2023年7月に公表された、Microsoftのハードウェア開発者向けプログラムを悪用するセキュリティ問題は、EDRを回避する攻撃を招く恐れがある。セキュリティ専門家が指摘する、警戒すべき点とは。
OS「Windows」用のハードウェア開発者向けプログラム「Microsoft Windows Hardware Developer Program」(MWHDP)の認証を受けたドライバを悪用する攻撃の危険性が、2023年7月に浮上した。Microsoftによると、攻撃者はこのドライバを悪用することで標的システムの管理者権限を取得し、攻撃を仕掛けることが可能だ。この問題をセキュリティ専門家はどうみているのか。
セキュリティベンダーSophosで脅威分析の担当ディレクターを務めるクリストファー・バッド氏によると、同社は2022年10月以降、ランサムウェア(身代金要求型マルウェア)攻撃を含め、MWHDP認証済みドライバを悪用した、さまざまな手口の攻撃を観測した。2022年12月に同社は、悪用された認証済みドライバ7点を発見したという。「当社はMicrosoftの協力を得て調査を進め、現在は約100点の悪質なドライバへの注意を呼び掛けている」とバッド氏は説明する。
バッド氏によると、こうした悪意のあるドライバの大半はOSのコア部分と通信する。これらのドライバは、OSがセキュリティソフトウェアを実行するよりも前の段階で、セキュリティソフトウェアの機能を無効化する。「当社が発見した悪意のあるドライバの大半は、EDR(Endpoint Detection and Response)製品を迂回(うかい)するための特別な仕組みを持っていた」とバッド氏は述べる。そのため、攻撃者から悪意のあるドライバを送り込まれた標的システムは、さまざまな攻撃に対して脆弱な状態になりやすいという。
「悪意のあるドライバに対するベンダーの署名を入手することは難しいので、この手法は高度な技術を持っている攻撃者でないと実行できない」とバッド氏は見解を示す。攻撃者が悪用したドライバのEDR迂回方法は特定のEDRベンダーに特化したものではなく、さまざまなEDR製品を対象にしていた。「企業が攻撃のリスクを減らすためには、特定のベンダーに所属せず、広い視点を持っているセキュリティ専門家の知恵が必要だ」と同氏は助言する。
米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
社会人Z世代の休日の過ごし方 関東と関西の違いは?
大広若者研究所「D'Z lab.」は、37人へのインタビューと1000人へのアンケートを基に、社...
製造業の8割が既存顧客深耕に注力 最もリソースを割いている施策は?
ラクスは、製造業の営業・マーケティング担当者500人を対象に、新規開拓や既存深耕におけ...
「生成AIで作った広告」が物議 そのとき、コカ・コーラはどう動いた?
生成AIを広告制作に活用し、議論を呼んだCoca-Cola。この経験から何を学んだのか。