「Windows セキュリティ」に脆弱なドライバーのブロックリスト ～悪用可能なカーネルドライバーの実行を阻止してシステムを保護

「Windows セキュリティ」に脆弱なドライバーのブロックリスト

　米Microsoftは、Windows 10/11内蔵のセキュリティ機能「Windows セキュリティ」に新しいオプションを追加する。セキュリティ・エンタープライズ担当副社長David Weston氏が、Twitterアカウントで明らかにしている。

New Windows security option: Enable more aggressive blocklist which includes vulnerable driverspic.twitter.com/n3b2GzAWHA

— David Weston (DWIZZZLE) (@dwizzzleMSFT)March 27, 2022

　この新しいオプションは「Microsoft Vulnerable Driver Blocklist」（脆弱なドライバーのブロックリスト）と呼ばれており、以下の環境では既定で有効化される。条件に合致するのは、主に企業で集中管理されているデバイスになるだろう。対応OSはWindows 10/11、Windows Server 2016およびそれ以降。

• HVCI（Hypervisor-protected code integrity）が有効化されているデバイス
• 「S モード」のWindows 10デバイス

　MicrosoftはWindowsのセキュリティを保つため、カーネルドライバーに厳しい要件を課している。しかし、カーネルドライバーに未修正の脆弱性が発見され、それを悪用した攻撃を受けてしまうケースも少なからずある。Microsoftは独立系ハードウェアベンダ（IHV）やOEM、セキュリティコミュニティと密接に連携し、ドライバーに脆弱性が発見された場合は迅速にパッチを作成し、エコシステムに展開する体制を整えているが、これに加えて、以下の属性を持つサードパーティー製ドライバーのリストをメンテナンスし、該当するドライバーがカーネルで実行されるのを禁止する。

• Windowsカーネルで特権昇格を許してしまう既知の脆弱性をもつ
• 悪意のある行動を行うマルウェアである、またはマルウェアで用いられている証明書で署名されている
• 仮に悪意がないとしても、Windowsセキュリティモデルを回避してWindowsカーネルの特権昇格に悪用できる動作がある

　同社はHVCIまたは「S モード」を有効化し、セキュリティの脅威からデバイスを保護することを推奨している。これが不可能な場合は、既存の「Windows Defender Application Control」（WDAC）ポリシーでこの除外リストにあるドライバーをブロックすることも検討したい。ただし、十分なテストを行わずにカーネルドライバーをブロックするとデバイスやソフトウェアが誤動作し、まれにブルースクリーン（BSoD）エラーが発生する可能性があるため、最初に監査モードでこのポリシーを検証し、監査ブロックイベントを確認することをお勧めするとしている。