ESET カスタマーアドバイザリー 2020-0002
2020年1月21日
深刻度中程度
概要
ESETは、Windows向けのコンシューマー、ビジネス、およびサーバー製品において、ランサムウェアシールド機能がバイパスされる可能性があることを認識しました。ESETは、この攻撃を管理するために使用される根本的な方法を特定し、影響を受ける製品が自動的にダウンロードする更新プログラムを準備しました。
詳細と解決策
ESETは、影響を受けるESET製品がインストールされ、Ransomware Shieldがオンになっているマシン上で、攻撃者がWindows標準APIのEncryptFile関数を悪用してユーザーのファイルを 悪意を持って暗号化することが可能であるという、概念実証コードが添付されたレポートを受け取りました。
ESETは、Ransomware Shield機能を含むHIPSモジュールの更新版(1380.2以降)をESETコンシューマ製品のバージョン13向けに用意するとともに、この攻撃の実行に使用される悪意のあるファイルをブロックする検出エンジンの更新を影響を受けるすべての製品向けに提供することで、この問題を解決しました。ビジネス、サーバー、および旧バージョンのコンシューマー向け製品のHIPSモジュールは、製品ライン全体の変更に対応できるよう、別途アップデートがリリースされる予定です。
リリース後、各モジュールは自動的に更新されるため、ユーザーの介入は不要です。それまでの間、ユーザは以下の2つのアクションのいずれかを実行することで、このバイパスからシステムを保護することができる:
-
HIPSルールを作成して、プロセスが
%PROGRAMDATA%MicrostoCripecto¥RSA¥MachineKeys*に変更を加えるたびに、許可を求める。
- Windowsの暗号化ファイルシステム機能を無効にして、バイパスを機能しないようにする(この機能を積極的に使用しない場合に推奨)。この機能を無効にするには、昇格コマンドプロンプトから
fsutil behavior set disableencryption 1を実行するか、レジストリエディタでHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ControlFileSystemに移動し、NtfsDisableEncryptionの値を1に変更します。
影響を受けるプログラムとバージョン
- ESET NOD32アンチウイルス、ESET Internet Security、ESET Smart Security、ESET Smart Security Premium 10以降
- ESET Endpoint Antivirus および ESET Endpoint Security 7 以降
- ESET サーバーセキュリティ製品 7 以降
フィードバックとサポート
この問題に関するフィードバックやご質問は、ESET Security Forum または local ESET Technical Support.
謝辞
ESET は、セキュリティ業界における責任ある情報公開の原則を尊重しており、この問題を報告した SafeBreach 社に感謝の意を表します。
バージョンログ
バージョン 1.0(2020年1月21日):この文書の初期バージョン
