正規のMicrosoft署名ドライバーでEDRを無効化、ランサムウェア「GodDamn」の新手法

138DATA
この記事は、元記事の事実に基づきAIが生成したニュース要約です。

正規Microsoft署名が悪用されたランサムウェア「GodDamn」の脅威と対策

近年、サイバー攻撃の手口は巧妙化の一途をたどっています。特に、企業や組織にとって深刻な脅威となるランサムウェアは、事業継続を脅かす重大なリスクです。BroadcomのSymantec Threat Hunter Teamが2026年7月9日に公開した調査結果は、その脅威が新たな段階に入ったことを示しています。ランサムウェア「GodDamn」の攻撃において、セキュリティ研究者も「これまでに見たことがない」と評する手口が確認されました。それは、正規のMicrosoft署名を持つカーネルドライバー「PoisonX」を悪用し、エンドポイントセキュリティ製品を無力化するというものです。この手口により、被害組織内の少なくとも10台の端末で防御機能が強制的に停止され、データ暗号化への道が開かれました。本記事では、このPoisonXの仕組み、Microsoft署名が悪用された背景、そして企業が今すぐ講じるべき対策について詳しく解説します。

PoisonXの巧妙な仕組みとMicrosoft署名悪用の背景

PoisonXは、ディスク上では「g11.sys」というファイル名で保存されるカーネルドライバーです。このドライバーは、セキュリティソフトウェアを強制終了するためだけに特別に作成されており、攻撃者が制御するコードから終了コマンドを受け取るための未公開のIOCTL(入出力制御)インターフェースを備えています。攻撃者は「symantec.exe」という正規製品に似せた実行ファイルを使ってPoisonXをWindowsのシステムドライバーフォルダに配置し、サービスとして登録します。すると、このドライバーは即座にロードされ、EDRツールがシステムイベントの通知を受け取るために使用するカーネルコールバックの削除を開始します。

この攻撃の最も懸念される点は、PoisonXが有効な「Microsoft Windows Hardware Compatibility Publisher」の署名を持っていることです。これは、Microsoft自身の「Hardware Compatibility Program(ハードウェア互換性プログラム)」を経て署名されたことを意味します。SymantecのBrigid O'Gorman氏は、攻撃者がどのようにしてMicrosoftを欺き、署名を得たのかは不明であると述べています。

なぜこのような事態が起こるのでしょうか。Windows OSは、実行環境を「Ring 3」(ユーザーモード)と「Ring 0」(カーネルモード)という特権リングに分割しています。一般的なアプリケーションやセキュリティ製品のダッシュボードはRing 3で動作し、自身のメモリしか読み書きできません。一方、Ring 0で動作するカーネルモードのコードは、すべてのメモリやハードウェアへの無制限のアクセス権を持ち、マシン上の任意のプロセスを強制終了する権限を有しています。EDRツールなどのセキュリティ製品は「Protected Process Light(PPL)」機能で改ざんから自身を保護しますが、これはRing 3で動作するものです。PoisonXはRing 0で動作するため、セキュリティプロセスがどのような保護を設定していても、そのメモリ空間に直接アクセスして強制終了させることができます。

Microsoftのドライバー署名プログラムは、申請者の身元(パブリッシャーのアイデンティティ)を検証し、互換性テストを通過したことを確認するものであり、ドライバーの挙動を詳細に分析したり、悪意のあるIOCTLインターフェースをスキャンしたりするわけではありません。PoisonXの作成者は、GitHub上で「oxfemale」というエイリアスを使用し、LinkedInではロシアのセキュリティ研究者を自称する人物で、2026年4月7日にこのドライバーを研究ツールとして公開していました。Symantecは、このドライバーに正当なユースケースは存在しないと断言しています。これは、システムが故障しているわけではなく、設計通りに動作しているものの、その設計自体が「正当な資格情報を提示しながら悪意を持って行動する開発者」を想定していないという、信頼モデルにおける構造的な隙を突かれた形です。

攻撃の全貌:4日間にわたる侵入と無力化の手口

Symantecが詳細に分析したインシデントは、2026年5月29日から6月3日にかけて発生しました。これはその場しのぎの攻撃ではなく、段階的に計画された侵入でした。攻撃グループ「Hyadina」による初期侵入経路は特定されていませんが、以下のようなタイムラインで攻撃が進行しました。

  • 2026年5月29日:最初の不審な活動が確認され、組織内の「Computer 1」にリモートデスクトップツール「AnyDesk」がインストールされました。このファイルは標準的なインストールディレクトリではなく、ユーザーの「ミュージック」フォルダ内に配置されており、正規のIT部門による展開とは異なる不審な点がありました。この時点で、ファイルは未知のIPアドレスへの外部接続を行っており、攻撃者はすでに内部に侵入していたとみられます。
  • 2026年5月30日:攻撃者は2台目のホストに移動し、「ミュージック」フォルダに「symantec.exe」を配置しました。このファイルにより、システムドライバーフォルダにPoisonXが「g11.sys」として配置されました。同ホストのユーザープロファイルサブディレクトリからは、正規のWindowsユーティリティサイト「NirSoft」のツール13個と「Mimikatz」を含む、合計14個の資格情報窃取キットが発見されました。これらを組み合わせて、ブラウザ、Windows資格情報マネージャー、キャッシュされたドメインログイン、VNCセッション、メールクライアント、Wi-Fiプロファイル、およびライブネットワークトラフィックから資格情報が抽出されました。
  • 2026年6月2日:攻撃者は「PsExec」を使用して横展開(ラテラルムーブメント)を行い、組織内の少なくとも10台のホストにAnyDeskを自動起動サービスとして登録・インストールしました。各ホストへのインストール完了後、実行中のAnyDeskプロセスを強制終了し、少し待ってからマシンを再起動しました。これにより、再起動後も維持される永続的なリモートアクセスの足がかりが、2桁にのぼるシステムに構築されました。
  • 2026年6月3日:別のネットワークセグメントに暗号化ペイロードが出現しました。「encrypter-windows-gui-x86.exe」というバイナリがユーザーの「ダウンロード」または「ミュージック」フォルダから実行され、暗号化されたファイルの拡張子は、Hyadinaが通常使用する「.God8Damn」ではなく、被害組織自身の名称に変更されていました。

この攻撃は、ランサムウェア・アズ・ア・サービス(RaaS)「The Gentlemen」のアフィリエイトに配布されているツールキット「GentleKiller」に組み込まれていました。The Gentlemenは2026年6月までに、70カ国以上で478組織の被害を出していると報告されており、その脅威の広がりを示しています。

BYOVDの進化:悪意あるドライバーが正規署名を得る新常態

GodDamnが採用している手法は、セキュリティ業界で「BYOVD(Bring Your Own Vulnerable Driver:脆弱性のあるドライバーの持ち込み)」と呼ばれています。従来のBYOVD攻撃は、グラフィックスユーティリティやゲームの不正防止コンポーネントなど、正規だが脆弱性のある署名済みドライバーを見つけ出し、その脆弱性を悪用してRing 0の権限を得るというものでした。BlackByte、AvosLocker、Lazarus Groupなど、多くの攻撃グループがこの手法を導入してきました。

しかし、PoisonXはこれとは異なる「変種」を示しています。脆弱性のある正規のドライバーを悪用するのではなく、最初から悪意を持って作成されたドライバーが、どうにかしてMicrosoftの署名審査を通過したという点です。この違いは運用上、極めて重要です。従来のBYOVDツールは、正当な目的を持つドライバーの欠陥を悪用するため、そのドライバーにパッチが適用されれば攻撃対象領域は縮小します。しかし、PoisonXには修正すべき「欠陥」が存在しません。作成者が意図した通りの動作を正確に実行しているだけだからです。これを防ぐ唯一の手段は、ハッシュ値やパブリッシャー証明書によってロードをブロックすることであり、そのために「脆弱性のあるドライバーのブロックリスト(Vulnerable Driver Blocklist)」が存在します。

問題はそのタイムラグにあります。Symantec Threat Hunter Teamは、「ドライバーが特定されてから、ブロックリストの更新が企業のエンタープライズエンドポイントに届くまでには、数日、多くの場合数週間の遅れが生じる。つまり、特定の時点でブロックリストに登録されているのは既知の脆弱なドライバーの一部にすぎず、残念ながら攻撃者はブロックリストよりも迅速に行動することが多い」と指摘しています。他の研究者も同様のギャップを確認しており、Windowsのブロックリストは主に年1〜2回のWindows機能アップデートで更新され、緊急の脅威には個別に追加されますが、ベンダー間の調整や互換性テストには時間がかかります。ESETが2026年3月に行った分析では、54個の異なるEDR強制終了ツールがBYOVDを使用しており、合計35個の署名済み脆弱性ドライバーが悪用されていることが判明しています。ブロックリストが新たに兵器化されたドライバーに対応する頃には、それを使用した攻撃キャンペーンはすでに終了しているのが実情です。

今すぐ講じるべきセキュリティ対策:多層防御でランサムウェアに備える

ブロックリストの更新にタイムラグがあるからといって、エンドポイント保護が無価値になるわけではありません。ただし、それを唯一の防御層にしてはならないという教訓が得られます。Symantecの調査や広範なBYOVDに関する文献では、特定のドライバーがブロックリストに登録されているかどうかに依存しない、いくつかの対策が推奨されています。

  • HVCI(ハイパーバイザー保護されたコードの整合性)の有効化:最も重要な対策の一つです。コード整合性の強制を、Ring 0よりも下層のレイヤーであるハイパーバイザーに移行することで、HVCIは有効なMicrosoft署名を持っているコードであっても、明示的に許可されていないカーネルモードコードの実行をブロックできます。これは多くの新しいWindows 11デバイスでデフォルトで有効になっており、Windowsセキュリティ設定の「デバイス セキュリティ」→「コア分離」から有効にできます。まだ有効になっていない環境では、この設定の有効化を最優先すべきです。
  • WDAC(Windows Defender アプリケーション制御)ポリシーの適用:WDACポリシーを使用することで、ドライバーがカーネルに到達する前に、不正なドライバーのロードを防止できます。Microsoftが推奨するドライバーブロック規則(ダウンロード可能なXMLポリシーとして提供されている)を適用すれば、月例パッチ(Patch Tuesday)の更新を待たずに既知の脆弱なドライバーをブロックできます。
  • 振る舞い検知と適応型保護の強化:ドライバーがロードされる前の「振る舞い検知」は非常に重要です。Symantec Threat Hunter Teamは、「明らかに悪意のあるファイルやツールをブロックするだけでなく、正規に見えるツールから発生したものであっても、ネットワーク上の不審な挙動をブロックできる」と強調しています。具体的には、AnyDeskなどのリモート管理ツールが異常なディレクトリ(ユーザーのミュージックフォルダなど)に出現すること、標準のパッチサイクル外で「カーネルドライバー」タイプの新しいWindowsサービスが登録されること、System32\drivers以外のユーザー書き込み可能なディレクトリに「.sys」ファイルが出現すること、といった予兆を検知することが挙げられます。
  • ドライバーインストールイベントの監視:ドライバーのインストールイベントを監視することで、署名の知識に依存しない早期警告が可能になります。「Sysmon Event ID 6」はドライバーのロードイベントを記録し、Windowsのコード整合性ログは、ブロックされたドライバーの実行が拒否された際に「Event ID 3077」を記録します。これらのログを監視することで、攻撃者がどのドライバーを使用するかを事前に知っておく必要なく、不審な活動を検知できます。
  • ネットワークから隔離されたバックアップの確保:最終的な砦となるのが、ネットワークから隔離された(エアギャップされた)バックアップや、改ざん不可能な(イミュータブルな)バックアップです。攻撃者がすべての防御を無効化し、暗号化を開始した場合、復旧は、侵害されたドメインコントローラーから攻撃者がアクセスできなかったバックアップの有無に完全に依存することになります。定期的なバックアップと、その隔離・検証は、ランサムウェア攻撃からの復旧に不可欠です。

執拗に進化を続ける攻撃グループ「Hyadina」の脅威

今回のGodDamnランサムウェア攻撃の背後には、2022年3月から活動が確認されている攻撃グループ「Hyadina」が存在します。彼らは4年間にわたり静かに進化を続けてきました。当初は32ビットのWindowsシステムを標的としたDelphiベースの「Monster」ランサムウェアを展開し、一般的なRaaSとして運用していました。2022年11月の攻撃でも、2026年6月のGodDamn攻撃で見られたものと同じツールキットのパターン(Mimikatz、NirSoftツール、AnyDesk、NetScan)が確認されており、使用するツール群は大きく変わっていません。しかし、防御を回避する能力は大幅に向上しています。

2024年6月には、Monsterに代わって「Beast」が登場し、より強力な暗号化、マルチスレッド処理、そしてより広範な標的への攻撃能力が追加されました。そして2026年5月にBeastの後継として「GodDamn」が登場し、PoisonXが追加されたのです。この進化は、新しいグループが参入したわけではなく、「Hyadina」として追跡されている1人の執拗な開発者が、同じ作戦を体系的に改善し続けていることを示しています。Symantecは、「比較的最近発見された悪意あるドライバーコンポーネントであるPoisonXをGodDamnが使用していることは、このグループの防御回避能力の段階的な向上を示しており、Hyadinaがランサムウェアとその機能を積極的に開発し続けていることを裏付けている」と結論付けています。CYFIRMAによると、GodDamnの侵入における身代金交渉には、電子メールと暗号化メッセージングアプリ「qTox」が併用されているとのことです。

GodDamnによる攻撃キャンペーンは現在も活発に行われています。Symantecは、PoisonX(g11.sys)およびsymantec.exeのSHA-256ハッシュを含むIoC(侵害指標)を「Symantec Protection Bulletin」で公開しています。組織は、自社のEDRが警告を発しているかどうかにかかわらず、これらのハッシュ値をエンドポイントのインベントリやドライバーフォルダと照合して確認すべきです。PoisonXの目的はEDRを「目潰し」状態にすることであり、無効化されたEDRはその後に発生した不審な動きを検知して警告を発することはないからです。

よくある質問と回答(Q&A)

●BYOVDとは何ですか?また、GodDamnはそれをどのように悪用していますか?

BYOVD(Bring Your Own Vulnerable Driver)とは、攻撃者が正規の署名が入ったWindowsカーネルドライバーをロードし、その脆弱性を悪用してWindowsシステムで最も高い特権レベルである「Ring 0」の権限を取得する手法です。Ring 0に到達した攻撃者は、改ざん防止機能が有効なセキュリティソフトウェアを含む、実行中のあらゆるプロセスを強制終了できます。多くのBYOVD攻撃は既存の正規ドライバーの欠陥を悪用しますが、GodDamnが使用する「PoisonX」は、最初から悪意を持って作成されたカーネルドライバーであり、署名申請時に機能を偽装することでMicrosoftの正規署名を取得したとみられています。ロードされたPoisonXは、セキュリティプロセスを強制終了し、EDRツールが不審な活動を検知するために依存しているカーネルコールバックを削除します。

●EDRが動作していれば、自社は保護されていると考えてよいですか?

必ずしもそうとは言えません。PoisonXは、EDRツールがイベント通知を受け取るためにOSに登録しているカーネルコールバックを削除します。PoisonXが実行された後も、EDR製品自体は動作し続け、管理画面上は正常に見えるかもしれませんが、プロセスの作成やドライバーのロード、ファイル活動などの通知をOSから受け取れなくなります。これは構造的な制限であり、ユーザーモード(Ring 3)で動作するセキュリティソフトウェアには、カーネルモード(Ring 0)で動作するプロセスを確実に検知または阻止する仕組みがありません。そのため、カーネルより下層で動作するHVCIや、WDACによるアプリケーション制御ポリシー、ドライバーのインストールイベント自体を捉える検知ルールなどが有効な対策となります。

●なぜMicrosoftはセキュリティソフトを強制終了するドライバーに署名してしまったのですか?

Microsoftのドライバー署名プログラムは、申請者の身元を検証するものであり、ドライバーの挙動そのものを詳細に分析するものではないためです。プログラムでは、申請者が身元検証を完了し、互換性テストに合格したことを確認しますが、ドライバーのIOCTLインターフェースが悪意あるプロセス終了を目的に設計されているかどうかまでは検証しません。PoisonXの作成者は、これを「研究ツール」として申請していました。Symantecの研究者は、このドライバーに正当なユースケースは存在しないと確認した上で、「攻撃者が署名を得るためにどのような手順を踏んだのか、どのようにMicrosoftを欺いたのかは分かっていない」と言及しています。これは信頼モデルにおける構造的な隙であり、身元検証と挙動分析は異なる問題であるため、現在の署名プログラムでは前者の解決にとどまっています。

●この特定の攻撃に対するリスクを軽減するために、組織が今すぐできる最も迅速な対策は何ですか?

Windowsエンドポイントで「HVCI(ハイパーバイザー保護されたコードの整合性)」を有効にすることです。HVCIは、Ring 0よりも下層のハイパーバイザーレベルでコードの整合性を強制するため、Microsoftの署名があるドライバーであっても、明示的に許可されていないカーネルモードドライバーの実行をブロックできます。これは、PoisonXが突くカーネルレベルの攻撃対象領域よりも下層で機能する、最も一般的な対策です。HVCIをすぐに導入できない環境では、WDACポリシーを設定して未承認のドライバーロードをブロックし、Microsoftが推奨するドライバーブロック規則を適用するとともに、Sysmon Event ID 6を用いた監視を導入して、暗号化が始まる前に不審なドライバーのインストールを検知できるようにしてください。