Defendnot：Windowsを騙してMicrosoft Defenderを無効化する新ツール

佐々山 Tacos

2025.05.19

Defendnot：Windowsを騙してMicrosoft Defenderを無効化する新ツール

BleepingComputer – May 17, 2025

偽のアンチウイルス製品を登録することによりWindowsデバイスのMicrosoft Defenderを無効化する新たなツール「Defendnot」を、研究者のes3n1n氏が作成。研究目的という位置付けの同ツールのトリックは、アンチウイルスソフトによって使用されるWindows セキュリティセンター（WSC）の文書化されていないAPIを利用するものだという。

Windowsでは、何らかのアンチウイルスプログラムがインストールされると、上述のWSC APIにその旨が伝えられる。その後、同一デバイス上で複数のセキュリティアプリケーションが実行されることによる衝突を防ぐため、Microsoft Defenderが自動で無効化される。Defendnotは、Windowsによる検証項目をすべてパスできる偽のアンチウイルス製品を登録してこのAPIを欺き、Microsoft Defenderを無効化するのだという。

WSC APIは通常、PPLや有効なデジタル署名およびその他の機能を通じて保護されている。こうした要件を満たすため、Defendnotは自らのDLLをシステムプロセス「Taskmgr.exe」に注入。すでにマイクロソフトにより署名・信頼されているこのプロセス内からダミーのアンチウイルスを登録するという手法を用いる。Defendnotが登録されるとMicrosoft Defenderは速やかに自らをシャットオフするため、デバイス上にアクティブな保護が存在しない状態が生まれてしまう。

なおDefendnotは、同じ研究者es3n1n氏が作成・リリースした先代ツール「no-defender」を基にしたもの。no-defenderはWSCでの登録をスプーフィングするため、あるサードパーティのアンチウイルス製品からコードを借用していたものの、当該ベンダーによりノーティスアンドテイクダウン手続き（DMCA通告）が行われたため、GitHubから取り下げられていた。後継となるDefendnotでは、ダミーのアンチウイルスDLLを通じてゼロから機能が構築されているため、著作権の問題は回避できているという。

現時点でMicrosoft DefenderはDefendnotをWin32/Sabsik.FL.!mlとして検知・隔離するようになっているとのこと。

ブロードコムの従業員データがランサムウェアグループに盗まれる　委託先の協力会社を攻撃したのち

The Register – 16 May 2025

給与計算・人事関連企業ADPの中東における協力会社がランサムウェア攻撃を受けたことにより、ADPへ業務を委託していたブロードコム社の従業員データが盗まれたという。The Register紙が報道した。

ADPの当該協力会社はBusiness Systems House（BSH）社で、2024年9月にランサムウェア攻撃を受けたとされる。その後11月には、El Doradoランサムウェアグループがこの攻撃の犯行声明を出した。El Doradoのリークサイトは今年3月からアクセス不能となっているが、BSH社の名前は現在、El Doradoのリブランドと疑われるBlackLockランサムウェアグループのサイトに表示されているという。ただ、The Registerが入手した社内向け通知メールによると、ブロードコムがこのBSH/ADPの侵害について把握したのは2025年5月12日になってからのことだったとされる。

El Dorado/BlackLockのサイトに掲載されたさまざまなファイルディレクトリの中で名前が登場するブロードコム系の企業はVMwareのみだが、ブロードコムは本インシデントの影響範囲について公には認めていない。盗まれた可能性のあるデータには、国民ID番号や健康保険ポリシー/ID番号、金融口座番号、給与の詳細、住所、生年月日といった情報が含まれている恐れがあるという。

ADP社によれば、BSHへの攻撃による影響を受けたのは「ほんの少数のADP顧客」のみで、巻き込まれたのは中東の特定の国々だけだとされる。同社は、「これは（BSHでのインシデントであり）ADPのインシデントではなかったため、悪意あるアクターと直接のやり取りはしていないし、このアクターから直接連絡を受け取ったことはない」としつつも、知り得る限りではBSHが身代金を支払ったという認識はないとThe Registerに語ったとのこと。