Malwarebytesは1月3日(米国時間)、「Microsoft disables ms-appinstaller after malicious use|Malwarebytes」において、Microsoftが「ms-appinstaller」をデフォルトで無効にしたと伝えた。ms-appinstallerはWebサーバから直接アプリのインストールを可能にする機能。
Microsoftは「App Installerバージョン1.21.3421.0」以降にてms-appinstallerをデフォルトで無効にした。グループポリシーの「EnableMSAppInstallerProtocol」を特別に有効化していない場合は、無効にするための追加の操作は必要ない。現在インストールされているApp Installerのバージョンは、「Microsoft addresses App Installer abuse | MSRC Blog | Microsoft Security Response Center」の「To address this issue」において解説している方法から確認することができる。
Webインストール機能「ms-appinstaller」が無効にされた理由
従来のアプリはインストーラをダウンロードしてからインストールしていたが、ms-appinstallerを使用するとダウンロードする手順を省略することが可能になる。しかしながら、ダウンロードを省略するとSmartScreenやブラウザの保護が機能しない。これを脅威アクター がマルウェアの配布に悪用したとして、Microsoftは機能をデフォルトで無効にした(参考:「Financially motivated threat actors misusing App Installer | Microsoft Security Blog」)。
-
Microsoft disables ms-appinstaller after malicious use|Malwarebytes
Webインストール機能「ms-appinstaller」を悪用していた脅威アクター
Microsoftによると2023年11月以降、「Storm-0569」「Storm-1113」「Sangria Tempest」「Storm-1674」など、複数の脅威アクターがms-appinstallerをランサムウェア活動の初期アクセスに悪用したという。脅威アクターは正規のアプリケーションになりすました悪意のあるMSIXパッケージをms-appinstallerプロトコルを介して配布したとされる。
-
Zoomになりすました悪意のあるアプリのインストール画面の例 引用:Microsoft
Malwarebytesによると、この手法を用いてマルウェアを配布した脅威グループはすべて初期アクセスブローカー(IAB: Initial Access Brokers)だったという。初期アクセスブローカーはランサムウェア活動を行う脅威アクタに企業ネットワークへの初期アクセスを提供する専門のサイバー犯罪者。なお、これらマルウェアはインストール画面に表示される発行元(Publisher)が正規の企業名と異なるため、発行元を確認することでマルウェアか否か判別可能とされる。
ランサムウェア攻撃を回避するための対策
Malwarebytesはこのようなランサムウェア攻撃を回避するために、次のような対策を推奨している。
- インターネットに接したシステムを最新の状態に維持する計画を作成する。また、リモートデスクトッププロトコル(RDP: Remote Desktop Protocol)、仮想プライベートネットワーク(VPN: Virtual Private Network)などのリモートアクセスを無効にするか、セキュリティを強化する
- エンドポイントセキュリティを強化するセキュリティソリューションを導入する
- ネットワークをセグメント化し、最小権限の原則を実践する。また、エンドポイント検出応答(EDR: Endpoint Detection and Response)、検知と対応のマネージドサービス(MDR: Managed Detection and Response)を導入して異常な活動を検出できるようにする
- イミュータブルバックアップを作成し、定期的に復元できるかをテストする
- 攻撃を確認した場合は影響を受けたシステムを隔離し、再度の攻撃を回避するため、マルウェア、ツール、侵入経路をすべて削除できるようにしておく
