Malwarebytesは1月3日(米国時間)、「Microsoft disables ms-appinstaller after malicious use|Malwarebytes」において、Microsoftが「ms-appinstaller」をデフォルトで無効にしたと伝えた。ms-appinstallerはWebサーバから直接アプリのインストールを可能にする機能。

Microsoftは「App Installerバージョン1.21.3421.0」以降にてms-appinstallerをデフォルトで無効にした。グループポリシーの「EnableMSAppInstallerProtocol」を特別に有効化していない場合は、無効にするための追加の操作は必要ない。現在インストールされているApp Installerのバージョンは、「Microsoft addresses App Installer abuse | MSRC Blog | Microsoft Security Response Center」の「To address this issue」において解説している方法から確認することができる。

Webインストール機能「ms-appinstaller」が無効にされた理由

従来のアプリはインストーラをダウンロードしてからインストールしていたが、ms-appinstallerを使用するとダウンロードする手順を省略することが可能になる。しかしながら、ダウンロードを省略するとSmartScreenやブラウザの保護が機能しない。これを脅威アクター がマルウェアの配布に悪用したとして、Microsoftは機能をデフォルトで無効にした(参考:「Financially motivated threat actors misusing App Installer | Microsoft Security Blog」)。

  • Microsoft disables ms-appinstaller after malicious use|Malwarebytes

    Microsoft disables ms-appinstaller after malicious use|Malwarebytes

Webインストール機能「ms-appinstaller」を悪用していた脅威アクター

Microsoftによると2023年11月以降、「Storm-0569」「Storm-1113」「Sangria Tempest」「Storm-1674」など、複数の脅威アクターがms-appinstallerをランサムウェア活動の初期アクセスに悪用したという。脅威アクターは正規のアプリケーションになりすました悪意のあるMSIXパッケージをms-appinstallerプロトコルを介して配布したとされる。

  • Zoomになりすました悪意のあるアプリのインストール画面の例 - 提供:Microsoft

    Zoomになりすました悪意のあるアプリのインストール画面の例  引用:Microsoft

Malwarebytesによると、この手法を用いてマルウェアを配布した脅威グループはすべて初期アクセスブローカー(IAB: Initial Access Brokers)だったという。初期アクセスブローカーはランサムウェア活動を行う脅威アクタに企業ネットワークへの初期アクセスを提供する専門のサイバー犯罪者。なお、これらマルウェアはインストール画面に表示される発行元(Publisher)が正規の企業名と異なるため、発行元を確認することでマルウェアか否か判別可能とされる。

ランサムウェア攻撃を回避するための対策

Malwarebytesはこのようなランサムウェア攻撃を回避するために、次のような対策を推奨している。

  • インターネットに接したシステムを最新の状態に維持する計画を作成する。また、リモートデスクトッププロトコル(RDP: Remote Desktop Protocol)、仮想プライベートネットワーク(VPN: Virtual Private Network)などのリモートアクセスを無効にするか、セキュリティを強化する
  • エンドポイントセキュリティを強化するセキュリティソリューションを導入する
  • ネットワークをセグメント化し、最小権限の原則を実践する。また、エンドポイント検出応答(EDR: Endpoint Detection and Response)、検知と対応のマネージドサービス(MDR: Managed Detection and Response)を導入して異常な活動を検出できるようにする
  • イミュータブルバックアップを作成し、定期的に復元できるかをテストする
  • 攻撃を確認した場合は影響を受けたシステムを隔離し、再度の攻撃を回避するため、マルウェア、ツール、侵入経路をすべて削除できるようにしておく