ロシア語キーボードがインストールされていると多くのランサムウェアは実行を停止する(2021年)

 (krebsonsecurity.com)
4 ポイント 投稿者 GN⁺ 2025-06-30 | 1件のコメント | WhatsAppで共有
  • 大半のランサムウェアは、感染対象のシステムにロシア語やウクライナ語などCIS諸国の言語キーボードがインストールされていると実行を停止する
  • このような回避手法は、犯罪グループが自国の組織や個人を被害者にしないことで、現地の捜査機関の関心を避けることを目的としている
  • 単にキーボード言語を変更するだけではすべてのマルウェアを防ぐことは不可能であり、根本的にはさまざまなセキュリティ対策の順守が必要である
  • キーボード言語の追加は簡単かつ無料で実行でき、副作用もほとんどない
  • ロシアのハッカーがこれを回避したとしても法的リスクが大きくなるため、防御策としてある程度の効果がある

ロシア語/ウクライナ語キーボードの導入によるランサムウェア感染防止効果

キーボード言語の検出とランサムウェアの実行停止

  • 最近のランサムウェア攻撃に関するTwitterでの議論で、非常に多くのランサムウェアには、Microsoft Windowsロシア語やウクライナ語などの仮想キーボードがインストールされている場合に実行を停止する組み込みの安全装置があることが言及された
  • これは主に東欧発のマルウェアがよく用いる方式である
  • たとえば多くのランサムウェアは、CIS(独立国家共同体)諸国の言語がインストールされている場合、そのシステムには感染しない
  • 主な目的は、これらの犯罪グループが自国での法的捜査を避けるためである

Colonial Pipelineの事例とDarkSideグループ

  • この話題はColonial Pipelineへのランサムウェア攻撃をめぐる議論の中で注目を集めた
  • この攻撃は、DarkSideというRaaS(ランサムウェア・アズ・ア・サービス)グループが、大企業を主な標的として実行した
  • ロシアを拠点とする犯罪組織は、ウクライナやロシアなど東欧諸国を感染対象にしないよう内部で禁じてきた
  • この方針は、現地政府による調査や介入を避けるためである

ロシアおよび東欧における法的構造

  • ロシアでは、自国民が被害者である場合にのみサイバー犯罪捜査が正式に始まる
  • そのため、犯罪者自身が自国のシステムに被害を与えないことが最も安全な方法である
  • 実際にDarkSideやREvilなど、複数のランサムウェアグループがこの方針を厳格に守っている

コード内にハードコードされた言語検出

  • DarkSideや他の多くのマルウェアは、CIS諸国の言語をハードコードされた一覧に入れ、システムにその言語がインストールされていると実行しない
  • 実際に非常に多くのマルウェアがシステム言語を確認して実行可否を決めている

回避方法の限界と実際の効果

  • 単にロシア語などCIS諸国のキーボードをインストールするだけで、一部のランサムウェアに対する予防効果がある
  • しかし、あらゆるマルウェアに対応できるわけではなく、多層防御戦略が不可欠である
  • 言語変更による副作用も大きくなく、誤って言語が切り替わってもWindows+Spacebarで簡単に戻せる

今後の攻撃者戦略の変化可能性

  • 一部の専門家は、攻撃者が言語確認手順を省略する可能性があると分析している
  • 実際、最近Mandiantが分析したDarkSideのバージョンでは言語チェックが省略されていた
  • しかし、その場合は犯罪者の法的リスクがかなり高まる

専門家コメントと「ワクチン効果」

  • Unit221BAllison Nixonは、ロシアのハッカーがこの言語チェックを利用して法的保護を得ていると説明している
  • これらの言語やキーボードを追加すれば、一種の「ロシア製マルウェア向けワクチン」のような役割を果たしうる
  • この方法が大規模に使われれば、犯罪者は法的保護と収益のどちらを選ぶかというジレンマに直面する
  • 犯罪者は西側のセキュリティ担当者と同様に、そのシステムが本当に現地のシステムかどうかを見分けにくくなる

仮想マシン環境検出の回避

  • 一部のTwitter利用者は、仮想マシンであることを明示するレジストリエントリの追加も提案した
  • 過去には効果的だったが、現在では多くの組織が日常的に仮想マシンを使っているため、この手法はもはや信頼されていない

言語追加を簡単に行う方法

  • Unit221BLance Jamesは、ロシア語キーボードがインストールされているように見せる2行のWindowsバッチスクリプトを作成し公開した
  • このスクリプトは実際のロシア語ライブラリをダウンロードしなくても、感染回避効果を得られる
  • 従来の方法でも「設定 → 時刻と言語 → 言語の追加」から簡単にキーボード言語を追加できる
  • 万一言語設定を変更してメニューがロシア語で表示されても、Windows+Spacebarの組み合わせで言語を切り替えられる

関連記事

1件のコメント

 
GN⁺ 2025-06-30
Hacker Newsのコメント

  • 自分のコンピュータをマルウェア解析用サンドボックスのように見せかけると、多くのマルウェアは解析を避けるために終了する、という話で、こういうのはいかにもいたちごっこだという印象

    • 最近のWindows Serverは大半が仮想化環境で動いているので、昔ほど効果的ではないかもしれない、とはいえ別の指標を考慮する可能性はあるという話
    • ファームウェアにVirtualBoxという文字列を入れるという冗談めいた提案
    • この内容は以前の別のHacker News投稿でも言及されたことがあり、このリンクで出ていたという話
    • これでもう各ワークステーションにGhidraをインストールしなければならないのでは、という冗談
    • 「自分のコンピュータをサンドボックスに偽装すれば、多くのマルウェアは解析を避けるために終了する」という主張に対して、それはまったく別の懸念だという反論。ロシア語入力環境がインストールされていると、マルウェアは法的リスクを避けるために終了する点を強調

  • PatyaやFancy Bear、Cozy Bear、Contiのようなランサムウェア/グループに対して、この方式(ロシア語キーボード検知)が実際に有効だった証拠は多いという意見。ロシア政府が自国民を標的にしない限り免責を保証することが大きな理由
    また、攻撃者に対して自分がロシア人だと示したりロシア語で会話したりすると、システムを無料で復号してくれる場合もあるという話

    • 「ロシア人だと明かせば無料で復号」がAI翻訳時代にどう適用されるのか気になる、昔ロシアのシェアウェア開発者がロシア人に無料でライセンスを与えていた事例も思い出す、というコメント
    • ロシアのハッカー集団は「テントの中で揉め事を起こすな(don’t piss inside the tent)」という方針を非常によく理解しており、皆がそれを分かっている点を強調
    • 現実はそこまで単純ではないかもしれないという指摘。ロシア人はどこにでもいて被害企業にも勤務している可能性があり、身代金が数百万ドル規模なら、単にロシア人だというだけでは解放されないだろうという考え。本当にロシア資本の所有であると納得させるとか、「うちの父はFSBに勤めている」などの証拠が必要だという話

  • 2000年代後半、技術に弱い友人たちのコンピュータからwinlockerを消していたロシア人の実体験の共有。これらのマルウェアは単にファイルを暗号化するのではなく、閉じられないウィンドウを表示して金を要求し、「アダルトサイトのクイックアクセス・ウィジェットをありがとう」のような妙に滑稽な文句もあったという興味深い思い出

  • キリル文字キーボードを有効にしたシステムだけを狙うマルウェアがあってもおかしくないとして、ロシア語環境かどうかも攻撃者がチェックするポイントだと示唆

  • Windowsで最良のアンチマルウェア対策は、日常的に使う既定アカウントを管理者権限ではなく一般アカウントにすることだ、というヒントの共有 別途ローカル管理者アカウントを作って別のパスワードを使うべきで、ソフトウェアのインストールやpowershell実行など管理作業が必要な場合は別個の管理者認証が必要になるため、怪しいポップアップが出たら何かおかしいというシグナルになる、という説明 一般アカウントには普通の(ただし短すぎない)パスワードを使え、管理者アカウントには複雑なパスワードを使えるので、特にITに詳しくない家族に勧めたいという意見

    • 管理者権限がなくてもマルウェアには多くのことができ、ユーザーのファイルシステムにアクセスしたりインターネット接続したりするのに大きな制約はないため、こうした権限分離はデータ流出、ランサムウェア、データ破壊などを防げないという指摘
    • 2000年代初頭から2012年ごろまでなら同意するが、Vista以降はUACに合わせてマルウェアが進化し、一般アカウントでも十分動作するようになったので、管理者権限がないことはデータ保護の助けにはならないという説明。最も機密性の高い作業(主に金融)は別の物理マシンで行う、あるいはWindowsでユーザーアカウント分離によるデータ隔離を試すことはできる、Qubes OSのような強力な隔離型OSを使いたいがまだ学べていない、という個人的見解の共有
    • 要するにその説明は、Windows Vista以降User Account Control(UAC)がデフォルトで適用してきた方式と同じだ、という要約
    • 組織犯罪によるランサムウェア攻撃の大半は一般個人より企業が主標的なので、個人環境より企業環境でランサムウェアに遭遇することのほうが多い、という意見。Petyaランサムウェアを例に、一般ユーザー権限しかなくてもネットワーク内の管理者セッションを奪ったりドメイン管理者権限を取得したりできるシナリオに言及。管理者権限がなくてもデータ削除・暗号化やマルウェアの隠蔽は可能で、ソフトウェアにバンドルされたマルウェアならユーザー自身がインストールしてしまえる、という現実的な手口の説明
    • xkcd 1200の漫画リンクとともに、複数人で使うコンピュータではアカウント分離に意味があるが、ほとんどが単一ユーザーである場合は管理者権限分離の実効性は限定的だという趣旨。現実的には、個人PCで管理権限を分けてもハッキング防止にはあまり役立たないという結論

  • 2021年にBrian Krebsがこの内容を公表したあとでも、なおこうした方式が通用するのかという疑問

    • ロシアと北朝鮮はランサムウェアを合法的な経済活動とみなしており、ハイブリッド戦争戦略の一部として今後も続くだろうという主張
    • 根本的には法的・捜査上の問題なので、ロシア政府に手を出さなければ相互不干渉のルールがあるという説明。ロシアよりも米国のほうがはるかに略奪対象として大きな市場である点を強調し、米国内のビジネスメール詐欺(BEC)が2024年だけで27億ドルの被害を出したというFBI統計と、自分が担当したケースでは中国系の脅威アクターが米企業に従業員を装って就職し、数万ドル相当の社内従業員割引特典を不正取得して100万ドルの損失を出させた事例を共有
    • FBI 2024 インターネット犯罪報告書へのリンクを添付

  • タイトル自体が面白い、というひと言。ほとんどのランサムウェアがロシア発だという前提が自然に感じられる、というニュアンス

  • ロシア語キーボードが存在すると、NSAのマルウェアにとってはむしろ魅力的かもしれないという考え

    • ロシアや中国などは、機密性の高い政府・軍事機関でWindowsを禁じ、独自のLinuxディストリビューションを使っているという豆知識

  • 「2021」だけを残した短いメッセージ

    • ウクライナが除外対象から外されたのか気になる、キーボード配列がロシアと異なる点に注目

  • キーボードレイアウトだけでなく、時刻が変わればタイムゾーンやさまざまな情報もあわせてチェックするのだろうか、という疑問