Akiraランサムウェア、SonicWall狙ったキャンペーンでMicrosoft Defender無効化のため正規のドライバを悪用

Akiraランサムウェア、SonicWall狙ったキャンペーンでMicrosoft Defender無効化のため正規のドライバを悪用

Guidepoint Security – August 5, 2025

Akiraランサムウェアの最近の攻撃において、Microsoft Defenderを無効化するためとみられる試みの中で正規のIntel CPUチューニングドライバが悪用されているという。SonicWallデバイスの悪用を伴う初期アクセスののち、Akiraのアフィリエイトが2つのドライバを悪用している様子をGuidepoint Securityが観測している。

問題のドライバは、「rwdrv.sys」および「hlpdrv.sys」。rwdrv.sysはWindows用ソフトウェア「ThrottleStop」により使用される正規のドライバで、主にIntel CPU向けに作られているパフォーマンスチューニング・モニタリングユーティリティ。Guidepoint Securityによれば、Akiraはこのドライバをサービスとして登録し、ターゲットデバイスへのカーネルレベルのアクセスを取得するために使われているものとみられるという。同様にサービスとして登録される2つ目のドライバhlpdrv.sysは、実行されると、regedit.exeの実行によりWindows DefenderのDisableAntiSpyware設定を変更する。Guidepoint Securityは、正規のrwdrv.sysドライバが使用される目的は悪性ドライバhlpdrv.sysを実行できるようにするためだろうと評価しているが、現時点で正確なメカニズムは再現できていないとしている。

Guidepoint Securityは、2025年7月15日以降、AkiraによるこのBYOVD（Bring Your Own Vulnerable Driver）攻撃を繰り返し観測するようになったという。同社は、この手法について注意喚起する理由について、「最近のAkiraランサムウェアに対するインシデント対応事例において、この挙動が広く見られるため」であると述べた上で、プロアクティブな検出と事後的な脅威ハンティングの両方に活用可能だとするYARAルールやIoCなどの指標を提供している。

Akiraランサムウェアといえば、7月下旬から8月初頭にかけて、SonicWall VPNを悪用してランサムウェアを展開する攻撃に関与しているとの報告が複数のセキュリティベンダーから上がっていた。この攻撃ではSonicWall VPNにおける未だ報告されていないゼロデイ脆弱性が悪用されているのではないかと考えられているが、Guidepoint Securityは、ゼロデイの悪用を裏付けることも否定することもできないと述べている。

【無料配布中！】地政学情勢×サイバー動向の解説レポート

レポート『デジタル時代における世界の紛争 – 地政学情勢はサイバー作戦へどう影響を及ぼしているのか』

以下のバナーより、国際紛争や政治動向といった地政学的情勢がサイバー空間に与える影響について解説したSilobreaker社のレポート『デジタル時代における世界の紛争』の日本語訳バージョンを無料でダウンロードいただけます。

＜レポートの主なトピック＞

本レポートでは、ロシア・ウクライナ戦争やイスラエル・ハマス戦争などの紛争や各国での選挙といった地政学的イベントについて振り返りつつ、それに伴うサイバー攻撃やハクティビズム、偽情報キャンペーンなどのサイバー空間での動きを解説します。また、中国・ロシア・北朝鮮・イランの各国について、関連するハクティビストグループやAPTグループの攻撃事例・特徴などを紹介しながら、サイバーインテリジェンスにおける領域横断的なアプローチの必要性について考えていきます。

目次

• 序論
• ハクティビズム
  • ハクティビズムの変遷
  • 戦争におけるハクティビズム
  • 「選挙イヤー」におけるハクティビズム
  • 絡み合う動機
  • 国家の支援を受けたハッカー集団
• 偽情報
  • 国家間対立
  • 偽情報とロシア・ウクライナ戦争
  • 偽情報とイスラエル・ハマス戦争
  • 偽情報と選挙が世界にあふれた2024年
• 国家型APTの活動
  • 中国
  • ロシア
  • 北朝鮮
  • イラン
• マルチチャネルインテリジェンスの運用化における課題と関連リスク