mihoyoのゲーム「原神」で使用されていたアンチチートドライバ mhyprot2.sys には、Trend Microの2022年のレポートによると、深刻な脆弱性が報告されています。しかし、原神では既に修正済みの mhyprot3.sys が導入されているにもかかわらず、mhyprot2.sys の署名は依然として有効なままです。本記事では、このドライバの署名が有効である理由や、mihoyoの対応可能な範囲について解説します。
mhyprot2.sys の脆弱性とは?
mhyprot2.sys は、原神のアンチチートシステムに用いられていたWindowsカーネルドライバです。このドライバには以下のような問題点がありました。
1. 権限昇格の脆弱性
このドライバは、Windowsのカーネルモードで動作するため、本来は管理者権限がないと実行できない操作を実行できます。悪意のある攻撃者は、このドライバの脆弱性を利用して、管理者権限を奪取し、アンチウイルスソフトの無効化やマルウェアの実行を行うことが可能になります。
2. 正規の署名付きであることによる悪用
mhyprot2.sys は、Microsoftの認証を受けた署名が付与されているため、Windowsのセキュリティ機能をすり抜けて実行できます。攻撃者はこのドライバを不正に利用し、サイバー攻撃の一環としてアンチウイルスソフトの防御を回避する手段として悪用しました。
mhyprot2.sys の署名が有効な理由
mhyprot2.sys の署名が依然として有効な理由については、いくつかの要因が考えられます。
1. mihoyo単独では署名を取り下げられない
デバイスドライバのデジタル署名は、通常、開発元(この場合はmihoyo)ではなく、Microsoftが管理 しています。そのため、mihoyoが独自に mhyprot2.sys の署名を無効にすることはできず、Microsoftに対して取り下げ申請を行う必要があります。
2. 署名の取り消し(Revocation)には時間がかかる
Microsoftは不正なドライバの署名を取り消すことができますが、影響範囲の評価や適切な通知プロセスを経る必要があるため、通常すぐには行われません。また、既存のシステムとの互換性を考慮し、完全な無効化を慎重に進めることがあります。
3. 署名を取り消すと既存のソフトウェアに影響を与える可能性
もし mhyprot2.sys の署名を取り消した場合、過去の原神のバージョンや関連するアンチチートシステムが正常に動作しなくなる可能性があります。そのため、mihoyoやMicrosoftが慎重な対応を取っていると考えられます。
mhyprot2.sys のリスクとユーザーができる対策
このドライバの署名が有効なままであることにより、攻撃者が不正に利用するリスクが残っています。ユーザーができる対策を紹介します。
1. 不要なドライバの削除
mhyprot2.sys がシステム内に残っている場合、管理者権限で以下のコマンドを実行し、削除を試みることができます。
sc delete mhyprot2また、手動で C:\Windows\System32\drivers\mhyprot2.sys を削除することもできます。
2. セキュリティソフトの活用
最新のセキュリティソフトを使用し、不審なドライバの実行をブロックすることでリスクを軽減できます。また、Windows Defenderなどのセキュリティ機能を有効にしておくことも推奨されます。
3. mihoyoやMicrosoftの公式発表を確認
今後、mihoyoやMicrosoftがこのドライバの署名取り消しを発表する可能性があります。公式のアナウンスを定期的に確認し、必要な対応を行いましょう。
まとめ:mhyprot2.sys の署名が有効なままの理由と対策
原神の旧アンチチートドライバ mhyprot2.sys は、脆弱性が指摘されているにも関わらず、署名が依然として有効です。その理由は以下の通りです。
- mihoyo単独では署名を取り下げることができず、Microsoftの判断が必要
- 署名の取り消しには時間がかかるため、即時対応が難しい
- 署名の取り消しによる影響を考慮し、慎重に対応されている
ユーザーとしては、不要なドライバを削除し、セキュリティ対策を強化することでリスクを最小限に抑えることができます。今後の公式発表にも注目し、安全な環境を維持しましょう。
コメント