ファイルを書き換えずにランサムウェアのような攻撃を行う手法が発見される。概念実証の「GhostLock」をセキュリティ研究者が発表 Windows NT 3.1から存在しているSMBの仕様を悪用

faviconINTERNET Watch
https://internet.watch.impress.co.jp/docs/news/2108419.html
セキュリティ研究者のキム・ドヴァシュ氏は、データの書き込みを行わずにファイルのアクセスを不能にする概念実証の「GhostLock」を発表した。
🔒 18
💬 8
先着人気新着➡️
punychanDoSとしては効果があるけど、金を取れるかというと無理な気がする
2026/05/14 09:02

punychan

DoSとしては効果があるけど、金を取れるかというと無理な気がする
2026/05/14 09:02🔗 リンク
nguyen-oiNT 3.1からの仕様が悪用可能とか骨董品レベルの負債が今更火を噴くの怖すぎる。書き換えなしで業務不能にするとか、EDRの隙を突く発想がえぐいわ
2026/05/14 09:09

nguyen-oi

NT 3.1からの仕様が悪用可能とか骨董品レベルの負債が今更火を噴くの怖すぎる。書き換えなしで業務不能にするとか、EDRの隙を突く発想がえぐいわ
2026/05/14 09:09🔗 リンク
hiduru_kまあ、とりあえずネットワークから切り離して再起動すれば復旧はするだろうからなあ
2026/05/14 09:22

hiduru_k

まあ、とりあえずネットワークから切り離して再起動すれば復旧はするだろうからなあ
2026/05/14 09:22🔗 リンク
JULYこの記事に限らず「SMB での共有」という文脈で語られているけど、CreateFileW の引数で dwShareMode を 0 にしてファイルを開く話で、ローカルでのファイルアクセスも同じだよなぁ。
2026/05/14 09:40

JULY

この記事に限らず「SMB での共有」という文脈で語られているけど、CreateFileW の引数で dwShareMode を 0 にしてファイルを開く話で、ローカルでのファイルアクセスも同じだよなぁ。
2026/05/14 09:40🔗 リンク
secseekなんとそんな仕様が…。なんで書き込み権限を持ってない人が共有ロックできるようにしようと思ったんでしょう。当時はそこまで考えてなかったんですかね
2026/05/14 10:13

secseek

なんとそんな仕様が…。なんで書き込み権限を持ってない人が共有ロックできるようにしようと思ったんでしょう。当時はそこまで考えてなかったんですかね
2026/05/14 10:13🔗 リンク
deep_one「排他的アクセス」方法論は分かる。アクセス権がある範囲での攻撃になるが、そこは権限昇格とか使うのか。最大の利点はステルス性と展開の速さ。ファイルハンドル作るだけで終わりだから超速いな。
2026/05/14 10:49

deep_one

「排他的アクセス」方法論は分かる。アクセス権がある範囲での攻撃になるが、そこは権限昇格とか使うのか。最大の利点はステルス性と展開の速さ。ファイルハンドル作るだけで終わりだから超速いな。
2026/05/14 10:49🔗 リンク
defiantこの記事をおすすめしました
2026/05/14 14:25

defiant

この記事をおすすめしました
2026/05/14 14:25🔗 リンク
mojimojikunふぇぇ
2026/05/14 15:26

mojimojikun

ふぇぇ
2026/05/14 15:26🔗 リンク