LIKEAHORSEランサムウェアに関するインシデント分析報告分析実施日: 2022-08-16LIKEAHORSEランサムウェアによるものと推定される侵害事象が確認されました。本報告書は、当該マルウェアの挙動、技術的特徴、および被害拡大防止のための推奨対策を整理し、関係者への注意喚起を目的としています。LIKEAHORSEランサムウェアの実行ファイルに関する情報、およびその基本的な識別情報は以下の通りです。ファイルバージョン情報実行ファイルのバージョン情報(またはメタデータ)の確認結果を示します。本ランサムウェアは、暗号化実行前にシステム上の回復手段を無効化する行動特性を示しています。主要な動作プロセスは以下の通りです。主要なシステム操作シャドウコピーの削除暗号化されたデータの復元を困難にするため、ボリュームシャドウコピーサービス(VSS)を削除・無効化します。<シャドウコピー削除の実行>Windows回復機能の無効化システム回復環境へのアクセスを妨害する設定変更を行います。<Windows回復機能の無効化>Windowsファイアウォールの無効化外部通信の制御を緩和し、C2サーバーとの通信やマルウェアの拡散を容易にする可能性があります。<Windowsファイアウォールの無効化>暗号化対象の特定GetLogicalDrives関数を利用し、システムに接続されている利用可能なすべてのドライブ(ローカルおよびマウントされたネットワークドライブを含む可能性)を探索し、暗号化の標的とします。<ランサムウェア内部の動作コード抜粋>暗号化が完了した後、身代金要求ファイルが生成され、ファイル拡張子が変更されます。身代金要求ファイル名: 各ディレクトリ内に #RECOVERY#.txt という名称のファイルが生成されます。暗号化されたファイル拡張子: 暗号化対象のファイルは <元のファイル名>.LIKEAHORSE へと変更されます。<身代金要求ファイルの内容例><暗号化後のファイル状態>本種の脅威に対するインシデント対応および予防策として、以下の対策を強く推奨いたします。多層防御の徹底: EDR/EPPソリューションによる既知および未知の脅威に対するリアルタイム監視とブロックを強化してください。バックアップ戦略: 3-2-1ルールに基づき、オフラインまたはイミュータブル(変更不可)な領域に重要なデータを定期的にバックアップし、回復手段の確保を最優先としてください。特権アカウント管理: 最小権限の原則を徹底し、管理権限を持つアカウントでの不必要なネットワークアクセスやファイル操作を制限してください。脆弱性管理: OSおよびアプリケーションの最新のセキュリティパッチを速やかに適用し、既知の侵入経路を塞いでください。(注:特定のセキュリティ製品によるブロックおよび自動復旧のデモンストレーションとして、以下の画像が示されています。これは製品の有効性を示すものであり、対策の基本を代替するものではありません。)<セキュリティ製品によるブロックメッセージ例><ブロック履歴の記録例>LIKEAHORSEのブロック動作に関する動画デモへのリンク