーク管理ツールが悪用されます。これらのツールは、ネットワーク管理者が日常的に使用するものであるため、セキュリティソフトウェアに検知されにくいという特徴があります。
次に、攻撃者はリモートアクセスを確立します。MeshAgentや改変されたRustdeskのバリアントが使用され、持続的なアクセスを維持します。Rustdeskはオープンソースのリモートデスクトップソフトウェアですが、攻撃者によってカスタマイズされ、検知を回避するよう改変されています。
データの暗号化前には、重要なステップが実行されます。Rcloneツールを使用して、被害者のデータがWasabiクラウドストレージバケットに外部流出されます。これは「二重恐喝」戦術の一部であり、身代金を支払わなければデータを公開すると脅迫するために使用されます。
Osirisの暗号化技術と影響範囲
Osirisランサムウェアは、ハイブリッド暗号化方式を採用しています。各ファイルに固有の暗号化キーが生成されるため、暗号化されたファイルの復旧は極めて困難です。この方式は、万が一一つの鍵が解読されても、他のファイルには影響しないように設計されています。
暗号化の前に、ランサムウェアは特定のプロセスとサービスを終了させます。対象には、Microsoft Office、Microsoft Exchange、Firefox、Volume Shadow Copy Service(VSS)、Veeamバックアップシステムなどが含まれます。特にVSSの終了は重要で、これによりシステムの復元ポイントからの回復が不可能になります。
このような広範なプロセス終了機能は、企業環境での被害を最大化するように設計されています。メールサーバー、バックアップシステム、業務アプリケーションが同時に影響を受けることで、組織の業務継続が著しく困難になります。
INCランサムウェアとの関連性
セキュリティ研究者たちは、OsirisとINCランサムウェアグループとの間に興味深い関連性を発見しました。攻撃で使用されたMimikatzツール(認証情報窃取ツール)が、過去のINC攻撃で使用されたものと同一であることが判明しました。また、「kaz.exe」という同一のファイル名規則も両者で共有されています。
これらの証拠は、Osirisが既存のランサムウェアグループから派生したか、同じ攻撃者が新しいツールセットを開発した可能性を示唆しています。ランサムウェアグループは、法執行機関の追跡を逃れるためにブランドを変更することがあり、これもその一例かもしれません。
ただし、これらの関連性は決定的なものではなく、攻撃者が意図的に偽の証拠を残している可能性もあります。サイバー犯罪の世界では、このような「フォールスフラグ」戦術も珍しくありません。
実践してみよう
組織のセキュリティ態勢を強化するために、以下のコマンドと設定を確認しましょう。
# Windowsでドライバーの署名状態を確認(管理者権限で実行)
driverquery /v | findstr /i "FALSE"
# 不審なドライバーが読み込まれていないか確認
Get-WmiObject Win32_SystemDriver | Where-Object {$_.State -eq 'Running'} | Select-Object Name, PathName, State
# RDPの接続制限を確認
Get-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Terminal Server' -Name fDenyTSConnections
# ネットワーク上のRclone通信を検出するためのFirewallルール
netsh advfirewall firewall add rule name="Block Rclone" dir=out action=block program="C:\*
clone.exe"
上記のコマンドは、システム管理者が定期的に実行することで、不審な活動の早期発見に役立ちます。特にドライバーの監視は、BYOVD攻撃の検知に効果的です。
セキュリティTips
-
RDPアクセスの制限: リモートデスクトップ接続は、必要なIPアドレスからのみ許可し、インターネットに直接公開しないでください。VPNを経由したアクセスを義務付けることで、攻撃対象領域を大幅に削減できます。
-
多要素認証の導入: すべての重要なシステムとアカウントに多要素認証を実装してください。パスワードが漏洩しても、追加の認証要素により不正アクセスを防止できます。
-
デュアルユースツールの監視: Rclone、Netscan、Netexecなどの正規ツールの使用を監視してください。これらのツールが予期しないアカウントや時間帯に使用された場合、侵害の兆候である可能性があります。
-
オフラインバックアップの維持: ネットワークから切り離されたオフラインバックアップを定期的に作成してください。ランサムウェアはネットワーク接続されたバックアップも暗号化するため、物理的に隔離されたバックアップが最後の防御線となります。
まとめ
Osirisランサムウェアは、現代のサイバー攻撃がいかに洗練されているかを示す好例です。BYOVDテクニックとカスタムドライバーの組み合わせ、正規ツールの悪用、そして二重恐喝戦術の採用は、攻撃者が常に防御を上回ろうとしていることを示しています。
組織を守るためには、多層的な防御アプローチが不可欠です。RDPの制限、多要素認証、ツール監視、そしてオフラインバックアップの組み合わせにより、攻撃の成功確率を大幅に低下させることができます。最新の脅威情報を常に把握し、セキュリティ対策を継続的に更新していくことが、今日のサイバーセキュリティ環境では不可欠です。
コメント