Microsoft、誤ってマルウェア入りドライバに署名

　G DATAでマルウェアを分析しているKarsten Hahn氏は、Microsoftが誤ってルートキット入りのフィルタドライバ「netfilter.sys」に署名してしまったことを発見したとTwitter上で報告した。

　Microsoftのセキュリティチームによると、このドライバはサードパーティーが開発し、Windows Hardware Compatibility Program(WHCP)に提出されたもの。現在、攻撃者について調査中だが、既にドライバを提出したアカウントを凍結し、マルウェア追加の兆候がないか調査を進めているという。

☢️Network filter rootkit that connects to this IP in China:
hxxp://110.42.4.180:2081/u

It does not look like Moriya (signature will be corrected asap)

File is signed by Microsoft.#rootkit#netfilterhttps://t.co/lhvmmgHn6w

— Karsten Hahn (@struppigel)June 17, 2021

　このドライバの目的はシステムの地理的な位置を偽装し、どこからでもゲームをプレイ可能にするものとしている。しかし、その裏で中国のマルウェアコマンド&コントロールのサーバーとやり取りを行ない、マルウェアをロードできてしまう。例えば、キーロガーをロードし、攻撃者が他人のアカウント情報を取得してしまうことも危険性を秘めている。

　今のところ、このドライバにWHCP署名済み証明書が公開されたという証拠は見つかっていない。また、中国のゲーム関連のシステムでのみ活動しているようで、企業をターゲットにしていないとみられ、影響は限定的であるとしている。

　Microsoftでは、既にセキュリティソフト「Microsoft Defender for Endpoint」を介してこのドライバや関連ファイルの検出とブロックの仕組みを組み込んでいるほか、ほかのセキュリティベンダーと協力し、対応を進めているとしている。