BYOVD(Bring Your Own Vulnerable Driver)攻撃の出現は、正規の署名済みドライバに存在する深刻な脆弱性を浮き彫りにしています。この攻撃により、サイバー犯罪者はカーネルレベルでコードを実行し、Microsoft Defenderによる検出を回避し、ランサムウェアを展開することが可能になります。システムを保護するには、このガイドで概説されている保護対策を実装することが不可欠です。
BYOVD攻撃とMicrosoft Defenderへの影響を理解する
BYOVD攻撃は主にrwdrv.sysドライバを利用します。このドライバは通常、Throttlestopや各種ファン制御ソフトウェアなどの正規アプリケーションに関連付けられていますが、不正に操作され、カーネルへの不正アクセスを取得する可能性があります。攻撃プロセスの概要は以下のとおりです。
- 攻撃者は、多くの場合、ネットワークの侵害やリモート アクセス型トロイの木馬 (RAT) の使用によって、標的の PC に侵入します。
- アクセスが保護されると、信頼できるrwdrv.sysドライバーがインストールされます。
- このドライバーは昇格された権限を取得するために悪用され、悪意のあるhlpdrv.sysドライバーのインストールを可能にします。
- その後、 hlpdrv.sysドライバーは Windows レジストリ設定を変更し、Microsoft Defender の保護機能を事実上無効にします。
- これらの防御を回避すると、攻撃者は自由にランサムウェアをインストールしたり、その他の悪意のある活動を行ったりできるようになります。
現在、これらの攻撃にはAkiraランサムウェアが関連付けられており、Microsoft Defenderが無効になっているため、攻撃者は様々な悪意のある操作を実行する可能性があります。以下の予防策を遵守し、警戒を怠らないことが重要です。
Windowsのセキュリティ機能の強化
Windowsには、Microsoft Defenderが侵害された場合でも、このような攻撃を阻止できるセキュリティ機能が搭載されています。防御力を強化するには、スタートメニューで「Windows セキュリティ」を検索し、デフォルトで無効になっている可能性のある以下のセキュリティオプションを有効にしてください。
- コントロールされたフォルダーアクセス:この機能は、Defenderがオフラインの場合でもランサムウェアの脅威から保護します。「ウイルスと脅威の防止」 → 「設定の管理」 → 「コントロールされたフォルダーアクセスの管理」に移動し、オプションを切り替えて有効にします。また、特定のフォルダーを指定して、ランサムウェア攻撃に対する保護を強化することもできます。
- コア分離機能:これらの機能を有効にすると、脆弱なドライバのインストールを防ぎ、有害なコードの実行をブロックできます。これらの設定を有効にすることで、システムのセキュリティを大幅に強化し、BYOVD攻撃が侵入する前に阻止できる可能性があります。デバイスセキュリティに移動し、コア分離の詳細にアクセスしてください。ここですべての機能を有効にすることをお勧めします。ただし、メモリ整合性を有効にするには、追加のドライバ調整が必要になる場合があることにご注意ください。
不要なカーネルレベルユーティリティの削除
カーネルレベルで動作するユーティリティツールの多くはrwdrv.sysドライバを利用するため、使用には注意が必要です。このドライバがシステムに既に存在する場合、攻撃者は追加のコピーをインストールする必要がないため、攻撃を簡素化できます。これらの既にインストールされているドライバは、最近の攻撃で悪用されています。これらのユーティリティツールが不要な場合は、特にrwdrv.sysをインストールする Throttlestop や RWEverything などの使用を中止することを検討してください。
rwdrv.sysがインストールされているかどうかを確認するには、Windows Search に「cmd」と入力し、コマンドプロンプトを右クリックして「管理者として実行」を選択します。コマンドを実行してwhere /r C:\ rwdrv.sysスキャンを実行します。出力にrwdrv.sysが存在することが示された場合は、インストールの原因となったアプリケーションを特定してアンインストールしてください。
日常業務に標準ユーザーアカウントを活用する
BYOVDのような脅威から最適な保護を得るには、日常的な操作には管理者アカウントではなく標準アカウントを使用することをお勧めします。この戦略は、攻撃者が管理者権限を利用して脆弱なドライバーをインストールまたは悪用するため、特に重要です。
標準アカウントで操作することで、ハッカーはシステムに権限昇格の変更を加えることが困難になり、攻撃の進行を阻止できます。侵入の試みが発生した場合、そのアクションに関する通知が届きます。新しい標準アカウントを作成するには、Windowsの「設定」に移動し、「アカウント」 → 「その他のユーザー」 → 「アカウントの追加」の順に選択し、画面の指示に従って標準権限を持つ新しいアカウントを設定してください。
代替ウイルス対策ソリューションの検討
この特定の攻撃は、Microsoft Defenderの保護を無効にするように設計されていますが、サードパーティ製のウイルス対策ソリューションに対しては効果が低いです。これらのアプリケーションは、保護機能の管理に多様な方法を採用しているため、BYOVDのような攻撃が均一に成功することは困難です。
セキュリティを強化するには、 AvastやAVG Antivirusなど、リアルタイム スキャン機能を備えた評判の良い無料のウイルス対策プログラムのインストールを検討してください。
GuidePointやKasperskyといった組織のセキュリティ研究者は、 Akiraランサムウェアを悪用したBYOVD関連の攻撃におけるrwdrv.sysの利用を既に追跡し、侵害の兆候(IOC)を公開しています。Microsoftがこの脆弱性に対処するための今後のソリューションを提供することを期待しつつ、利用可能なすべてのWindowsセキュリティ機能、特にMicrosoft Defenderの高度な機能を有効にすることで、引き続き積極的に対策を講じてください。
コメントを残す