2025年2月から3月にかけて台湾の医療機関を襲った「CrazyHunter」ランサムウェア事案は、持ち込み型の脆弱ドライバ悪用(BYOVD: Bring Your Own Vulnerable Driver)を中核に、カーネル権限でセキュリティ製品を停止してから暗号化を実行する点が特徴である。WithSecureは、Mackay Memorial Hospital(馬偕記念病院)での暗号化が2025-02-09に始まり、台北・淡水の2拠点で600台超が暗号化されたと報告している。さらにTeamT5および台湾当局発表ベースの報道では、同様の手口が彰化基督教病院(Changhua Christian Hospital)にも及んだとされる。

本稿は、公開情報に基づき、(1)侵入から横展開、(2)BYOVDによる防御回避、(3)暗号化実装と実行形態、(4)医療機関向けの実務的な防御策を整理する。なお、各機関の被害範囲・侵入経路・データ流出有無は調査途上で変動し得るため、断定できない点は留保する。

被害の概要と時系列(台湾医療機関)

公開ソースから読み取れる範囲で、主要な出来事を時系列に並べる。

  • 2025-02-09: 馬偕記念病院の事案で暗号化が開始。WithSecureは、2拠点で600台超が暗号化され、診療に必要なシステムが障害を起こしたとする。
  • 2025-02-28: 警察発表ベースの報道では、身代金交渉が決裂した後に患者情報が売りに出されたとされる(売買の実在や完全性は別途検証が必要である)。
  • 2025-03: 彰化基督教病院でもランサムウェア被害が発生し、当局や関係ベンダーの調査でCrazyHunterとの関連が示唆・確認されたとTeamT5は述べる。
  • 2025-03: 台湾の衛生福利部(MOHW)が病院向けのランサムウェア対応ガイドラインを整備した旨が報じられている。

医療は「停止できない業務」であり、暗号化そのものに加えて、救急・外来・検査・会計などの業務継続性(BCP)を直撃する。さらに、二重恐喝(暗号化+窃取データの暴露)に移行した場合、個人情報保護・医療倫理・行政報告が一体で問われる。台湾当局は「少なくとも2病院が攻撃と関連づけられた」と説明しており、医療セクター全体のサイバーレジリエンス強化が政策課題化した。

侵入から横展開まで: “公開ツール”の組み合わせが攻撃を加速する

CrazyHunterの「衝撃」は、必ずしも未知の0dayや高度な暗号理論にあるのではなく、公開済みの攻撃ツール群を、医療ネットワークの弱点(AD/GPO運用、端末台数の多さ、分割不足、停止許容度の低さ)に合わせて最適化している点にある。

WithSecureは、馬偕記念病院の初期侵入について「USBデバイスによる持ち込み」が報道されていると記す一方で、第一段階のマルウェアは特定できていないと述べている。対照的にTeamT5のケーススタディでは、初期足場としてIIS Webサーバ上のWebshell設置およびreGeorgによるトンネリングなど、より一般的な侵入・横移動の仮説が提示されている。両者は矛盾というより、(1)機関・拠点で侵入経路が異なる、(2)調査フェーズや可視化範囲が異なる、のいずれかである可能性が高い。

横展開については、WithSecureが「SharpGPOAbuse(gpo.exe)」の痕跡を挙げ、GPO改変によるスタートアップ/ログオン時実行へ落とし込む手口を説明している。GPOは運用上の利便性が高い反面、一度制御を奪われるとドメイン配下端末へ一気に伝播し得るため、医療のような大規模端末環境では被害が増幅しやすい。

中核TTP: Zemana脆弱ドライバ(zam64.sys)を持ち込むBYOVDで“自己防衛”を破る

本事案の技術的中心はBYOVDである。BYOVDは、攻撃者が署名済みで正規のドライバ(ただし既知の脆弱性を含む)を標的環境へ持ち込み、脆弱なIOCTL等を踏み台にカーネル権限相当の操作を実現する攻撃手法である。EDR/AVの自己防衛をユーザーモードから崩しにくい環境でも、カーネル側からプロセス/ドライバを操作できれば「停止」が成立しやすい。

WithSecureは、バンドルされたファイル群(bb.exe / go.exe / go2.exe / go3.exe / ru.bat / zam64.sys等)を分析し、Go製の“go.exe / go2.exe”がZemana Anti-Loggerの脆弱ドライバ「zam64.sys」をロードしてセキュリティ製品を停止すると報告している。特にgo2.exeはWindows Defenderを、go.exeはWindows DefenderとTrend Micro製品を対象にしていたという。これは「どれかが失敗しても止め切る」ための冗長化、あるいは攻撃者側の試行錯誤を示唆する。

TeamT5も同様に、BYOVDの枠組みとしてzam64.sysのロードとプロセス停止(例: Trend Micro)を取り上げる。ここで重要なのは「署名偽造」よりも、正規に署名された“古い/脆弱な”ドライバを悪用するという点である。組織側は、エンドポイント製品の有無だけではなく、「ドライバロード」や「脆弱ドライバの持ち込み」を制御できているかが問われる。

暗号化と実行形態: Prince Builder + Donutで“見えにくい”投下を狙う

WithSecureによれば、CrazyHunterの暗号化器はGitHub上で公開されていた“Prince Ransomware”ビルダーを用いて生成されており、暗号方式としてChaCha20とECIESを組み合わせる。特に、ファイル全体を暗号化するのではなく「暗号化するバイト/しないバイト」を交互に挟むパターンで高速化する実装が説明されている(復号難度を下げるものではない)。

加えて、WithSecureは、bb.exeがDonutにより生成されたシェルコード(crazyhunter.sys)をメモリへロードして実行する手口を指摘している。これは、単体EXEとしての暗号化器が検知・隔離される場合に備え、メモリ実行へ寄せて検知面をずらす狙いが合理的に説明できる。

一連の実行はru.batが自動化していたとされ、順序としては概ね「防御回避(go2/go)→暗号化起動(go3/bb/crazyhunter)」である。医療機関のように端末台数が多く、端末ごとの例外設定が積み上がりやすい環境では、この“体系的な無効化→一斉暗号化”が短時間で成立し得る。

医療機関が取るべき防御策: BYOVD前提の設計に切り替える

BYOVDが前提になると、防御は「マルウェア検知」だけでは足りない。少なくとも以下を、運用可能な粒度に落とす必要がある。

  • 脆弱ドライバのブロック: Microsoftの脆弱ドライバブロックリスト運用、WDAC(Windows Defender Application Control)/App Control for Business、許可リスト方式の導入を検討する。EDR製品の“自己防衛”だけに依存しない。
  • ドライバロード権限の最小化: 端末管理の都合で管理者権限が広く配布されがちな医療現場ほど、SeLoadDriverPrivilegeやローカル管理者の棚卸しが効く。
  • GPO経由の横展開対策: GPO編集権限の厳格化、GPO変更監査、スタートアップ/ログオンスクリプトの監視を強化する。ADのTieringや管理端末の分離も有効である。
  • 侵入経路の複線を前提にする: USB持ち込み対策(ポート制御、デバイス制御、教育)と、Webサーバ侵害対策(WAF、IIS/アプリの脆弱性管理、Webshell検知)を両立する。
  • 復旧を中心に据える: オフライン/イミュータブルバックアップ、復旧訓練、72時間の行動手順(封じ込め・鑑定・復旧)を平時に整備する。台湾ではMOHWが病院向けガイドラインを整備したと報じられており、同様の“時系列SOP”は国内医療でも有効である。

本事案は「国家レベルの手法」と断定できる材料が公開情報だけでは不足している一方で、カーネル領域を踏み台に防御を無効化するTTPが“量産可能なランサムウェア運用”に取り込まれたという意味で、医療を含む重要インフラにとって現実的な脅威水準が上がった事例である。

FAQ

BYOVDとは何か

攻撃者が既知の脆弱性を含む署名済みドライバを標的環境に持ち込み、カーネル権限の操作(プロセス/保護機構の回避など)を行う手法である。ユーザーモードでの防御回避より強力になり得る。

なぜセキュリティソフトが“体系的に”無効化されるのか

EDR/AVの自己防衛はユーザーモードでの停止を想定して堅牢化されているが、脆弱ドライバを介してカーネル側から操作されると、保護対象プロセスの終了や関連コンポーネントの破壊が成立しやすい。WithSecureはgo.exe/go2.exeがWindows DefenderやTrend Microを狙ったと報告している。

現場での検知ポイントはどこか

未知のマルウェア名に依存せず、(1)不審なドライバのドロップとロード、(2)セキュリティサービスの停止試行、(3)GPO変更やスタートアップスクリプトの異常、(4)IIS上の不審ファイル/外向きトンネル(reGeorg等)の痕跡、を相関させる設計が有効である。

暗号化が始まった場合の初動は

感染拡大を止めるためにネットワーク分離を優先し、認証基盤(AD)とバックアップ領域の保全を最優先する。その上で、ランサムノートや実行バッチ、ドライバ、プロセスツリーなど揮発性証跡を確保し、復旧系統(代替端末・代替回線・紙運用)へ切り替える。

「医療が狙われる」理由は何か

業務停止の許容度が低く、端末が多く、外部委託や多様なシステムが混在しやすい。加えて個人情報の価値が高く、二重恐喝の材料にもなり得るためである。

参考文献