ハクソク

世界を動かす技術を、日本語で。

ロシア語キーボードがインストールされていると多くのランサムウェアが中止する (2021)

330日前原文(krebsonsecurity.com)

概要

  • ランサムウェア の多くは特定の言語環境下で動作しない設計
  • ロシア語やウクライナ語 などの仮想キーボードがインストールされている場合、感染を回避
  • この手法は 東欧やCIS諸国 の法的リスク回避が目的
  • 完全な防御策ではないが、 簡単かつ無料 の予防策として有効
  • 設定方法や注意点 についても解説

ランサムウェアが避ける「言語チェック」の仕組み

  • ほとんどの ランサムウェア は、特定の仮想キーボード(例: ロシア語、ウクライナ語)がインストールされているWindows環境ではインストールされない仕様
  • この挙動は、 ロシアやCIS諸国 での摘発リスクを避けるための 自己防衛策
  • CIS(独立国家共同体)加盟国 は多くのマルウェアで除外リストに含まれる傾向
  • Colonial Pipeline への攻撃や DarkSide グループの事例でも、この仕組みが確認
  • ロシア当局 は国内被害がなければサイバー犯罪捜査を行わない傾向

攻撃者の地政学的戦略

  • DarkSide などのロシア語圏マルウェアは、プラットフォーム自体を 地政学的制限 で設計
  • 除外リストには CIS主要国やシリア などが含まれる
  • システム言語をチェックし、該当すれば マルウェアのインストールを中断
  • これにより、 国内法的リスク を最小化

この防御策の限界と実用性

  • 全てのマルウェア に有効なわけではない点に注意
  • ディフェンス・イン・デプス (多層防御)や安全なネット利用習慣の重要性
  • 最大のリスク は、意図せずメニューがロシア語表記になる程度
  • Windows+Space で簡単に言語切替が可能

攻撃者側の対応と今後の展望

  • 言語チェック を無効化するマルウェアも登場
  • しかし、これにより攻撃者の 法的リスク が増大
  • ロシアの法文化 では、国内被害を出さないことが犯罪者の保護策
  • 多くのユーザーがこの手法を採用すれば、攻撃者は 選択を迫られる 状況に

仮想環境や他の対策との比較

  • 仮想マシン環境 を装うレジストリ設定は、現在では効果が薄い
  • 多くの組織が 仮想環境 を日常利用しているため、マルウェア側も対策済み
  • CIS言語追加 による防御策の方が現実的

Windowsでの設定方法

  • Windowsキー+X で設定メニューを開き、「設定」→「時刻と言語」→「言語」から追加
  • 再起動後 に新しい言語が利用可能
  • Windows+Space で言語切替が可能
  • バッチスクリプト でレジストリにロシア語参照を追加する方法も存在(Lance Jamesによる提供)

まとめ

  • CIS言語の追加 は、特定のランサムウェアからの感染リスク低減策
  • 完全な防御 ではないため、多層防御や日常的なセキュリティ意識が不可欠
  • 無料かつ簡単 な対策として、導入の価値あり

Hackerたちの意見

ブライアン・クレブスが2021年にこれを世界に発表してから、実際にまだそうなのかな?

ずっとこうだったし、これからもそうだよ。ロシアと北朝鮮はランサムウェアを正当な経済活動と見なしてる。彼らのハイブリッド戦争戦略の一部なんだ。

自分のマシンをマルウェア実行サンドボックスみたいに見せると、たくさんのマルウェアが分析を避けるために終了するよ。これは猫とネズミのゲームの一部だね。

ファームウェアにVirtualBoxの文字列を入れとけ :)

すべてのステーションにGhidraをインストールする時が来た!

別の記事でも言及されてたけど、ここからこの投稿が来たんだと思う: https://news.ycombinator.com/item?id=44413185

最近はほとんどのWindowsサーバーが仮想化されてるから、これが今でも通用するかはわからないな。他の指標を見てるかもしれないけど。

「もしあなたのマシンをマルウェア実行サンドボックスのように見せれば、多くのマルウェアは分析を避けるために終了するよ。これは猫とネズミのゲームの一部さ。」 何?これは全く別の問題だよ。ロシア語の入力メソッドがインストールされていると、マルウェアは法的な影響を避けるために終了するんだ。

どのWindowsのバージョンでも、最も効果的なアンチマルウェアは、普段使うアカウントを非管理者アカウントにすることだよ。フル管理者の別アカウント(ローカルアカウントでもOK)も作っておく必要がある。パスワードは違うのを使ってね。何かをインストールしたり、管理者としてPowerShell/CMDを実行する必要があるときは、別の管理者アカウントのログインを求めるポップアップが出るから、これがLinuxのデフォルト(sudo)みたいなもんだ。優秀なIT部門がWindowsを運用する方法でもあるよ。もし管理者権限のポップアップが自分から発生してないのに出たら、何かおかしいってことだし、大抵のマルウェアはインストールできない。もう一つの利点は、普段のアカウントには比較的普通(でも短すぎない)パスワードを使って、管理者ログインにはもっと複雑なパスワードを使えることだね。特に「おばあちゃんのPC」とか、間違ったものをクリックするリスクが高い人には最適だよ。

それか、単にLinuxを使えばいいんじゃない?

あなたが言ってることは、Windows Vista(2006)からユーザーアカウント制御(UAC)がやってきたことそのものに聞こえるね。

Windowsのどのバージョンでも、最も効果的なアンチマルウェアは、普段使うアカウントを管理者権限のないアカウントにすることだよね。2000年代初頭から2012年くらいまでは同意するけど、Vista以降のマルウェアはUACに適応して、今では普通のユーザーとしてもちゃんと動くようになってる。普通のユーザーがアクセスできるデータ(ローカルやリモートのCIFSサーバー上のもの)は、ランサムウェアにとっては格好の標的だよ。管理者権限を制限しても、データへのアクセスを防ぐことにはならない。持続性も、ユーザーごとの非管理者に移行してるしね。もちろん、エンドユーザーがIT部門を回避するためにインストールする、いわゆる準悪意のあるカスタマイズ版のChromeも同じように動く。日常的に使うWindowsユーザーには管理者権限を与えない方がいいと思う。マルウェア対策にはあまり役立たないから。私は最も敏感な活動(主に銀行取引)には物理的に別のマシンを使ってるけど、別の非管理者のWindowsログインを持つだけでも、ランサムウェアに狙われたくないデータへのアクセスを分けることができるよ。Windowsの異なるユーザーアカウント間の隔離は実際にかなり良いし、アカウントがアクセスできる共通データを制限すればいい。個人的にはQubesを使いたいと思ってるけど(物理的に別のマシンを使うのをやめたい)、その仕組みを学ぶ時間が取れてない。追記:Chromeじゃなくて「Chromiumの準悪意のあるカスタマイズ版」って言うべきだったね。

https://xkcd.com/1200/ リンクだけのレスを投稿するのは気が引けるけど、これに付け加えることは本当にないんだ。複数の人が使うシステムでは、確かに、姉妹のアカウントの侵害がすぐに母や父のアカウントに影響を与えないように助けるけど、その条件はコメントには書かれてないし、HNの読者が使うほとんどのコンピュータはシングルユーザーだと思う。サーバー上では、権限を下げることは自明だよね。でも、デスクトップでオンラインバンキングをしていて、そのコンピュータでメールの添付ファイルを開く場合... 管理者でないことは、ライブブートをする必要なく状況を整理するのに役立つだけだよ(理論的には管理者ユーザーを信頼して切り替えることができるけど)。でも、マルウェアの専門家でない限り、完全に消去されていることを確認するのは推奨されないやり方だしね。シングルユーザーのデスクトップシステムが管理者権限の分離から利益を得る状況は思いつかないな。要するに、漫画が伝えたいことは、> 最も効果的なアンチマルウェアは、管理者でないことではマルウェアの実行やユーザーアカウント内での持続性を防げないってことだね。

管理者権限の昇格ポップアップが自分でトリガーしてないのに出たら、何かおかしいって気づくはずだよ。ほとんどのマルウェアはインストールできないだろうね。マルウェアは「インストール」なしでも多くのことができるから。特権のないユーザーとして動いていても、ユーザーができることはファイルシステムに対して何でもできるし、(ほとんどの通常の設定では)制限なしにインターネット接続もできるから。要するに、こういった特権はデータの流出や、ユーザーの重要なデータファイルに対するランサムウェア、単純な破壊行為からは守ってくれないんだ。

普通、個人は組織犯罪者によるランサムウェア攻撃のターゲットにならないことが多いよね。企業はデータを取り戻すためにもっとお金を払わなきゃいけないことが多いし。Petyaランサムウェアがそのいい例だよ。でも、侵入者としてどんな機械でも普通のユーザー権限で入ったら、管理者アカウントを探したりセッションを盗んだりすることはできるんだ。最終的な目標はドメイン管理者権限を得ることだしね。それに、データを削除したり暗号化したり、ソフトウェアを実行・隠したりするのに管理者権限は必ずしも必要じゃない。セッションを盗む以外にも、パッチが当たってないソフトウェアや不適切なユーザー権限、ゼロデイ攻撃、ソーシャルエンジニアリングなど、管理者権限を得る方法はたくさんあるよ。ユーザーにマルウェアやランサムウェアをインストールさせる一般的な方法は、ユーザーがインストールしたい便利なソフトウェアにそれをバンドルすることだね。

どのバージョンのWindowsでも、最良のアンチマルウェアはWindowsを使わないことだよ。

残念ながら、今のモダンなソフトウェアはUACのポップアップを引き起こすことが多いよ。ゲーム(アンチチートやネットワーク接続のため)、開発ツール(ネットワーク接続やデバッグのため)、Electronアプリみたいにライブアップデートするもののアップデーターとかね。

ロシア語のキーボードがあると、NSAのマルウェアに狙われやすくなるよね。

ロシアや中国などは、軍や敏感な政府職員の機械からWindowsを禁止してる。彼らは自分たちのLinuxディストリビューションを使ってるよ。

パティアやファンシーベア、コージーベア、コンティなどのランサムウェアに対してこれが効果的だった証拠があるよ。主に、ロシア政府がターゲットがロシア人でなければ免責を保証しているからね。それに、ロシア人として特定したり、チャットやメールでロシア語を書いたりすると、彼らは無料でシステムを復号してくれるよ。

それに、ロシア人として特定したり、チャットやメールでロシア語を書いたりすると、彼らは無料でシステムを復号してくれるよ。AI翻訳の時代に、これがどう機能するのか気になるな。ちょっと違うけど、ロシアのシェアウェア作家がロシア人に無料ライセンスを提供してたことを思い出す。

そんなに簡単じゃないと思う。ロシア人はどこにでもいるし、被害にあった企業にもいる可能性が高いから、ただロシア人であるだけじゃ足りないよ。もし身代金が何百万もかかるなら、会社がロシアの所有だとか、父親がFSBで働いてるとか、そういうことを納得させなきゃいけない。

キリル文字のキーボードが有効なシステムを狙ったマルウェアがないとは思えないな。

2000年代後半に「ウィンロッカー」を技術に詳しくない同級生のコンピュータからたくさん取り除いたロシア人として、私は反対だね :D でも、あれはもっと洗練されてなかったと思う。ファイルを暗号化することはなかったし、ただ支払いを要求する閉じられないウィンドウを表示するだけだった。時々「私たちのアダルトサイトのクイックアクセスウィジェットをインストールしてくれてありがとう」みたいな面白いフレーズがあったりして。

じゃあ、このネコとネズミのゲームの次のステップは、キーボードが実際に使われているか確認することじゃない?

もし変更するなら、キーボードのレイアウトだけじゃなくて、タイムゾーンもチェックするようにするのかな?他にも何かあるかもね。

タイトルだけで笑えるよね。明らかに、たぶん正しいけど、ほとんどのランサムウェアがロシアから来てるってことを暗示してるし。