2026年6月、シマンテック・カーボンブラックの脅威ハンターチームは、ランサムウェア「DragonForce」の背後にいるハッカー集団「Hackledorb」が、米国の大手サービス企業内に1~2か月間潜伏していた経緯の詳細を公表した。ランサムウェアを展開する前、セキュリティプロセスを1つたりとも停止させる前に、オペレーターたちは4つのカーネルモードドライバを順次読み込んだ。 そのうち3つには既知のCVEが存在していた。4つ目は、オペレーターらが「Havoc Process Terminator」と名付けたファーウェイ製のオーディオドライバーだったが、展開時点では既知の脆弱性は一切確認されていなかった。
名称の呼称に関する注記。シマンテック・カーボンブラックはこのオペレーターを「Hackledorb」として追跡しており、トレンドマイクロは同じグループを「Water Tambanakua」と呼んでいる。「DragonForce」は、より広範なランサムウェア・カルテルを指す名称であり、複数のオペレーターがこのブランド名の下で攻撃を行っている。その起源は依然として不明である。Intel 471によると、主要なオペレーターはサイバー犯罪フォーラムにロシア語で投稿している。また、マレーシアとの関連性が示唆されているが、これは別のハクティビスト集団に遡るものであり、同集団は2024年初頭に一切の関連性を否定している。
Microsoftのドライバー証明書が実際に確認していること
最新の Windows に読み込まれるすべてのドライバーは、有効な Microsoft 署名を持っている必要があります。この要件は事実です。
確認対象:ドライバが、マイクロソフトの認証プロセスを経たベンダーから提供されたものであること、およびバイナリが改ざんされていないこと。確認対象外:ドライバにセキュリティ上の脆弱性が含まれているかどうか。そもそも、それがこのゲートの目的ではなかった。
カーネル署名とは、出所の信頼性を示すものです。つまり、そのコードを誰が提供したかを明らかにするものです。ただし、ドライバが悪用されないという保証にはなりません。
「BYOVD(Bring Your Own Vulnerable Driver)」とは、攻撃者がこの隙を悪用した際に発生する現象です。攻撃者は、既知のセキュリティ上の脆弱性を持つ正規の署名付きドライバーを読み込み、その脆弱性を利用してセキュリティソフトウェアを無効化した上で、攻撃を実行します。Windowsは有効な署名を検知し、通常通りドライバーを読み込みます。イベントログには通常のインストールとして記録されます。一見、何の問題もありません。
同じライブラリ、2つのキャンペーン
このキャンペーンは例外的なものではありません。
2026年6月、ESETは「GentleKiller」に関する調査結果を公表した。これは、あるランサムウェアグループが、標準的な攻撃前ツールとしてアフィリエイトに配布しているBYOVDフレームワークである。このフレームワークは、複数の正規ベンダーによる署名付きドライバーを利用して、Defender、CrowdStrike、SentinelOne、Sophosなど48社のセキュリティツールを無効化する。ESETは、70カ国以上で478件の被害を確認した。
どちらの攻撃キャンペーンでも、Huawei製のオーディオドライバーが使用されていました。2025年12月の攻撃キャンペーンにおいて、攻撃者がそのドライバーを導入した時点では、そのドライバーに報告されている脆弱性は存在しませんでした。Huntressは、攻撃が発生してから3か月後に分析結果を公表しました。
このドライバライブラリは、ゲームスタジオ、セキュリティ製品ベンダー、オーディオハードウェアメーカー、および不正防止企業にまたがっています。これらは、署名付きコードを出荷した正規の企業であり、その後発生した事態には一切関与していません。署名パイプラインは、リリース時に各ドライバの有効性を検証し、脆弱性が発見された後も引き続き検証を続けていました。
ブロックリストは、まだ検出されていないものをブロックすることはできません
マイクロソフトは、脆弱性のあるドライバーのブロックリストを管理しています。このリストは確実に適用され、常に最新の状態に保たれているため、効果を発揮しています。
問題はタイミングだ。ドライバーは、攻撃に利用された後、CVEが登録された後、あるいはキャンペーンが十分な注目を集めた後に追加される。2025年12月の攻撃では、3つのドライバーについて、CVEが記録されていたにもかかわらず、ブロックリストには登録されていなかった。Huaweiのドライバーについては、CVEがまったく存在しなかった。
これはプロセスの不具合ではありません。構造的な制約なのです。ブロックリストは事後対応型の仕組みです。攻撃者は、脆弱性が悪用可能になる時点と、防御側がそれに追いつくまでの間の隙を突いて攻撃を仕掛けてきます。
唯一の検知ウィンドウ
セキュリティツールが無効化される前に、防御側がBYOVD攻撃を阻止できる瞬間が一つだけあります。
ドライバが Windows サービスとして読み込まれると、Windows はイベント ID 7045 を記録します。このイベントは、セキュリティツールがまだ実行中の段階、つまり強制終了シーケンスが始まる前に発生します。通常の基準範囲外のドライバのインストールについてこれらのログを監視することで、対応するための時間的余裕が生まれます。
キルシーケンスが実行されると、そのウィンドウは閉じられます。
構造的な対策も存在します。「メモリ整合性(Memory Integrity、HVCIとも呼ばれる)」を有効にすると、より厳格なドライバポリシーが適用され、この手法が実行される前にブロックされます。しかし、ほとんどの企業環境では、この機能が有効になっていません。その理由は、ハードウェアのサポートや互換性テストが必要ですが、多くの組織でまだ完了していないためです。対策自体は存在しますが、導入が遅れているのが現状です。
証明書の対象外となる事項
コード署名により、そのドライバを配布したのが誰であるかがわかります。しかし、数年後に他の誰かがそれを悪用できるかどうかはわかりません。
これら2つのキャンペーンは、ゲーム、サイバーセキュリティ、ハードウェア、エンタープライズソフトウェアにまたがるライブラリを共同で活用しています。有効な署名を持つ正規のベンダーのものがすべて含まれており、適切な脆弱性を見つけた攻撃者なら誰でも利用可能です。
BYOVDは、Windowsのカーネル署名システムを破壊するものではありません。むしろ、それを活用しています。
武器化後のブロックリスト登録は事後対応的なアプローチです。メモリ整合性(HVCI)こそが構造的な解決策です。これがより広く導入されるまでは、異常なドライバの読み込みを検知するためにイベントID 7045を追跡することが、現実的な検知対策となります。
検出機能は故障しているわけではありません。不完全なだけです。
Vectra AIはエンドポイントではなくネットワーク層で動作するため、ここで説明したキルシーケンスの影響を受けません。ネットワークベースの検知が、3つのギャップすべてにおいてエンドポイントおよびID管理とどのように連携するかについてさらに詳しく知りたい場合は、『Mind Your Attack Gaps』の電子書籍で、そのアーキテクチャ全体について解説しています。