EDRキラー、EnCaseの署名付きカーネルドライバーを使用してセキュリティを無効化

yab

2026.02.05

EDRキラー、EnCaseの署名付きカーネルドライバーを使用してセキュリティを無効化

BleepingComputer – February 4, 2026

セキュリティ企業Huntressの研究者は2月初め、15年以上前に証明書が失効したEnCaseの正規カーネルドライバーを悪用し、EDRキラーによって複数のセキュリティツールを検出・無効化する試みを観測した。この攻撃はランサムウェア活動の足掛かりとなっている可能性があるとみられる。

EDRキラーはEDRツールを含むセキュリティソリューションを回避・無効化するための有害ツールで、多くの場合、脆弱なドライバーを利用してシステム保護を解除する。このような攻撃は「Bring Your Own Vulnerable Driver（BYOVD）」攻撃とも呼ばれている。

今回使用されたEDRキラーはホストシステムで実行されているセキュリティツールを無効にする64ビット版実行ファイルで、古いEnCaseカーネルドライバーである「EnPortv.sys」を悪用している模様。このドライバーの証明書は2006年に発行され、2010年に期限切れとなっている。しかし、Windowsのドライバー署名強制システムは証明書失効リスト（CRL）ではなく、暗号化検証結果とタイムスタンプを検証するため、OS側は古い証明書であっても受け入れてしまうとのこと。マイクロソフトはWindows 10バージョン1607で、カーネルドライバーはハードウェアデベロッパーセンター経由で署名する必要があるという要件を追加したものの、2015年7月29日以前に発行された証明書はこの要件から除外されているため、今回の証明書をBYOVD攻撃に悪用することが可能となっている。

Huntressによると、攻撃者は侵害されたSonicWall SSL VPN認証情報を使ってネットワークに侵入後、ICMP Pingスイープ、NetBIOS名の調査、SMB関連のアクティビティ、毎秒370パケットを超えるSYNフラッド攻撃など、積極的な内部偵察を実行していたそう。また、カーネルドライバーは偽のOEMハードウェアサービスとしてインストールされるため、再起動しても永続性が確保される。加えて、カーネルモードのIOCTLインターフェースを使用してサービスプロセスを終了し、Protected Process Light（PPL）などの既存のWindows保護も回避しているという。

Huntressは軽減策として、あらゆるリモートアクセスサービスのMFAを有効にし、VPNログの疑わしいアクティビティを監視し、HVCI/メモリ整合性を有効にしてマイクロソフトの脆弱なドライバーブロックリストを適用することを推奨している。さらに、OEMまたはハードウェアコンポーネントを装ったカーネルサービスを監視し、脆弱な署名済みドライバーをブロックするためにWDACやASRのルールを設定することも提案した。