「Microsoft公認」でさえ危ないドライバの悪用 なぜEDRでも防げない?Microsoft製品の危ない欠陥【第4回】

2023年7月に公表された、Microsoftのハードウェア開発者向けプログラムを悪用するセキュリティ問題は、EDRを回避する攻撃を招く恐れがある。セキュリティ専門家が指摘する、警戒すべき点とは。

2023年09月26日 05時00分 公開
[Alex ScroxtonTechTarget]

 OS「Windows」用のハードウェア開発者向けプログラム「Microsoft Windows Hardware Developer Program」(MWHDP)の認証を受けたドライバを悪用する攻撃の危険性が、2023年7月に浮上した。Microsoftによると、攻撃者はこのドライバを悪用することで標的システムの管理者権限を取得し、攻撃を仕掛けることが可能だ。この問題をセキュリティ専門家はどうみているのか。

なぜEDRでは駄目なのか

 セキュリティベンダーSophosで脅威分析の担当ディレクターを務めるクリストファー・バッド氏によると、同社は2022年10月以降、ランサムウェア(身代金要求型マルウェア)攻撃を含め、MWHDP認証済みドライバを悪用した、さまざまな手口の攻撃を観測した。2022年12月に同社は、悪用された認証済みドライバ7点を発見したという。「当社はMicrosoftの協力を得て調査を進め、現在は約100点の悪質なドライバへの注意を呼び掛けている」とバッド氏は説明する。

 バッド氏によると、こうした悪意のあるドライバの大半はOSのコア部分と通信する。これらのドライバは、OSがセキュリティソフトウェアを実行するよりも前の段階で、セキュリティソフトウェアの機能を無効化する。「当社が発見した悪意のあるドライバの大半は、EDR(Endpoint Detection and Response)製品を迂回(うかい)するための特別な仕組みを持っていた」とバッド氏は述べる。そのため、攻撃者から悪意のあるドライバを送り込まれた標的システムは、さまざまな攻撃に対して脆弱な状態になりやすいという。

 「悪意のあるドライバに対するベンダーの署名を入手することは難しいので、この手法は高度な技術を持っている攻撃者でないと実行できない」とバッド氏は見解を示す。攻撃者が悪用したドライバのEDR迂回方法は特定のEDRベンダーに特化したものではなく、さまざまなEDR製品を対象にしていた。「企業が攻撃のリスクを減らすためには、特定のベンダーに所属せず、広い視点を持っているセキュリティ専門家の知恵が必要だ」と同氏は助言する。

Computer Weekly発 世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。

ITmedia マーケティング新着記事

news061.jpg

マーケターの87%は自分の仕事が生成AIなどのテクノロジーに取って代わられることを懸念――Gartner調査
Gartnerがマーケティング人材に関する調査を実施。環境的不確実性と技術的複雑性の中で、...

news058.jpg

Z世代が旅に求める「令和的非日常」とは?
JTBコミュニケーションデザインと伊藤忠ファッションシステムが、Z世代の旅に関する意識...

news094.jpg

電通が「AI×クリエイティブ」の強みを生かしたビジネスコンサルティングサービスを提供開始
電通は「AI×クリエイティブ」で企業の事業やサービスの開発を支援する新サービス「AIQQQ...