世界を動かす技術を、日本語で。

ロシア語キーボードがインストールされていると多くのランサムウェアが中止する (2021)

概要

  • ランサムウェア の多くは特定の言語環境下で動作しない設計
  • ロシア語やウクライナ語 などの仮想キーボードがインストールされている場合、感染を回避
  • この手法は 東欧やCIS諸国 の法的リスク回避が目的
  • 完全な防御策ではないが、 簡単かつ無料 の予防策として有効
  • 設定方法や注意点 についても解説

ランサムウェアが避ける「言語チェック」の仕組み

  • ほとんどの ランサムウェア は、特定の仮想キーボード(例: ロシア語、ウクライナ語)がインストールされているWindows環境ではインストールされない仕様
  • この挙動は、 ロシアやCIS諸国 での摘発リスクを避けるための 自己防衛策
  • CIS(独立国家共同体)加盟国 は多くのマルウェアで除外リストに含まれる傾向
  • Colonial Pipeline への攻撃や DarkSide グループの事例でも、この仕組みが確認
  • ロシア当局 は国内被害がなければサイバー犯罪捜査を行わない傾向

攻撃者の地政学的戦略

  • DarkSide などのロシア語圏マルウェアは、プラットフォーム自体を 地政学的制限 で設計
  • 除外リストには CIS主要国やシリア などが含まれる
  • システム言語をチェックし、該当すれば マルウェアのインストールを中断
  • これにより、 国内法的リスク を最小化

この防御策の限界と実用性

  • 全てのマルウェア に有効なわけではない点に注意
  • ディフェンス・イン・デプス (多層防御)や安全なネット利用習慣の重要性
  • 最大のリスク は、意図せずメニューがロシア語表記になる程度
  • Windows+Space で簡単に言語切替が可能

攻撃者側の対応と今後の展望

  • 言語チェック を無効化するマルウェアも登場
  • しかし、これにより攻撃者の 法的リスク が増大
  • ロシアの法文化 では、国内被害を出さないことが犯罪者の保護策
  • 多くのユーザーがこの手法を採用すれば、攻撃者は 選択を迫られる 状況に

仮想環境や他の対策との比較

  • 仮想マシン環境 を装うレジストリ設定は、現在では効果が薄い
  • 多くの組織が 仮想環境 を日常利用しているため、マルウェア側も対策済み
  • CIS言語追加 による防御策の方が現実的

Windowsでの設定方法

  • Windowsキー+X で設定メニューを開き、「設定」→「時刻と言語」→「言語」から追加
  • 再起動後 に新しい言語が利用可能
  • Windows+Space で言語切替が可能
  • バッチスクリプト でレジストリにロシア語参照を追加する方法も存在(Lance Jamesによる提供)

まとめ

  • CIS言語の追加 は、特定のランサムウェアからの感染リスク低減策
  • 完全な防御 ではないため、多層防御や日常的なセキュリティ意識が不可欠
  • 無料かつ簡単 な対策として、導入の価値あり

Hackerたちの意見

ブライアン・クレブスが2021年にこれを世界に発表してから、実際にまだそうなのかな?

ずっとこうだったし、これからもそうだよ。ロシアと北朝鮮はランサムウェアを正当な経済活動と見なしてる。彼らのハイブリッド戦争戦略の一部なんだ。

自分のマシンをマルウェア実行サンドボックスみたいに見せると、たくさんのマルウェアが分析を避けるために終了するよ。これは猫とネズミのゲームの一部だね。

ファームウェアにVirtualBoxの文字列を入れとけ :)

すべてのステーションにGhidraをインストールする時が来た!

別の記事でも言及されてたけど、ここからこの投稿が来たんだと思う: https://news.ycombinator.com/item?id=44413185

最近はほとんどのWindowsサーバーが仮想化されてるから、これが今でも通用するかはわからないな。他の指標を見てるかもしれないけど。

「もしあなたのマシンをマルウェア実行サンドボックスのように見せれば、多くのマルウェアは分析を避けるために終了するよ。これは猫とネズミのゲームの一部さ。」 何?これは全く別の問題だよ。ロシア語の入力メソッドがインストールされていると、マルウェアは法的な影響を避けるために終了するんだ。

どのWindowsのバージョンでも、最も効果的なアンチマルウェアは、普段使うアカウントを非管理者アカウントにすることだよ。フル管理者の別アカウント(ローカルアカウントでもOK)も作っておく必要がある。パスワードは違うのを使ってね。何かをインストールしたり、管理者としてPowerShell/CMDを実行する必要があるときは、別の管理者アカウントのログインを求めるポップアップが出るから、これがLinuxのデフォルト(sudo)みたいなもんだ。優秀なIT部門がWindowsを運用する方法でもあるよ。もし管理者権限のポップアップが自分から発生してないのに出たら、何かおかしいってことだし、大抵のマルウェアはインストールできない。もう一つの利点は、普段のアカウントには比較的普通(でも短すぎない)パスワードを使って、管理者ログインにはもっと複雑なパスワードを使えることだね。特に「おばあちゃんのPC」とか、間違ったものをクリックするリスクが高い人には最適だよ。

それか、単にLinuxを使えばいいんじゃない?

あなたが言ってることは、Windows Vista(2006)からユーザーアカウント制御(UAC)がやってきたことそのものに聞こえるね。

Windowsのどのバージョンでも、最も効果的なアンチマルウェアは、普段使うアカウントを管理者権限のないアカウントにすることだよね。2000年代初頭から2012年くらいまでは同意するけど、Vista以降のマルウェアはUACに適応して、今では普通のユーザーとしてもちゃんと動くようになってる。普通のユーザーがアクセスできるデータ(ローカルやリモートのCIFSサーバー上のもの)は、ランサムウェアにとっては格好の標的だよ。管理者権限を制限しても、データへのアクセスを防ぐことにはならない。持続性も、ユーザーごとの非管理者に移行してるしね。もちろん、エンドユーザーがIT部門を回避するためにインストールする、いわゆる準悪意のあるカスタマイズ版のChromeも同じように動く。日常的に使うWindowsユーザーには管理者権限を与えない方がいいと思う。マルウェア対策にはあまり役立たないから。私は最も敏感な活動(主に銀行取引)には物理的に別のマシンを使ってるけど、別の非管理者のWindowsログインを持つだけでも、ランサムウェアに狙われたくないデータへのアクセスを分けることができるよ。Windowsの異なるユーザーアカウント間の隔離は実際にかなり良いし、アカウントがアクセスできる共通データを制限すればいい。個人的にはQubesを使いたいと思ってるけど(物理的に別のマシンを使うのをやめたい)、その仕組みを学ぶ時間が取れてない。追記:Chromeじゃなくて「Chromiumの準悪意のあるカスタマイズ版」って言うべきだったね。

Hacker Newsで議論の続きを見る