BYOVD

BYOVDとは、デジタル署名付きの脆弱な正規ドライバを悪用する攻撃手法のことを指します。ランサムウェア攻撃から国家の支援を受けたサイバースパイ攻撃まで、さまざまな攻撃においてセキュリティ保護の回避やステルス性確保のために使用される手法です。

BYOVD（Bring Your Own Vulnerable Driver）という呼び方は、従業員が私物端末を業務に持ち込むことを意味する「BYOD（Bring Your Own Device）」になぞらえて付けられたものです。攻撃者が自ら脆弱なドライバをシステムに持ち込み、それを悪用することからこのように呼ばれています。

コンピューターシステムにおけるドライバは、OSとハードウェアデバイス間のやり取りを円滑化するためのソフトウェアコンポーネントであり、重要なシステム機能を実行するためにカーネルレベルの権限を有しています。このため、攻撃者は脆弱性を有するドライバを狙い、その高い権限を悪用しようとします。

また、正規のドライバには有効なデジタル署名が付与されているため、OSのドライバ署名検証を通過しやすく、セキュリティ製品からも信頼されたコンポーネントとして扱われる場合があります。この点も、攻撃者が脆弱なドライバを標的とする理由の1つです。

攻撃者はドライバに潜む既知の脆弱性を使ってカーネルレベルのアクセス権限を手に入れると、検出を回避しつつ以下のような悪意ある活動を行うことができるようになります。

• EDRの停止
• セキュリティ製品の無効化
• マルウェアの実行
• プロセス保護の解除
• 権限昇格
• カーネルの改ざん

なお、BYOVDで悪用されるドライバは本来は正規のソフトウェアベンダーによって提供されたものであり、攻撃者はその脆弱性のみを悪用します。ドライバそれ自体がマルウェアというわけではありません。