Akiraランサムウェア、SonicWall狙ったキャンペーンでMicrosoft Defender無効化のため正規のドライバを悪用

Akiraランサムウェア、SonicWall狙ったキャンペーンでMicrosoft Defender無効化のため正規のドライバを悪用

Guidepoint Security – August 5, 2025

Akiraランサムウェアの最近の攻撃において、Microsoft Defenderを無効化するためとみられる試みの中で正規のIntel CPUチューニングドライバが悪用されているという。SonicWallデバイスの悪用を伴う初期アクセスののち、Akiraのアフィリエイトが2つのドライバを悪用している様子をGuidepoint Securityが観測している。

問題のドライバは、「rwdrv.sys」および「hlpdrv.sys」。rwdrv.sysはWindows用ソフトウェア「ThrottleStop」により使用される正規のドライバで、主にIntel CPU向けに作られているパフォーマンスチューニング・モニタリングユーティリティ。Guidepoint Securityによれば、Akiraはこのドライバをサービスとして登録し、ターゲットデバイスへのカーネルレベルのアクセスを取得するために使われているものとみられるという。同様にサービスとして登録される2つ目のドライバhlpdrv.sysは、実行されると、regedit.exeの実行によりWindows DefenderのDisableAntiSpyware設定を変更する。Guidepoint Securityは、正規のrwdrv.sysドライバが使用される目的は悪性ドライバhlpdrv.sysを実行できるようにするためだろうと評価しているが、現時点で正確なメカニズムは再現できていないとしている。

Guidepoint Securityは、2025年7月15日以降、AkiraによるこのBYOVD（Bring Your Own Vulnerable Driver）攻撃を繰り返し観測するようになったという。同社は、この手法について注意喚起する理由について、「最近のAkiraランサムウェアに対するインシデント対応事例において、この挙動が広く見られるため」であると述べた上で、プロアクティブな検出と事後的な脅威ハンティングの両方に活用可能だとするYARAルールやIoCなどの指標を提供している。

Akiraランサムウェアといえば、7月下旬から8月初頭にかけて、SonicWall VPNを悪用してランサムウェアを展開する攻撃に関与しているとの報告が複数のセキュリティベンダーから上がっていた。この攻撃ではSonicWall VPNにおける未だ報告されていないゼロデイ脆弱性が悪用されているのではないかと考えられているが、Guidepoint Securityは、ゼロデイの悪用を裏付けることも否定することもできないと述べている。

[※Update : 2025-08-08] SonicWallは8月8日、調査の結果ゼロデイ脆弱性が悪用されている証拠は見つからなかったと発表した。詳しくはこちらの記事で：SonicWall、最近の攻撃にゼロデイは関与していないと報告

【無料配布中レポート】

各種レポートを無料配布中！バナー画像よりダウンロード可能です。

レポート『デジタル時代における世界の紛争 – 地政学情勢はサイバー作戦へどう影響を及ぼしているのか』

ランサムウェアレポート：『2024 Ransomware? What Ransomware?』

インテリジェンス要件定義に関するガイドブック：『要件主導型インテリジェンスプログラムの構築方法』