Microsoft署名のドライバがランサムウェアに悪用

　米Microsoftは13日(現地時間)、Windows Hardware Developer Programによって認定されたドライバが、悪意を持って活動し使用されていることが発覚したと報告した。現在までにこのドライバの販売者アカウントを停止し、ブロック検出を実装しているという。

　Microsoftは10月19日にSentinelOne、MandiantおよびSophosから、この悪意のあるドライバの活動の通知を受けた。その後に調査をしたところ、Microsofttパートナーセンターにおける複数の開発者アカウントが、悪意のあるドライバを提出してMicrosoftの署名を取得していたという。最新のドライバは9月29日に提出した試みがあったが、10月初旬にアカウントが停止された。

　Microsoft Threat Intelligence Centerが現在行なっている分析によれば、この署名済みのドライバが、ランサムウェアの展開などに使われた可能性が高いという。

　Microsoftは影響を受けるファイルの証明書を取り消すとともに、パートナーの販売アカウントを一時停止するWindowsセキュリティアップデート(12月13日付け)をリリース。さらに、Microsoft Defender 1.377.987.0以降においてブロッキング検出を実装し、顧客を保護できるようにしたとしている。

　なお、2021年6月にも、Microsoftは誤って悪意あるドライバに署名をしていた。