「Microsoft公認」でさえ危ないドライバの悪用 なぜEDRでも防げない？：Microsoft製品の危ない欠陥【第4回】

2023年7月に公表された、Microsoftのハードウェア開発者向けプログラムを悪用するセキュリティ問題は、EDRを回避する攻撃を招く恐れがある。セキュリティ専門家が指摘する、警戒すべき点とは。

[Alex Scroxton，TechTarget]

　OS「Windows」用のハードウェア開発者向けプログラム「Microsoft Windows Hardware Developer Program」（MWHDP）の認証を受けたドライバを悪用する攻撃の危険性が、2023年7月に浮上した。Microsoftによると、攻撃者はこのドライバを悪用することで標的システムの管理者権限を取得し、攻撃を仕掛けることが可能だ。この問題をセキュリティ専門家はどうみているのか。

なぜEDRでは駄目なのか

併せて読みたいお薦め記事

連載：Microsoft製品の危ない欠陥

• 第1回：ロシア系攻撃集団が狙う「Microsoft Office」の脆弱性　なぜ危ない？
• 第2回：「Microsoft製品の脆弱性」に備える“公式お墨付き”の対策とは
• 第3回：「Microsoft認証済み」のドライバでも油断できない“悪質な手口”とは

脆弱性に立ち向かうには

• 新発見の脆弱性どころか「古い脆弱性」が危ない当然の理由
• 「脆弱性」の悪用が深刻化　“あのブラウザ”や“あのGPU”も標的に

　セキュリティベンダーSophosで脅威分析の担当ディレクターを務めるクリストファー・バッド氏によると、同社は2022年10月以降、ランサムウェア（身代金要求型マルウェア）攻撃を含め、MWHDP認証済みドライバを悪用した、さまざまな手口の攻撃を観測した。2022年12月に同社は、悪用された認証済みドライバ7点を発見したという。「当社はMicrosoftの協力を得て調査を進め、現在は約100点の悪質なドライバへの注意を呼び掛けている」とバッド氏は説明する。

　バッド氏によると、こうした悪意のあるドライバの大半はOSのコア部分と通信する。これらのドライバは、OSがセキュリティソフトウェアを実行するよりも前の段階で、セキュリティソフトウェアの機能を無効化する。「当社が発見した悪意のあるドライバの大半は、EDR（Endpoint Detection and Response）製品を迂回（うかい）するための特別な仕組みを持っていた」とバッド氏は述べる。そのため、攻撃者から悪意のあるドライバを送り込まれた標的システムは、さまざまな攻撃に対して脆弱な状態になりやすいという。

　「悪意のあるドライバに対するベンダーの署名を入手することは難しいので、この手法は高度な技術を持っている攻撃者でないと実行できない」とバッド氏は見解を示す。攻撃者が悪用したドライバのEDR迂回方法は特定のEDRベンダーに特化したものではなく、さまざまなEDR製品を対象にしていた。「企業が攻撃のリスクを減らすためには、特定のベンダーに所属せず、広い視点を持っているセキュリティ専門家の知恵が必要だ」と同氏は助言する。

Computer Weekly発　世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。