**Cisco Talos**および**Trend Micro**の調査によると、**Qilin**および**Warlock**ランサムウェアの攻撃に関連する攻撃者は、侵害されたホストで実行されているセキュリティツールを沈黙させるために、bring your own vulnerable driver（**BYOVD**）技術を使用していることが確認されています。 ### QilinのEDRキラー **Talos**が分析した**Qilin**の攻撃では、「msimg32.dll」という名前の悪意のあるDLLが展開され、エンドポイント検出および応答（EDR）ソリューションを無効化するための多段階の感染チェーンが開始されることが判明しました。DLLはDLLサイドローディングを介して起動され、市場に出回っているほぼすべてのセキュリティベンダーの300を超えるEDRドライバーを終了させることができます。 「最初のステージは、EDRキラーコンポーネントの実行環境を準備するPEローダーで構成されています」と、**Talos**の研究者であるTakahiro Takeda氏とHolger Unterbrink氏は述べています。「この二次的なペイロードは、ローダー内に暗号化された形式で埋め込まれています。」 DLLローダーは、検出を回避するためにさまざまな技術を実装しています。ユーザーモードフックを無効化し、Event Tracing for Windows（ETW）イベントログを抑制し、制御フローとAPI呼び出しパターンを隠蔽するための措置を講じます。その結果、メインのEDRキラーペイロードがメモリ内で完全に復号化、ロード、実行されることを可能にしながら、完全に検知されずに動作します。 起動後、マルウェアは2つのドライバーを使用します。 * rwdrv.sys：システムの物理メモリにアクセスし、カーネルモードハードウェアアクセスレイヤーとして機能するために使用される、「ThrottleStop.sys」のリネームバージョン。 * hlpdrv.sys：さまざまなセキュリティソリューションに属する300を超える異なるEDRドライバーに関連するプロセスを終了するために使用されます。 両方のドライバーが、**Akira**および**Makop**ランサムウェアの侵入と連携して実行された**BYOVD**攻撃の一部として使用されていることに注意する価値があります。 「2番目のドライバーをロードする前に、EDRキラーコンポーネントはEDRによって確立された監視コールバックの登録を解除し、プロセス終了が干渉なしに進むことを保証します」と**Talos**は述べています。「これは、侵害されたシステム上の最新のEDR保護機能を回避または完全に無効化するためにマルウェアが採用している洗練されたトリックを示しています。」 **CYFIRMA**および**Cynet**によってコンパイルされた統計によると、**Qilin**は最近数ヶ月で最も活発なランサムウェアグループとして浮上しており、数百の被害者を主張しています。このグループは、2025年に日本で報告された134件のランサムウェアインシデントのうち22件に関連しており、全攻撃の16.4％を占めています。  「**Qilin**は主に盗まれた認証情報に依存して初期アクセスを取得します」と**Talos**は述べています。「ターゲット環境への侵入に成功した後、グループは侵害後の活動にかなりの重点を置いており、これにより体系的に制御を拡大し、影響を最大化することができます。」 このサイバーセキュリティベンダーはまた、ランサムウェアの実行は初期侵害から平均約6日後に発生したと指摘しており、組織が可能な限り早期に悪意のあるアクティビティを検出し、ランサムウェアの展開を防ぐ必要性を強調しています。  ### Warlockの回避技術 この開示は、**Warlock**（別名Water Manaul）ランサムウェアグループが、パッチが適用されていない**Microsoft** SharePointサーバーを引き続き悪用し、永続性、ラテラルムーブメント、および防御回避を強化するためにツールセットを更新している中で行われました。これには、永続的な制御のための**TightVNC**の使用と、セキュリティ製品をカーネルレベルで終了させるための**BYOVD**攻撃における正当だが脆弱な**NSec**ドライバー（「NSecKrnl.sys」）の使用が含まれ、以前のキャンペーンで使用されていた「googleApiUtil64.sys」ドライバーを置き換えています。 2026年1月の**Warlock**攻撃中に観察されたツールは次のとおりです。 * PsExec：ラテラルムーブメント用。 * RDP Patcher：同時RDPセッションを容易にするため。 * **Velociraptor**：コマンドアンドコントロール（C2）用。 * Visual Studio Codeおよび**Cloudflare** Tunnel：C2通信のトンネリング用。 * **Yuze**：イントラネット侵入およびHTTP（ポート80）、HTTPS（ポート443）、およびDNS（ポート53）を介した攻撃者のC2サーバーへのリバースプロキシ接続の確立用。 * Rclone：データ漏洩用。 ### 緩和戦略 **BYOVD**の脅威に対抗するために、明示的に信頼された発行元からの署名付きドライバーのみを許可し、ドライバーインストールイベントを監視し、特に悪用される可能性のあるドライバーベースのコンポーネントを持つセキュリティソフトウェアを更新するための厳格なパッチ管理スケジュールを維持することが推奨されます。 「**Warlock**がセキュリティ制御を無効化するために脆弱なドライバーに依存していることは、カーネル整合性に焦点を当てた多層防御を必要とします」と**Trend Micro**は述べています。「したがって、組織は基本的なエンドポイント保護からアップグレードし、厳格なドライバーガバナンスとカーネルレベルアクティビティのリアルタイム監視を強制する必要があります。」