ニュース

「Windows セキュリティ」に脆弱なドライバーのブロックリスト ~悪用可能なカーネルドライバーの実行を阻止してシステムを保護

エンタープライズセキュリティをよりアグレッシブに強化

「Windows セキュリティ」に脆弱なドライバーのブロックリスト

 米Microsoftは、Windows 10/11内蔵のセキュリティ機能「Windows セキュリティ」に新しいオプションを追加する。セキュリティ・エンタープライズ担当副社長David Weston氏が、Twitterアカウントで明らかにしている。

 この新しいオプションは「Microsoft Vulnerable Driver Blocklist」(脆弱なドライバーのブロックリスト)と呼ばれており、以下の環境では既定で有効化される。条件に合致するのは、主に企業で集中管理されているデバイスになるだろう。対応OSはWindows 10/11、Windows Server 2016およびそれ以降。

  • HVCI(Hypervisor-protected code integrity)が有効化されているデバイス
  • 「S モード」のWindows 10デバイス

 MicrosoftはWindowsのセキュリティを保つため、カーネルドライバーに厳しい要件を課している。しかし、カーネルドライバーに未修正の脆弱性が発見され、それを悪用した攻撃を受けてしまうケースも少なからずある。Microsoftは独立系ハードウェアベンダ(IHV)やOEM、セキュリティコミュニティと密接に連携し、ドライバーに脆弱性が発見された場合は迅速にパッチを作成し、エコシステムに展開する体制を整えているが、これに加えて、以下の属性を持つサードパーティー製ドライバーのリストをメンテナンスし、該当するドライバーがカーネルで実行されるのを禁止する。

  • Windowsカーネルで特権昇格を許してしまう既知の脆弱性をもつ
  • 悪意のある行動を行うマルウェアである、またはマルウェアで用いられている証明書で署名されている
  • 仮に悪意がないとしても、Windowsセキュリティモデルを回避してWindowsカーネルの特権昇格に悪用できる動作がある

 同社はHVCIまたは「S モード」を有効化し、セキュリティの脅威からデバイスを保護することを推奨している。これが不可能な場合は、既存の「Windows Defender Application Control」(WDAC)ポリシーでこの除外リストにあるドライバーをブロックすることも検討したい。ただし、十分なテストを行わずにカーネルドライバーをブロックするとデバイスやソフトウェアが誤動作し、まれにブルースクリーン(BSoD)エラーが発生する可能性があるため、最初に監査モードでこのポリシーを検証し、監査ブロックイベントを確認することをお勧めするとしている。