Packet Pilot X (Twitter)
2026-02-05

10年前のEnCaseドライバーがEDRを無効化する理由

Huntressの研究者によると、攻撃者はGuidance SoftwareのEnCaseデジタルフォレンジックツールに付属していたカーネルドライバーを悪用し、59の広く使用されているエンドポイントセキュリティ製品を無効化する新たなEDRキラー型マルウェアを利用しています。このドライバーは正当なものであるものの、証明書は10年以上前に失効しており、Windowsは依然としてこのドライバーを読み込むことを許可しています。攻撃者は、SonicWall SSLVPNに以前に侵害された資格情報で認証し、ネットワークの偵察を行った後、EDRキラーを読み込みました。攻撃者は、カーネルドライバーを隠すカスタムエンコーディングスキームを使用し、ドライバーをディスクに書き込んで隠し、正当なOEMコンポーネントのように見せかけています。これにより、ユーザーモードのプロセスがカーネルモードから任意のプロセスを終了できるIOCTLインターフェースが公開され、EDRエージェントを含むユーザーモードの保護を回避します。

メトリクス

このニュースのスケール度合い

6.0 /10

インパクト

8.5 /10

予想外またはユニーク度

8.5 /10

脅威に備える準備が必要な期間が時間的にどれだけ近いか

8.5 /10

このニュースで行動が起きる/起こすべき度合い

8.5 /10

主なポイント

  • 攻撃者は、失効したEnCaseドライバーを利用して、エンドポイントセキュリティ製品を無効化するEDRキラー型マルウェアを展開しています。
  • Windowsのカーネルは、証明書失効リストをチェックしないため、攻撃者は古いドライバーを悪用することが可能です。

社会的影響

  • ! この脆弱性は、企業のセキュリティ対策に対する信頼を損なう可能性があります。
  • ! EDR製品の無効化は、企業のデータ保護やプライバシーに深刻な影響を及ぼす恐れがあります。

編集長の意見

この問題は、サイバーセキュリティの分野において非常に重要な課題です。特に、古いドライバーが依然としてシステムに読み込まれることができるという事実は、攻撃者にとって大きな利点となります。BYOVD技術は、攻撃者が信頼されたドライバーを利用してシステムに侵入する手段を提供しており、これに対する防御策が求められています。Microsoftは、脆弱なドライバーのブロックリストを作成していますが、これは既知の悪用に対してのみ効果的であり、新たな脆弱性が発見されるたびに攻撃者は新しい手法を模索するでしょう。企業は、リモートアクセスサービスに対して多要素認証を有効にし、VPNログを監視することが重要です。また、メモリの整合性を有効にし、Windows Defenderアプリケーションコントロールを使用して、既知の脆弱なドライバーが読み込まれないようにすることが推奨されます。今後、攻撃者はさらに巧妙な手法を用いる可能性が高く、企業は常に最新の脅威に対して警戒を怠らない必要があります。

解説

失効済みのEnCaseドライバーがEDRを黙殺する──“時間に縛られた信頼”を突くBYOVDのいま

今日の深掘りポイント

  • 失効から10年以上経つ正規ドライバーが、いまもWindows上で読み込める現実を攻撃者が逆手に取り、59種のEDR/AVを停止可能な“EDRキラー”を展開しています。時間で凍結された署名の信頼は、攻撃者にとって当たり前の足場になっています。
  • 入口は地味に「正規アカウントのVPNログイン」。そこから偵察、ドライバー展開、EDR停止という古典的だが効果的な鎖で横展開・ランサム/窃取の余地を広げます。リモートアクセスの前提が最初に問われます。
  • この手口は、PPLやユーザーモードの自己保護を一気に飛び越えるため、EDRの“センサー不在”という最悪の観測ギャップを生みます。検知強化だけでは追いつかず、カーネルレベルの許容範囲を再設計する必要があります。
  • 守りの決め手は「既定で拒否」に近づけること。HVCI(メモリ整合性)とMicrosoft推奨の脆弱ドライバーブロックリスト、WDACでのドライバー許可制、ドライバー読み込みのテレメトリ監視をセットで回すことが現実解です。
  • 現場は「ブロックリストの鮮度」「運用互換性」「観測の確保」の三点バランスが肝です。短期はMFA・VPN監視とブロックリスト適用、並走でWDACの段階導入とドライバー監視のSLO設定に舵を切るのが堅実です。

はじめに

“古い正規ドライバーだから安全”──この暗黙の前提が、攻撃者にとって長く使える抜け道になっています。Huntressの研究者が報告した事案では、Guidance Software(現OpenText系のEnCase)に付属したカーネルドライバーを持ち込み(BYOVD)、IOCTL経由でユーザーモードの任意プロセスをカーネルから終了させ、59の主要EDR/AVを停止できる“EDRキラー”が観測されています。入口はSonicWall SSLVPNへの既存資格情報での認証。偵察ののち、ドライバーをカスタムエンコードで隠しつつディスクに落とし、OEM風に偽装してロード、という手順です。報道によれば、このドライバーは失効済みの証明書で署名されていますが、Windowsは依然として読み込みを許容していました。EDRの前提(ユーザーモードの自己保護)が崩れると、可視性は一気に落ちます。ここが今日の論点です。

参考: Help Net Securityの報道

深掘り詳細

事実関係(今起きていること)

  • 攻撃者はSonicWall SSLVPNに侵害済み資格情報でログインし、ネットワーク偵察後にEDRキラーを投入。正規のEnCaseドライバーをディスクに落とし、OEMコンポーネント風に偽装してロード。ユーザーモードからIOCTLで制御し、カーネル権限でEDR/AVプロセスを終了可能にしています。報道では59製品を停止可能とされています。Help Net Security
  • Windowsはドライバー署名の検証においてタイムスタンプ付きAuthenticode署名を尊重するため、証明書の期限切れ後も、署名時点の有効性が担保されるケースがあります。これは一般に信頼の継続性を狙う設計ですが、古いドライバーの悪用余地を残します(署名とタイムスタンプの挙動の一般論)Microsoft Learn: Authenticodeのタイムスタンプ
  • 既知の脆弱/悪性ドライバーを止める仕組みとして、Microsoftは「推奨ドライバーブロックルール(Vulnerable Driver Blocklist)」を提供し、HVCI(メモリ整合性)有効化やWDACで適用可能です。Microsoft Learn: 推奨ドライバーブロックルール / HVCI(メモリ整合性)

インサイト(なぜ効くのか、どこが痛点か)

  • 時間で固定化された“署名の信頼”は、レガシー互換性のために必要な一方、攻撃者にとっては持続可能な土台です。ドライバーが機能仕様としてプロセス制御やメモリアクセスを提供していれば、それ自体が“設計どおりのEDRキラー”になり得ます。ここで重要なのは「脆弱性」より「機能の誤用(abuse)」という視点です。
  • ユーザーモードの自己保護(PPL/アンチタンパー)をカーネルから踏み越えるため、EDRの観測が丸ごと消えます。これは検知戦略を“事前阻止(ロードさせない)+ロード時高感度アラート”に転地させる必要があることを意味します。検知は最後の安全網に過ぎません。
  • ブロックリストは“既知の悪”に強く、“未知の古物(レガシー)”に弱いのが宿命です。したがって、組織ごとに「許可されたドライバー以外は拒否(WDACによるカーネル近傍の許可制)」へ寄せるしかありません。互換性コストを抑えるには、段階導入(監査→段階的強制)と、ベンダー協力によるドライバー棚卸しが鍵になります。
  • 観測面では、ドライバー読み込みのテレメトリ(特に署名者、タイムスタンプ、証明書の失効状態や発行者)を継続的にベースライン化し、逸脱を即時に扱える体制が要ります。SysmonのDriverLoad(Event ID 6)やEDRのドライバーイベントを活用し、オペレーションチームのSLOに“異常ドライバー読み込みから封じ込めまでの時間”を加えるのが実務的です。Sysmon(Driver loaded)

脅威シナリオと影響

以下は観測事実をもとにした仮説シナリオです。MITRE ATT&CKのテクニック対応は便宜的なマッピングであり、実際の事案では差異があり得ます。

  • シナリオA:資格情報からの静かな侵入→EDR無力化→ランサム展開

    • 初期侵入: 外部リモートサービスへの正規認証(T1133 External Remote Services, T1078 Valid Accounts)
    • 発見/偵察: 内部のホスト・共有・管理ツール探索(T1018 Remote System Discovery, T1046 Network Service Discovery)
    • 実行/防御回避: 正規ドライバーの持ち込みとロード(T1543.003 Create or Modify System Process: Windows Service としてのドライバー/サービス導入の可能性)、防御無効化(T1562.001 Impair Defenses: Disable or Modify Tools)
    • 影響: ランサム暗号化や窃取・二重恐喝(T1486 Data Encrypted for Impact)
    • ポイント: EDRが沈黙した後は暗号化速度と拡散が優先され、遅延検知は高くつきます。

  • シナリオB:APT型の潜伏強化

    • 目的: センサー排除により長期潜伏・横展開を容易化し、データ搾取のスループットを確保
    • 対応テクニック: 防御回避(T1562系)と認証情報アクセス(T1555/T1552)を組み合わせ、EDR復旧前にクレデンシャルやクラウドトークンを奪取
    • ポイント: 一度カーネルで主導権を握られると、EDR再導入前にステルス持続化(サービス/ドライバー/スケジューラ)を残されがちです。

  • シナリオC:サプライチェーン横断

    • 目的: MSSP/RMM網を介した多顧客展開(仮説)
    • ポイント: 管理者権限が標準化された環境では、ドライバー展開の成功率が跳ね上がります。RMMのドライバー配布機能やスクリプト実行が逆用される懸念があります。

ビジネス影響の勘所は「検知の盲点化」と「対応遅延の高コスト化」です。EDRが落ちている間に攻撃者は勝負を決めに来ます。ここで有効なのは“ロード前で止める設計”と“ロードを見逃さない運用”の二段構えです。

参考:

セキュリティ担当者のアクション

優先度順に、現実路線でまとめます。

  • すぐにやる(数日以内)

    • リモートアクセスの二段構え
      • SSL VPN/VDI/ゲートウェイはMFAを強制し、ソースIP制限・地理制限・失敗回数しきい値・デコイアカウント監視を有効化します。
      • 直近90日のVPNログを振り返り、深夜帯ログイン・国跨ぎ・未知UA・短期間の多拠点ログインなどをハントします。
    • HVCI(メモリ整合性)の有効化率を棚卸し
      • Windows 10/11のコア分離(Memory Integrity)を既定オンへ。ドライバー互換性の懸念がある端末は例外リストを最小化し、例外理由を台帳化します。HVCIの有効化
    • 脆弱ドライバーブロックリストの適用確認
      • Microsoft推奨のドライバーブロックルールをWDACもしくはDefenderのポリシーで適用し、端末側で有効になっているかを検証します。Microsoft推奨ブロックルール

  • 数週間で固める(四半期内のマイルストン)

    • WDACで“許可制”へ段階移行
      • 監査モードでドライバー読み込みの許可状況を収集し、ベンダー・製品単位の許可リストを作成。パイロット→段階的強制化の順で進めます。ドライバーはアプリより後回しにしがちですが、優先度を上げます。
    • ドライバー観測のSLO設定
      • テレメトリ: SysmonのDriverLoad(Event ID 6)とEDRのドライバーイベントを収集し、署名者・タイムスタンプ・パスのベースラインを構築します。Sysmon
      • アラート設計: 未知の署名者/失効・期限切れ署名/システム以外のパスからのドライバー読み込み/短時間に複数端末で同一ドライバー読み込み、のいずれかで高優先度アラート。SOCのSLOに“検知から隔離まで”を設定します。
    • 権限管理の堅牢化
      • SeLoadDriverPrivilege(ドライバー読み込み権限)を“Administratorsのみ”からさらに最小化(可能なら限定グループ)し、追加・変更を監査。ローカルAdmin濫用の是正(LAPS, Just-in-Time管理, PAM)を進めます。

  • 継続運用(常設)

    • EDRのアンチタンパー/自己保護の定期検証
      • PPL設定やアンチタンパーが無効化されていないかの健全性監視を自動化。もっとも、カーネルからの停止は防げない前提なので、“落ちたら即分かる”運用を重視します。
    • 事後対応ランブックの整備
      • 「EDRが停止した端末=高優先度隔離」の方針を明文化。隔離・フォレンジック(メモリ/ディスク)・認証情報の強制ローテーションまで含む一連の手順を、RTOを持って練度化します。
    • ベンダー協働
      • ハード/周辺機器ベンダーとドライバーの最新署名・配布形態の確認を定例化し、古い署名チェーンの更新計画を共有します。監査モードのログを根拠に、互換性の議論をデータドリブンに進めます。

最後に、今回のケースは“未知の0-day”ではなく、“古い正規物の再利用”です。だからこそ対策は現実的で、組み合わせれば効きます。ブロックリストで既知を刈り、HVCI/WDACで未然に塞ぎ、ドライバー観測で見逃さない。この三点を組織の標準に落とし込むことが、次の同種攻撃で「見えて、止められる」差になります。

参考情報

  • Help Net Security: EDR killer uses vulnerable EnCase driver(2026-02-05): https://www.helpnetsecurity.com/2026/02/05/edr-killer-vulnerable-encase-driver/
  • Microsoft Learn: Authenticodeのタイムスタンプ(署名の有効性に関する一般論): https://learn.microsoft.com/windows/win32/seccrypto/time-stamping-authenticode-signatures
  • Microsoft Learn: Microsoft推奨ドライバーブロックルール(WDAC): https://learn.microsoft.com/windows/security/application-security/application-control/windows-defender-application-control/design/microsoft-recommended-driver-block-rules
  • Microsoft Learn: HVCI(メモリ整合性)の有効化: https://learn.microsoft.com/windows/security/hardware-security/enable-virtualization-based-protection-of-code-integrity
  • Microsoft Learn: Sysmon(Driver loaded / Event ID 6): https://learn.microsoft.com/sysinternals/downloads/sysmon
  • MITRE ATT&CK: T1133 External Remote Services: https://attack.mitre.org/techniques/T1133/
  • MITRE ATT&CK: T1078 Valid Accounts: https://attack.mitre.org/techniques/T1078/
  • MITRE ATT&CK: T1562 Impair Defenses: https://attack.mitre.org/techniques/T1562/
  • MITRE ATT&CK: T1543.003 Create or Modify System Process: Windows Service: https://attack.mitre.org/techniques/T1543/003/
  • MITRE ATT&CK: T1486 Data Encrypted for Impact: https://attack.mitre.org/techniques/T1486/

背景情報

  • i Bring Your Own Vulnerable Driver(BYOVD)技術は、攻撃者が信頼されたが欠陥のあるWindowsドライバーを悪用して深いシステムアクセスを得る手法です。攻撃者は、ハードウェアベンダーやソフトウェア会社が作成した正当なドライバーを利用し、そのバグや公開された機能を利用してセキュリティプロセスを終了させたり、保護を無効化したりします。
  • i Microsoftは、ドライバー署名の強制機能を持っていますが、カーネルは証明書失効リストをチェックしないため、攻撃者は古いドライバーを利用することができます。これにより、攻撃者はドライバーがブロックリストに追加されるまでの間、悪用する機会を持つことになります。
Packet News 一覧へ戻る