GhostLockとは何か:Windows API悪用でファイルアクセスを妨害する新たな手法の危険性
Windows環境で利用される正規のファイル操作APIが、攻撃者によって業務妨害に悪用される可能性が示された。新たに公開された概念実証ツール「GhostLock」は、Windowsのファイル共有モードを利用し、ローカルファイルやSMBネットワーク共有上のファイルを一時的に開けなくする手法を実証している。データを暗号化するランサムウェアとは異なり、ファイルそのものを破壊するわけではない。しかし、業務ファイルへアクセスできない状態を意図的に作り出せる点で、企業ネットワークにとって無視できない脅威となる。
- GhostLockが示した「正規機能の悪用」という問題
- 悪用されるCreateFileWと共有モードの仕組み
- 標準ユーザーでも実行できる点が厄介
- ランサムウェアとは異なるが、業務停止という意味では近い
- 陽動攻撃として使われる可能性
- 復旧できるから安全とは言えない
- 企業が見直すべき防御ポイント
- インシデント対応で重要になる初動
- バックアップだけでは防げない可用性リスク
- GhostLockが突きつけるセキュリティ運用の課題
- 破壊しない攻撃への備えが必要になる
GhostLockが示した「正規機能の悪用」という問題
GhostLockは、Windowsに備わる正規のファイル操作機能を悪用し、他のユーザーやアプリケーションが特定ファイルへアクセスできない状態を作り出す概念実証ツールである。重要なのは、この手法が脆弱性の悪用というより、Windowsの設計上用意されているファイル共有制御の仕組みを攻撃的に使っている点だ。
Windowsでは、あるプロセスがファイルを開く際に、他のプロセスが同じファイルへどのようにアクセスできるかを指定できる。これは本来、複数のアプリケーションが同時に同じファイルを編集してデータ破損を起こすことを防ぐための仕組みである。たとえば、ある業務アプリが処理中のファイルを一時的に排他的に開くことで、他のプログラムによる変更を防ぐことができる。
GhostLockは、この正規の排他制御を逆手に取る。攻撃者が多数のファイルを排他的に開いたままにすると、他のユーザーやアプリケーションはそのファイルを開こうとしても失敗する。Windows側では、共有違反を示すエラーが発生し、利用者から見ると「ファイルが開けない」「共有フォルダ上の資料にアクセスできない」という状態になる。
この挙動は、ファイルの削除や暗号化とは異なる。ファイルは存在しており、内容も変更されていない。それでも業務上は、必要なタイミングで開けなければ十分に深刻な障害となる。特にSMB共有に重要な文書、表計算ファイル、設計データ、経理資料、業務システムの入力ファイルなどが集約されている組織では、短時間のアクセス不能でも大きな混乱につながる。
悪用されるCreateFileWと共有モードの仕組み
GhostLockの中核にあるのは、Windows APIの「CreateFileW」と呼ばれる関数である。CreateFileWは、Windowsアプリケーションがファイルやデバイスを開く際に利用する基本的なAPIの一つで、ファイルを読み込む、書き込む、既存ファイルを開く、新規作成するといった処理に関係している。
この関数には、他のプロセスにどのような共有アクセスを許可するかを決める引数がある。ここで共有を許可しない設定にすると、ファイルを開いたプロセスがハンドルを保持している間、別のプロセスは同じファイルを開けなくなる。
通常、この排他制御は正当な用途で使われる。たとえば、編集中のファイルに別のアプリが同時に書き込むと、データの整合性が崩れる恐れがある。そこで、アプリケーションは必要に応じてファイルを一時的にロックする。問題は、攻撃者がこの仕組みを大量のファイルに対して意図的に実行した場合だ。
GhostLockは、SMB共有上のファイルを再帰的に開き、排他的なファイルハンドルを維持する。ハンドルが開かれている限り、他の利用者は該当ファイルへアクセスできない。ファイルサーバー上で多数の業務ファイルが同時にこの状態になると、組織全体で「共有フォルダが壊れた」「ネットワークドライブが使えない」「ファイルがロックされ続ける」といった障害として認識される可能性が高い。
| 項目 | GhostLockによる影響 |
|---|---|
| 対象 | ローカルファイル、SMB共有上のファイル |
| 悪用される仕組み | Windowsのファイル共有モード |
| 主な結果 | 他ユーザーやアプリがファイルを開けない |
| 必要権限 | 標準的なドメインユーザー権限でも実行可能 |
| データ破壊 | 基本的には発生しない |
| 復旧条件 | ハンドル終了、SMBセッション切断、プロセス停止、再起動など |
| 想定される悪用 | 業務妨害、侵入中の陽動、IT部門の混乱誘発 |
標準ユーザーでも実行できる点が厄介
GhostLockの危険性を高めている要素の一つが、必ずしも管理者権限を必要としない点である。多くの攻撃では、権限昇格に成功して初めて大きな被害を与えられる。しかし、この手法では、共有フォルダ内のファイルにアクセスできる通常のドメインユーザー権限があれば、一定の妨害が可能になる。
これは企業ネットワークにとって現実的なリスクである。攻撃者がフィッシングやマルウェアによって一般社員の端末を侵害した場合、そのアカウントが日常業務でアクセスできる共有フォルダに対してGhostLock型の攻撃を仕掛けられる。アクセス権限が広く設定されている環境ほど、影響範囲は拡大する。
特に問題となるのは、昔から運用されているファイルサーバーだ。部署横断の共有フォルダ、退職者や異動者の権限が残ったフォルダ、全社員が読み書きできる作業領域などでは、最小権限の原則が徹底されていないことが多い。こうした環境では、攻撃者が一つの標準アカウントを手に入れただけで、多数の重要ファイルをロックできる可能性がある。
さらに、複数の侵害端末から同時に実行された場合、被害はより厄介になる。一つのプロセスを停止しても、別の端末が再びファイルハンドルを取得し直すような動きがあれば、IT管理者は原因端末の特定と封じ込めに時間を取られる。攻撃自体はデータを破壊しなくても、復旧作業や調査対応の負担は大きい。
ランサムウェアとは異なるが、業務停止という意味では近い
GhostLockによる攻撃は、ランサムウェアのようにファイルを暗号化して身代金を要求するものではない。ファイルの内容を改ざんしたり、削除したりするわけでもない。攻撃プロセスやSMBセッションが終了すれば、Windowsはファイルハンドルを閉じ、ファイルへのアクセスは回復する。
そのため、厳密には破壊型攻撃ではなく、サービス妨害に近い。だが、企業現場において重要なのは、データが失われたかどうかだけではない。必要なファイルを必要な時に開けない状況は、それだけで業務停止を招く。
経理部門が決算資料にアクセスできない、製造部門が工程表を開けない、医療機関が共有文書を参照できない、法律事務所が案件ファイルを確認できない。こうした状況では、データが無事であっても実害は発生する。攻撃者がこの特性を理解していれば、あえて暗号化せず、短時間の混乱を狙う選択肢としてGhostLock型の手法を使う可能性がある。
また、ランサムウェア対策をバックアップ中心に考えている組織にとっては盲点になりやすい。バックアップがあっても、現在稼働中の共有ファイルが開けない状況そのものを即座に解消できるとは限らない。バックアップから復元しても、攻撃者が再びファイルハンドルを取得すれば同じ問題が繰り返されるからだ。
陽動攻撃として使われる可能性
GhostLock型の攻撃で特に警戒すべきなのは、単独の妨害だけでなく、侵入活動中の陽動として使われる可能性である。攻撃者は、組織内でデータ窃取や横展開を行っている最中に、IT部門の注意をそらすために共有ファイルの大規模ロックを発生させることができる。
現場から「共有フォルダのファイルが開けない」という問い合わせが殺到すれば、IT部門はファイルサーバー、ネットワーク、アクセス権限、端末側のエラー調査に追われる。その間に、攻撃者は別の場所で認証情報を収集したり、機密データを持ち出したり、追加の端末へ侵入したりするかもしれない。
この種の攻撃は、見た目にはシステム障害と区別しにくい。ファイルサーバーの不調、ネットワーク遅延、アプリケーションの不具合、権限設定ミスなど、管理者が最初に疑う原因はいくつもある。攻撃者にとっては、その初動の混乱こそが狙いになる。
さらに、ファイルが暗号化されないため、ランサムウェア特有の身代金メモや拡張子変更のような分かりやすい痕跡が出にくい。結果として、インシデントとして認識されるまでに時間がかかる可能性がある。GhostLockが示しているのは、派手な破壊を伴わない攻撃でも、十分に防御側の判断力を削ぐことができるという現実だ。
復旧できるから安全とは言えない
GhostLockによってロックされたファイルは、攻撃プロセスが終了したり、SMBセッションが切断されたり、対象システムが再起動されたりすれば、基本的にアクセス可能な状態へ戻る。これは、暗号化されたファイルを復号鍵なしに戻せないランサムウェアと比べれば、被害の性質が大きく異なる。
しかし、復旧可能であることと、被害が軽いことは同じではない。業務時間中に数千、数万のファイルが開けなくなれば、たとえ数十分の障害でも現場には大きな影響が出る。原因調査、影響範囲の確認、侵害端末の隔離、ユーザー対応、経営層への報告など、復旧以外の対応コストも発生する。
また、攻撃者が継続的にファイルハンドルを取り直す場合、単純なプロセス停止や一部端末の再起動だけでは収束しないことがある。複数端末に侵害が広がっていれば、どの端末がロックを発生させているのかを特定しなければならない。ファイルサーバー側で開かれているファイルや接続中のセッションを確認する運用が整っていない組織では、対応が後手に回る。
この点でGhostLockは、可用性を狙う攻撃として見るべきだ。情報セキュリティでは、機密性、完全性、可用性の三要素が重視される。ランサムウェアは機密性や完全性にも影響を与えるが、GhostLockは主に可用性を狙う。業務継続の観点では、可用性への攻撃も重大なインシデントになり得る。
企業が見直すべき防御ポイント
GhostLock型の攻撃に備えるには、単にマルウェア対策ソフトを導入するだけでは不十分である。正規APIの利用という性質上、すべての挙動を単純に悪性として判定することは難しい。重要なのは、異常なファイルアクセスの量やパターンを検知できる体制を作ることだ。
まず見直すべきは、共有フォルダのアクセス権限である。全社員に広範な読み書き権限を与えている環境では、一つのアカウント侵害が大きな影響へ直結する。部署、業務、役割ごとに必要最小限の権限へ整理し、不要な書き込み権限や古いアカウント権限を削除することが重要になる。
次に、ファイルサーバーの監視である。短時間に大量のファイルが開かれ、共有違反が多発している場合、それは通常業務とは異なる兆候かもしれない。特定端末や特定ユーザーが異常な数のファイルハンドルを保持していないかを確認できるログ管理が必要だ。
EDRやSIEMを導入している環境では、SMBアクセス、ファイルハンドルの大量オープン、共有違反エラー、同一プロセスによる多数ファイルへの連続アクセスなどを相関的に見ることで、早期検知につなげられる可能性がある。単体のイベントでは正常に見えても、全体の振る舞いとして異常を捉えることが鍵になる。
インシデント対応で重要になる初動
実際に共有ファイルが一斉に開けなくなった場合、単なる障害として扱うだけでは危険である。ファイルサーバーやネットワーク機器の確認と同時に、攻撃の可能性を前提とした初動を取る必要がある。
管理者は、どのユーザーが対象ファイルを開いているのか、どの端末からSMB接続が行われているのか、通常より多いファイルオープンが発生していないかを確認するべきだ。Windows環境では、共有フォルダ上で開かれているファイルや接続中のセッションを管理ツールから確認できるため、平時から調査手順を整備しておくことが望ましい。
問題のある端末が特定できた場合は、ネットワークから隔離し、関連するユーザーアカウントの認証情報を無効化またはリセットする必要がある。単に端末を再起動するだけでは、攻撃者が再接続する可能性を残してしまう。侵害端末が複数存在する可能性も考え、同時刻帯の認証ログや横展開の痕跡も確認すべきである。
さらに、利用者への案内も重要になる。ファイルが開けない状態が発生した際、ユーザーが自己判断でファイルをコピーしたり、別名保存したり、個人端末へ退避したりすると、情報管理上の別のリスクが生じる。インシデント時にどのような連絡経路を使い、どのような操作を避けるべきかを事前に周知しておく必要がある。
バックアップだけでは防げない可用性リスク
多くの組織はランサムウェア対策としてバックアップを重視している。もちろん、バックアップは不可欠である。しかし、GhostLock型の攻撃はデータを消すのではなく、アクセスを妨げる。つまり、バックアップが存在していても、業務中のファイル共有がロックされる問題を直接防ぐものではない。
バックアップは「失われたデータを戻す」ための対策であり、GhostLockのような攻撃では「いま使うべきデータにアクセスできない」ことが問題になる。ここでは、冗長化、アクセス制御、監視、端末防御、インシデント対応手順が組み合わさって初めて効果を発揮する。
たとえば、重要業務に必要なファイルを単一の共有領域に集中させている場合、その領域がロックされるだけで業務が止まる。重要度の高い業務については、代替手順や読み取り専用の参照環境、業務継続用のアクセス経路を検討する価値がある。ただし、安易に複製を増やすと情報漏えいリスクも高まるため、利便性と統制のバランスが求められる。
GhostLockが突きつけるセキュリティ運用の課題
GhostLockが示した問題は、特定のツールだけに限定されるものではない。より本質的には、正規の機能が攻撃に転用される時代に、従来型の「既知マルウェアを検出する」防御だけでは限界があるということだ。
WindowsのAPI、PowerShell、リモート管理ツール、ファイル共有、認証基盤など、企業ネットワークで日常的に使われる機能は、攻撃者にとっても利用価値が高い。正規機能を使う攻撃は、システム側から見ると一見すると通常操作に近い。そのため、誰が、いつ、どこから、どの程度の量を、どのような文脈で実行したのかを見なければならない。
GhostLock型の妨害は、組織のファイル共有運用の弱点を浮き彫りにする。アクセス権限が過剰ではないか。共有フォルダに重要ファイルが集中しすぎていないか。異常なファイルオープンを検知できるか。標準ユーザー端末の侵害を前提にした封じ込め手順があるか。これらを点検するきっかけになる。
破壊しない攻撃への備えが必要になる
GhostLockは、ファイルを壊さず、暗号化もせず、それでも業務を止めることができる攻撃の存在を分かりやすく示した。被害が一時的であっても、発生するタイミングが悪ければ影響は深刻になる。決算、受発注、医療、製造、顧客対応など、時間に敏感な業務では、短時間のファイルアクセス不能が大きな損失を生む。
今後、攻撃者がこの種の手法を単独で使うとは限らない。情報窃取、認証情報の悪用、横展開、ランサムウェア展開前の陽動など、複数の攻撃工程の一部として利用される可能性がある。防御側は、ファイルが暗号化されていないから安全だと判断するのではなく、可用性を狙う異常として早期に検知しなければならない。
企業に求められるのは、共有ファイルが使えなくなった時に、障害と攻撃の両面から調査できる体制である。権限管理、ログ監視、EDR、ファイルサーバー運用、インシデント対応訓練を結びつけることで、GhostLockのような正規機能悪用型の攻撃にも現実的に備えられる。
GhostLockは派手な破壊を行うツールではない。しかし、企業の業務がファイル共有に深く依存している以上、その影響は決して小さくない。これからのセキュリティ対策では、データを守るだけでなく、必要な時に確実に使える状態を守るという視点が、より重要になっていく。
