新しい分析によると、エンドポイント検出および応答（EDR）キラーの54種類が脆弱なドライバを悪用するBYOVD（Bring Your Own Vulnerable Driver）という手法を使用していることが明らかになりました。

ESETの研究者Jakub Součekは、レポートで次のように述べています。「ランサムウェアグループは特にRaaSプログラムを持つものが多いが、新しいエンクリプターを頻繁に作成し、それぞれが確実に検出されないようにするには時間がかかります。」

BYOVDの仕組みと影響

BYOVD攻撃は、信頼できるベンダー（ハードウェアメーカーまたは古いアンチウイルスバージョンなど）が署名した脆弱なドライバを「持ち込む」ことで、カーネルモードの権限を得ることを目指します。

これにより脅威アクターはEDRプロセスを終了し、セキュリティツールを無効化したり、カーネルコールバックを操作したりできます。脆弱なドライバが正当で署名されているため、Microsoftのドライバ信頼モデルを悪用して防御を回避することが可能です。

EDRキラーの種類

• クローズドルーツキットグループ（例：DeadLockとWarlock）
• 既存の証明概念コードをフォークおよび調整する攻撃者（例：SmilingKillerやTfSysMon-Killer）
• 地下マーケットプレイスでサービスとして販売されるサイバー犯罪者のツール（例：DemoKiller、ABYSSWORKER、CardSpaceKiller）

ESETはまた、タスクキルやネットストップなどのビルトインの管理コマンドを使用するスクリプトベースのツールも特定しました。

防御策と対応

組織は、攻撃ライフサイクルの各段階で脅威をプロアクティブに監視し、フラグを立て、制御し、修復するためのレイヤードな防御戦略が必要です。

元記事: https://thehackernews.com/2026/03/54-edr-killers-use-byovd-to-exploit-34.html