Akiraランサムウェア、EDRバイパスのためWebカメラ経由でネットワークを暗号化

佐々山 Tacos

2025.03.07

Akiraランサムウェア、EDRバイパスのためWebカメラ経由でネットワークを暗号化

BleepingComputer – March 6, 2025

Akiraランサムウェアグループは最近の攻撃において、Webカメラを使ってEDRの検出を回避し、標的ネットワークを暗号化していたという。この特殊なEDR回避手法について、サイバーセキュリティ企業のS-RMが報告した。

S-RMは同社の顧客組織（仮に「A社」）で生じたインシデントへの対応中、AkiraランサムウェアがWindows上で暗号化ツールを使おうとしたところEDRソリューションに阻まれたため、EDRの保護が及んでいないWebカメラ経由で暗号化を試みたのを観測。この攻撃は、大まかに以下のような流れで行われたとされる。

＜観測された攻撃チェーン＞

①Akiraは、A社が使用するインターネットに露出したリモートアクセスソリューションを介してコーポレートネットワークへの初期アクセスを獲得。これは、盗難認証情報の利用またはブルートフォース攻撃の実施によって達成された可能性が高いとされる。

②正規のリモートアクセスツールであるAnyDeskをデプロイし、二重恐喝攻撃で使う用にA社のデータを窃取。

③リモートデスクトッププロトコル（RDP）を使ってラテラルムーブメントを実施。

④ランサムウェアペイロード（win.exe）を含むパスワードで保護されたZIPファイル（win.zip）を投下。

⑤上記のファイルがA社のEDRツールによって検知・隔離され、攻撃がブロックされる。

⑥Akiraはファイル暗号化の手段として使えそうな別のデバイスを求め、ネットワークのスキャンを実施。

⑦スキャンの結果Webカメラと指紋スキャナーが見つかる。Webカメラはリモートシェルアクセスに脆弱で、不正にビデオフィードを閲覧することも可能な状態だったことから、Akiraはこちらを採用することに。加えてこのWebカメラのOSはLinuxをベースとしており、AkiraのLinux版暗号化ツールと互換性があった上、EDRエージェントを有していなかったことから、リモートでネットワークシェア上のファイルを暗号化するには最適なデバイスだったとされる。

⑧AkiraはWebカメラのLinux OSを利用し、A社が保有するその他のデバイスのWindows SMBネットワークをマウント。Webカメラ上でLinux版暗号化ツールを作動させ、SMBを通じてEDRに検出されることなくネットワークシェアを暗号化した。

このWebカメラはモニタリングの対象となっていなかったため、A社のセキュリティチームはWebカメラからの悪性SMBトラフィックの増加に気づくことができなかったと、S-RMは説明。一方で、この Webカメラの欠陥に対するパッチはすでに入手可能となっていることから、少なくともこの攻撃経路を遮断することは可能だとも述べた。

Akiraランサムウェアによる今回の攻撃事例から、EDR保護は包括的なソリューションというわけではなく、EDRのみに依存すべきではないことが示されている。また、PCほど厳重にモニタリング・管理されないIoTデバイスも、重大なリスクをもたらし得ることが改めて浮き彫りになった。したがって、IoTデバイスをプロダクションサーバーやワークステーションなどの機微性の高いネットワークから切り離すことや、IoTデバイスをはじめとするあらゆる端末のファームウェアを常に最新状態に保ち、想定される攻撃に備えることが重要になるとのこと。