「史上最速のランサムウェア」Rorschach その特徴を解説：Cybersecurity Dive

「史上最速のランサムウェア」ともいわれる「Rorschach」。現在のところ影響や被害は不明だが、攻撃がいくつか進行中である可能性があると指摘する専門家もいる。Rorschachの特徴とは何か。

[Matt Kapko，Cybersecurity Dive]

　研究者や専門家によると、高度に洗練されたランサムウェア「Rorschach」（ロールシャッハ）は、他の既知のランサムウェアよりもデータを高速に暗号化し、高度なセキュリティによる検出を回避する高い能力を有している。

史上最速のランサムウェアRorschachは「フランケンシュタイン」でもある

　サイバーセキュリティプラットフォームを提供するHalcyonのCEO（最高経営責任者）兼共同設立者であるジョン・ミラー氏によると、2023年4月6日にCheck Point Software Technologiesが検出して「史上最速のランサムウェア」と評したRorschachは、「Windows」のドメインコントローラーで実行された場合、自律的に増殖する能力を備えている。

　Rorschachは、米国のある企業を初めて攻撃する際（注1）にDLLサイドローディングを使用して、Palo Alto Networksが提供する「Cortex XDR」のダンプサービスツールを悪用した。Cortex XDRは正規にデジタル署名されたセキュリティ製品だ。

　Palo Alto Networksはソフトウェアの悪用を防止するためにCortex XDRの新バージョンをリリースすると発表した。WindowsでPalo Alto NetworksのCU-240以前のコンテンツアップデートを実行しているエージェントのバージョンに影響があることを確認した。Palo Alto Networksは、2023年4月12日にセキュリティアドバイザリーを更新し（注2）、コンテンツアップデートCU-910によってDLLのサイドローディングを検出して防止できることを顧客に通知した。

　Palo Alto Networksの広報担当者は、「必要に応じて引き続きアップデート情報を共有する」と述べた。

　サイバーセキュリティ企業であるDarktraceのハナ・マリー・ダーレイ氏（脅威研究責任者）は、Rorschachを「フランケンシュタインランサムウェア」と表現して、「Rorschachはカスタマイズ機能を用いて攻撃者がその動作を増強できる」と言及し、ランサムウェアのエコシステムがサービスとして確立した結果、こうした特徴を持つランサムウェアが生まれたと指摘する。「競争が激しいサイバー犯罪市場において、攻撃者はマルウェアの動作に関する脅威情報を読み、そのインサイトを活用して防御を回避する能力がより優れたツールを構築する」（ダーレイ氏）

　また、ダーレイ氏は次のように述べた。「これらの攻撃は、通常、環境寄生型攻撃（注3）の技術と検知されにくい侵入方法を使用する傾向がある。大部分の脅威に対してテンプレート化された防御戦略には含まれていない可能性が高い」

暗号化スピードが高まると防御が難しくなる

　Rorschachの暗号化スピードの速さに多くのランサムウェア専門家が注目している。

　サイバーセキュリティ会社Recorded Futureのアラン・リスカ氏（脅威インテリジェンスアナリスト、ソリューションアーキテクト）は「ランサムウェアが暗号化プロセスをより速く進めるほど、セキュリティチームが対応する前に攻撃が完了する恐れが高くなる」と述べた。企業はさらなる被害を避けるために、攻撃者による侵入や、侵入後に他のシステムを侵害しようとする“横方向の移動”の後、早期に脅威を検出する必要がある。

　ランサムウェアによる攻撃を「サービス」として提供するプロバイダーは、アフィリエイトを引き付けるために暗号化速度を売り物にしている。彼らにとってRorschachは注目すべきランサムウェアだ。

　しかし、ミラー氏は「Rorschachの問題は、暗号化速度よりもむしろ高度なセキュリティ回避能力の方にある。DLLのサイドローディングは新しい手法ではないが、ランサムウェアの攻撃では珍しく、防御するのが非常に難しい攻撃手法だ」と指摘する。DLLのサイドローディングという手法は、2021年に攻撃チームREvilがソフトウェア企業Kaseyaへのランサムウェア攻撃で使用した（注4）。

　リスカ氏は「Rorschachは完全に新しいものだと宣伝されているが、コードには他のランサムウェアのコンポーネントが組み込まれている。攻撃者のグループが新しいランサムウェアを構築するために他のランサムウェアの一部を再利用することはよくある」と述べる。

　新しさは別にして、Rorschachによる潜在的な影響や被害者は不明だ。リスカ氏によると、ウイルススキャンサービスを実施するWebサイト「VirusTotal」などには複数のサンプルが投稿されているが、現時点では公に確認されている被害者はいない。

　また、ランサムウェアにはさまざまな形態がある。暗号化は通常、攻撃の後半になるまで実施されないことに注意する必要がある。

　ミラー氏は「ランサムウェアは長期にわたって多段階の操作を行うため、まだ検出されていないRorschachによる攻撃がいくつか進行中である可能性が高い。ほとんどの標的は攻撃者が悪意のあるコードを展開し、身代金を要求する文書が届いたときに、初めて自身が被害を受けたことを知るのだ」

（注1）Palo Alto security software stung by ransomware strain（Cybersecurity Dive）
（注2）PAN-SA-2023-0002 Informational Bulletin: Impact of Rorschach Ransomware（Palo Alto Networks）
（注3）攻撃者がシステムに侵入した後、システムに組み込まれているツールやバイナリを活用して攻撃を継続する手法

（注4）Kaseya: What’s known (and unknown) about the ransomware attack（Cybersecurity Dive）

（初出）Rorschach ransomware, with a rare encryption speed, makes it even harder for companies to respond