99%のファイルを数分で封鎖 暗号化不要の準ランサム攻撃「GhostLock」とは?:EDRやAIでも検知不可
「暗号化しないランサムウェア」が現実化するかもしれない。WindowsのSMB共有機能を悪用する「GhostLock」は、ファイルを書き換えずに業務停止級の被害を引き起こすという。EDRやAI検知を擦り抜けるこの手法に対する有効策とは。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
技術系Webサイト「HackingPassion」は2026年5月11日(米国時間)、「Windows」ネットワークで長年使われてきたSMB共有機能を利用し、ファイルを書き換えずにランサムウェア級の被害を発生させる攻撃手法「GhostLock」について報じた。
発見者はセキュリティ研究者のキム・ドヴァシュ氏で、過去の認可済みレッドチーム演習中に着想を得たと説明している。
この攻撃手法が悪用されれば、被害対象は大企業に限らず、学校や病院、自治体、中小企業、非営利団体など、Windows共有フォルダを利用する組織全般が影響を受ける。攻撃者側に必要なのは、共有領域への読み取り権限と通常ドメインアカウントだけだ。フィッシング被害後の初期権限でも実行可能な点が懸念材料となる。
成功率99%超 SMB共有機能を悪用した準ランサムウェア攻撃手法の正体
GhostLockは、Windows API「CreateFileW」の共有設定を悪用する。攻撃側は「dwShareMode」をゼロに設定し、共有拒否ハンドルを取得する。その状態でファイルを開き続けると、別の利用者や業務アプリケーションは対象ファイルにアクセスできなくなる。エラーとして返るのは「STATUS_SHARING_VIOLATION」であり、結果として社内システム全体が停止状態に追い込まれる。
検証において、約50万件のファイルを含む共有領域に対し、数分でディレクトリ構造を解析し、49万件超のファイルをロックした。成功率は99%超に達したとされる。ERPや文書管理、共有ワークフローなどが次々に利用不能となり、外部から見ると一般的なランサムウェア被害と区別しにくい状況になる。
特徴的なのは、ファイル暗号化や改名処理を伴わない点だ。従来型ランサムウェア検知製品は、暗号化済みデータの生成、拡張子変更、大量書き込みなどを監視対象としてきた。GhostLockは読み取り専用の排他アクセスを維持するだけであり、ファイル内容を書き換えない。そのため、多くのEDR(Endpoint Detection and Response)製品や振る舞い検知型AI製品が警告を出せなかったという。
同記事は代表的な学術研究も同様の前提に依存していたと指摘している。「CryptoDrop」「ShieldFS」などのランサムウェア攻撃検知ツールは、暗号化動作や書き込み変化を前提に設計されており、GhostLockでは監視対象から外れる。研究者側は「ランサムウェアは必ずディスクに変更を加える」という想定自体が穴になったとみている。
ネットワーク監視製品側でも検出は困難だ。「SMB2 CREATE」要求のみが大量発生し、WRITEやRENAME操作が存在しないため、通常利用との差異を判別しにくい。DLP(Data Loss Prevention)製品でも、大容量データ転送が起きないため警告条件に達しない。通信量はメタデータ参照程度にとどまり、情報窃取の兆候として扱われにくい。
唯一有効とされた監視対象は、NAS側のセッション管理情報だ。GhostLockは数十万件規模のファイルハンドルを保持し続けるため、通常アプリケーションと比べて異常なロック数になる。記事において、1セッション当たり500件超の同時ロックで警告を出し、1000件以上を高危険度、5000件以上を重大事案として扱う案が示された。
この問題は新たな脆弱(ぜいじゃく)性ではなく、「Windows NT 3.1」時代から存在する仕様に根差している。「Microsoft Office」「SQL Server」、ソースコード管理、ビルドシステムなども同じ排他制御に依存している。そのため、Microsoftが仕様変更に踏み切る可能性は低いと記事は伝えている。CVEも割り当てられていない。
復旧も容易ではない。「Active Directory」でアカウントを停止しても、既存SMBセッションは一定時間維持される。NAS管理画面から該当セッションを特定し、手動で切断する作業が必要になる。認証停止とセッション遮断を同時進行しなければ、攻撃側が即座に再接続する危険も残る。GhostLockは一度取得したファイル一覧をJSON形式で保存し、再探索なしで再ロックできる構造を備える。
同記事は、セキュリティ部門とストレージ管理部門が共同訓練を実施し、事前対応手順を整備する必要性を強調している。
関連記事
LinuxカーネルのゼロデイをAIが発見 悪用で簡単にroot権限奪取が可能に
Linuxカーネルに約9年間にわたり見過ごされてきた致命的なローカル権限昇格の脆弱性「Copy Fail」が突如浮上した。この脆弱性を悪用すれば、一般ユーザーが極めて簡単にroot権限を取得できる。さらにこの発見を後押ししたのはAIだという。
GitHub侵害で銀行連携停止 マネーフォワード事案が突き付ける開発リスク
マネーフォワードは認証情報漏えいによるGitHubへの不正アクセスを受け、ソースコードや一部個人情報が流出したと公表した。銀行連携機能まで一時停止に追い込まれた今回の事案は、開発現場に潜む見落とされがちなリスクを浮き彫りにしている。
NIST、ついに“脆弱性の全件分析”を断念 CVE爆増でパンク状態、方針転換
NISTは、脆弱性データベース「NVD」の運用を大きく見直す。CVEの急増により従来の“全件分析”が限界に達したためだ。今後は優先度に応じた対応へと転換する。この変更は、脆弱性管理の前提そのものを揺るがす可能性がある。
パスワード管理は「覚えない」から「保存しない」に 注目の新技術「HIPPO」とは?
IEEE Spectrumは保存不要のパスワード生成技術「HIPPO」について報じた。単一のマスターパスワードからWebサイトごとの情報をその場で演算生成し、漏えいリスクと管理の負担を軽減する。実験では手動入力より高い安全性と信頼性が示された。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
アイティメディアからのお知らせ
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。