ランサムウェアは Genshin Impacts のカーネル モード アンチチートを悪用してアンチウイルス保護をバイパスします

更新: HoYoVerse PR は PC Gamer に次の声明を送信しました。「HoYoverse チームは情報セキュリティを非常に真剣に受け止めています。現在、このケースに取り組んでおり、プレイヤーの安全を保護し、アンチチートの潜在的な悪用を阻止するための解決策をできるだけ早く見つけます。機能します。さらなる進展があり次第、お知らせします。"

元のストーリー: セキュリティ懐疑論者や擁護者は、アンチチート カーネル モード ドライバを悪用できるエクスプロイトが PC セキュリティに深刻な大混乱をもたらす可能性があることを懸念してきました。今、それが起こったようです:人気のある基本プレイ無料の RPG である Genshin Impact で使用されているアンチチート ドライバーが、ランサムウェア アクターによって悪用され、アンチウイルス プロセスが停止され、ランサムウェアの大規模展開が可能になりました。

8 月 24 日に Trend Micro に公開された新しいホワイトペーパーでは、Genshin Impact の他の部分がなくても、完全に正当なドライバー mhyprot2.sys がどのように使用され、システムへのルート アクセス権を取得したかが説明されています。

「セキュリティ チームと防御者は、mhyprot2.sys があらゆるマルウェアに組み込まれる可能性があることに注意する必要があります」と著者の Ryan Soliven と Hitomi Kimura は書いています。

「Genshin Impact を被害者のデバイスにインストールする必要はありません。このドライバーの使用はゲームとは無関係です。」

カーネル モード ドライバーは、コンピューターのシステムの中核をなすものです。全体的に単純化しすぎるリスクがありますが、カーネル レベルのソフトウェアは一般に、ユーザーよりも PC をより細かく制御できます。 Genshin Impact のアンチチートは、ゲームを閉じた後もカーネル レベルで実行し続けることについて、以前は精査されていました。開発者の HoYoVerse (当時 MiHoYo として知られていた) は、後にそれを変更しました。

この論文は、これが Windows オペレーティング環境全体の重大なセキュリティ違反であることを明確にしています。ドライバー モジュールは「一度配布されると消去できない」ものであり、本質的に悪意のあるものではなく、正当なソフトウェアの悪用可能な部分に過ぎないと述べています。

「このモジュールは非常に簡単に入手でき、存在しなくなるまで誰でも利用できるようになります」と論文は述べています。 「特権を回避するための有用なユーティリティとして、長い間存続する可能性があります。証明書の取り消しとウイルス対策の検出により、悪用を防ぐことができるかもしれませんが、これは正当なモジュールであるため、現時点では解決策はありません。」

カーネル レベルのアンチチートがゲーム業界のセキュリティ上の懸念となったのはこれが初めてではありません。 2020 年 5 月に、Riot Games の Valorant と Doom Eternal の両方がカーネル モードのアンチチートでリリースされたとき、ダブル ヒットが発生しました。当時、Riot は、Windows の起動時に開始される Riot の Vanguard ソフトウェアの範囲ではありませんが、他のカーネルレベルのアンチチート ソフトウェアがすでに多数存在していることに言及しました。

しかし、カーネル レベルのチート対策技術は一般的に効果的であり、チーターとのやり取りにうんざりしている一部のゲーマーにとっては、リスクを冒す価値があります。たとえば、昨年末までに、コール オブ デューティのプレイヤーはチート行為に十分に不満を持っていたため、Activision Blizzard が PC 全体のすべてのメモリにアクセスできることを歓迎する人もいました.

歴史や現在広く使用されている方法に関係なく、この種の悪用はまさに、カーネル モードのアンチチートの拡散を恐れていた人々が警告していたものです。脆弱性が見つかった場合、その後に続くことは、通常のユーザーレベルのアンチチート ソフトウェアの脆弱性よりもはるかに悪い可能性があります。このレポートについてのコメントを求めて MiHoYo に連絡しました。返信があれば更新します。