Windows CreateFileW API Flaw Could Let Attackers Lock SMB Files at Scale
2026/05/11 gbhackers — ランサムウェアが壊滅的な業務被害を引き起こすには、破損データをディスクへ書き込む必要があるという根本的な前提に基づいて、数十億ドル規模のセキュリティ業界は運営されている。しかし、新たに公開された攻撃手法 GhostLock は、この前提を完全に覆すものである。この攻撃で実証されたのは、1 バイトも暗号化することなく、エンタープライズ・ファイル・システムが機能不全に陥るという状況である。
2026年5月にセキュリティ研究者 Kim Dvash が公開したオープンソース PoC は、エンタープライズ NAS システム上の数十万ものファイルを、ロックできることを明らかにしている。 この攻撃で必要となるのは、通常のフィッシングで容易に取得される、低権限のドメイン・ユーザー・アカウントである。この攻撃により、重要な ERP システム/共有業務ワークフロー全体で大規模な共有違反が即座に発生し、従来型のフォレンジック痕跡は一切残されない。
暗号化不要の攻撃メカニズム
GhostLock の侵入を可能にする中核メカニズムは、未知のゼロデイ脆弱性ではなく、Windows オペレーティング・システムに存在する標準 API 「CreateFileW」の巧妙な悪用である。この API を呼び出すネットワーク・クライアントが、共有モード・パラメータを明示的に “0” に設定すると、システムの入出力マネージャは排他的な deny-share ハンドルを付与する。
その際に、 SMB (Server Message Block) プロトコル仕様により、受信サーバは共有契約を厳格に適用するため、攻撃者が自発的にハンドルを閉じるまで、他のプロセスやユーザーは対象ファイルの読取/書込/削除を実行できない。
カーネル・レベルでは、これらの共有セマンティクスを、ファイル・システム・ドライバがメモリ内で強制するため、ユーザー・モードからの回避は不可能である。その一方で GhostLock ツールは、高度に最適化されたマルチスレッド並列探索アーキテクチャを介して、この標準動作をエンタープライズ規模で悪用している。
具体的には、ディレクトリをスキャンし、これらの読み取り専用排他ハンドルを同時に取得することで、この自動化スクリプトは 3 分未満で 50 万ファイルを特定/ロックできる。
この手法は、ネットワーク・ロックアウト攻撃の、従来からの構造を根本的に変化させるため、現代のサイバー・セキュリティ防御アーキテクチャの大半のレイヤを回避する。 Andrea Fortuna によると、この攻撃は侵害されたストレージ・ボリューム上で書き込み/リネーム/削除イベントを一切発生させないため、ハニーポットやカナリア・ファイルは完全に無力化されるという。
それと同時に、ネットワーク・トラフィック・プロファイルが通常のエンタープライズ検索インデクサ/バックアップ・アプリケーションによる動作と区別できないため、振る舞いベースの AI モデル/高度な書き込みレート異常検知ツールはアラートを生成できない。また、EDR レベルにおいても、従業員が Office 文書を高速で開く通常の動作と、このシステム・コールは同一に見えるため、シェルコード注入/メモリ異常も発生しない。
さらに、攻撃者はファイル内容を外部送信せずにファイルを開くだけであるため、 DLP ツールも検知できない。結果として、ネットワーク・トラフィックは設定済みアラート閾値を大幅に下回ることとなる。
検知戦略とインシデント対応
基盤 API を制限すると、正規のアプリケーションへ壊滅的影響を与えるため、SOC はテレメトリベースの検知戦略へと移行する必要がある。各ユーザーの同時排他ハンドル数を追跡するための、ストレージ管理セッション・テーブルの監視が、GhostLock 攻撃に対する唯一の有効指標となる。
そのため、セキュリティ・チームは、このストレージ・テレメトリを集中型ログ基盤へ直接取り込み、単一セッションにおける排他ハンドル数が 500 を超えた場合に、重要アラートを生成すべきである。
インシデント対応の観点では、タイムスタンプ変更/新規ファイル作成が存在しないため、標準のフォレンジック調査はアナリストを誤った方向へと導く可能性が高い。
特に留意すべきは、侵害された Active Directory 認証情報を単純に無効化するだけでは不十分であるという点である。事前認証済みネットワーク・セッションは、接続が自然にタイムアウトするまでファイル・ロックを維持し続ける。
インシデント・レスポンス・ランブックを直ちに更新し、ストレージ管理者と直接連携した上で、ストレージ・インフラ層において問題のあるネットワーク・セッションを強制終了することが不可欠となる。
訳者後書:今回の GhostLock 攻撃は、特別な脆弱性を突くものではなく Windows の標準的な API である CreateFileW を悪用するものです。本来はファイルの一貫性を守るための排他制御という仕組みが、攻撃者により悪用されることで、データの暗号化を伴わない新しい形のシステム停止を引き起こしています。低権限のユーザー・アカウントであっても、ネットワーク越しに共有モードを “0” に設定してファイルを開くだけで、他の利用者が一切アクセスできない状態を作れてしまう点が、この問題の核心です。 OS や SMB プロトコルの正規の仕様に基づく動作であるため、既存のセキュリティツールでの検知がきわめて難しくなります。システム設計の根本的な部分に潜んでいる問題だと言えます。
IoT OT Security News 
You must be logged in to post a comment.