Zenn
Cyber-sec+Publicationへの投稿
💀

BYOVDとは?正規のドライバに潜むリスクと対策を解説します

もりりゅー
2025/03/04に公開
ランサムウェア
byovd
idea

1.はじめに

近年、サイバーセキュリティの世界では「BYOVD」という攻撃手法が注目を集めています。この手法は、正規の署名付きドライバの脆弱性を悪用するという、従来の対策をすり抜ける巧妙な攻撃です。
本記事の目的は、以下の内容となります。
(1)BYOVDの理解
(2)セキュリティ対策と限界の理解

2.BYOVDとは

BYOVD(Bring Your Own Vulnerable Driver)とは、攻撃者が脆弱性を持つ正規の署名付きドライバを悪用して、システムに対する特権アクセスを取得する攻撃手法です。
Windowsなどの現代OSでは、カーネルモードで実行されるドライバには通常、デジタル署名が必要です。しかし、BYOVDでは攻撃者は既に署名済みの正規ドライバの中から、脆弱性を持つものを選び、それをシステムにロードします。
これにより、セキュリティ対策をバイパスしてカーネルレベルの権限を取得することが可能になります。

3.なぜBYOVDが危険なのか

BYOVDが特に危険視される理由は以下のとおりです。

  • 署名チェックをバイパス:正規の署名付きドライバを使用するため、OSのドライバ署名強制メカニズムをバイパスできます。
  • カーネルレベルの権限:脆弱なドライバを通じてカーネルメモリへのアクセスが可能になり、システム全体を制御できるようになります。
  • 検出の困難さ:正規のドライバを使用するため、多くのセキュリティソリューションでは悪意あるアクティビティとして検出しにくいです。
  • 永続性:カーネルレベルでの侵害により、他のマルウェア対策を無効化したり、深刻な永続的バックドアを作成したりすることが可能です。

4.実際の攻撃事例

直近のランサムウェア攻撃傾向

Paragon Partition Managerの「BioNTdrv.sys」ドライバーのセキュリティ脆弱性を悪用し、権限を昇格して任意のコードを実行しています。
https://thehackernews.com/2025/03/hackers-exploit-paragon-partition.html

BlackByteランサムウェア

2022年、BlackByteランサムウェアは「RTCore64.sys」というASUS製の署名付きドライバの脆弱性を悪用して、セキュリティソリューションを無効化しました。このドライバは正規に署名されていたため、Windowsはそのロードを許可しました。
https://thehackernews.com/2022/10/blackbyte-ransomware-abuses-vulnerable.html

Lazarus Group

2022年、北朝鮮関連のハッカー集団Lazarusは、DELLのハードウェア診断ドライバ「dbutil_2_3.sys」の脆弱性を悪用した攻撃を実施。このドライバには特権昇格の脆弱性があり、攻撃者はこれを利用してシステムコントロールを獲得しました。
https://thehackernews.com/2022/10/hackers-exploiting-dell-driver.html

5.検出の方法

(1)ドライバロードの監視: 特に予期しないタイミングでのドライバのロードを監視する。

(2)ふるまい分析: 異常なメモリアクセスやシステムコールなど、不審なふるまいを監視する。

(3)メモリスキャン: 不正なカーネルメモリ改変を検出するためのメモリスキャンを実施する。

6.推奨されるセキュリティ対策

(1)包括的なドライバ管理ポリシーの策定:承認されたドライバのリストを作成し、それ以外のドライバのインストールを制限する。

(2)ドライバをブロックする
   ①Windows HVCI(Hypervisor-protected Code Integrity)
   ②Microsoft Vulnerable Driver Blocklist
   ③Windows Defender Application Control

(3)定期的なセキュリティアップデート:すべてのシステムを最新の状態に保ち、既知の脆弱性を修正する一連のプロセスを導入する。

(4)セキュリティ監視の強化:ドライバのロードや異常な動作を検出するためのEDRソリューションの導入する。

(5)脅威インテリジェンスの活用:既知の脆弱なドライバに関する最新情報、Microsoft vulnerable driver blocklist binaryLOLDriversを常に把握する。

(6)セキュリティトレーニング:SOC担当者に対して、BYOVD攻撃の仕組みと検知時の対応について教育する。

7.対策の限界

(1)ゼロデイ脆弱性への対応の難しさ:新たに発見されたドライバの脆弱性(ゼロデイ)に対しては、即座にパッチを適用することが難しく、攻撃者がこれらの脆弱性を悪用するリスクが残ります。

(2)ドライバ管理ソリューションが普及していない:多くのドライバは正当なものであり、その中から脆弱性を持つものを特定することは困難です。

(3)トリアージの難しさ:攻撃者は、署名済みの脆弱なドライバを悪用するため、EDRソリューションで検知したとしてもドライバの正常な挙動と異常な挙動の判断が難しい。

(4)安易にブロックできない:ドライバをApp Controlやセキュリティソリューションによりブロックすると、デバイスやソフトウェアが誤動作したり、まれにブルースクリーンが発生したりする可能性があります。

8.まとめ

BYOVD攻撃は、正規の署名付きドライバの脆弱性を悪用するという巧妙な手法で、セキュリティ対策をバイパスする危険性があります。しかし、対応するセキュリティ対策を追加することで、リスクを軽減することが可能です。
特に、ドライバ管理ポリシーの策定、セキュリティ監視の強化、セキュリティトレーニングなどが重要になります。サイバーセキュリティは常に進化する分野であり、新たな脅威に対応するために継続的な学習と対策の更新が不可欠です。

参考文献

Cyber-sec+
Cyber-sec+Publication

サイバーセキュリティ特化コミュニティ:Cyber-sec+(サイバーセキュリティ プラス)のオンラインコミュニケーションスペース:Cyber-sec+ Slack(通称:Security Slack)は、サイバーセキュリティに関する情報共有・情報交換を目的に匿名で参加可能です。気軽に質問・議論を展開することができます。

Discussion