「Microsoft公認」でさえ危ないドライバの悪用 なぜEDRでも防げない?Microsoft製品の危ない欠陥【第4回】

2023年7月に公表された、Microsoftのハードウェア開発者向けプログラムを悪用するセキュリティ問題は、EDRを回避する攻撃を招く恐れがある。セキュリティ専門家が指摘する、警戒すべき点とは。

2023年09月26日 05時00分 公開
[Alex ScroxtonTechTarget]

 OS「Windows」用のハードウェア開発者向けプログラム「Microsoft Windows Hardware Developer Program」(MWHDP)の認証を受けたドライバを悪用する攻撃の危険性が、2023年7月に浮上した。Microsoftによると、攻撃者はこのドライバを悪用することで標的システムの管理者権限を取得し、攻撃を仕掛けることが可能だ。この問題をセキュリティ専門家はどうみているのか。

なぜEDRでは駄目なのか

 セキュリティベンダーSophosで脅威分析の担当ディレクターを務めるクリストファー・バッド氏によると、同社は2022年10月以降、ランサムウェア(身代金要求型マルウェア)攻撃を含め、MWHDP認証済みドライバを悪用した、さまざまな手口の攻撃を観測した。2022年12月に同社は、悪用された認証済みドライバ7点を発見したという。「当社はMicrosoftの協力を得て調査を進め、現在は約100点の悪質なドライバへの注意を呼び掛けている」とバッド氏は説明する。

 バッド氏によると、こうした悪意のあるドライバの大半はOSのコア部分と通信する。これらのドライバは、OSがセキュリティソフトウェアを実行するよりも前の段階で、セキュリティソフトウェアの機能を無効化する。「当社が発見した悪意のあるドライバの大半は、EDR(Endpoint Detection and Response)製品を迂回(うかい)するための特別な仕組みを持っていた」とバッド氏は述べる。そのため、攻撃者から悪意のあるドライバを送り込まれた標的システムは、さまざまな攻撃に対して脆弱な状態になりやすいという。

 「悪意のあるドライバに対するベンダーの署名を入手することは難しいので、この手法は高度な技術を持っている攻撃者でないと実行できない」とバッド氏は見解を示す。攻撃者が悪用したドライバのEDR迂回方法は特定のEDRベンダーに特化したものではなく、さまざまなEDR製品を対象にしていた。「企業が攻撃のリスクを減らすためには、特定のベンダーに所属せず、広い視点を持っているセキュリティ専門家の知恵が必要だ」と同氏は助言する。

Computer Weekly発 世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。

ITmedia マーケティング新着記事

news131.jpg

メッシやベリンガム、ヴィルツも登場 アディダスが世界で展開する豪華過ぎるサッカー推しキャンペーンの中身
Adidasが夏のサッカーシーズンに向けて新キャンペーンを世界各地で展開する。デビッド・...

news058.jpg

Web広告施策に課題を感じている企業は9割以上――リンクアンドパートナーズ調査
企業のWeb広告施策を推進している担当者約500人を対象に、課題と今後の取り組みについて...

news183.jpg

TikTokマーケティングの最適解へ スパイスボックスが縦型動画クリエイター集団M2DKと業務提携
スパイスボックスが縦型動画クリエイター集団であるM2DKと業務提携。生活者に向けて訴求...