PC版「原神」のアンチチートシステムを逆手にとってアンチウイルスを無効にするランサムウェア攻撃が発見される、「原神」をインストールしていなくても標的に
人気アクションRPG「原神」のアンチチートシステムが、ウイルス対策ソフトウェアの無効化やランサムウェア攻撃に悪用されていたことが分かりました。この攻撃は「原神」のゲームやサービスとは無関係に行われているため、「原神」をインストールしていなくても標的になると報じられています。
Ransomware Actor Abuses Genshin Impact Anti-Cheat Driver to Kill Antivirus
https://www.trendmicro.com/en_us/research/22/h/ransomware-actor-abuses-genshin-impact-anti-cheat-driver-to-kill-antivirus.html
Hackers abuse Genshin Impact anti-cheat system to disable antivirus
https://www.bleepingcomputer.com/news/security/hackers-abuse-genshin-impact-anti-cheat-system-to-disable-antivirus/
Genshin Impact Anti-Cheat File is Abused to Mass-Deploy Ransomware and Kill Antivirus Processes
https://wccftech.com/genshin-impact-anti-cheat-file-is-abused-to-mass-deploy-ransomware-and-kill-antivirus-processes/
Ransomware exploits Jenshin Impact's kernel mode anti-cheat to bypass antivirus protection - Top Trend Newz
https://toptrendnewz.com/ransomware-exploits-jenshin-impacts-kernel-mode-anti-cheat-to-bypass-antivirus-protection/
セキュリティ企業のTrend Microは2022年8月24日に、「原神」のアンチチートドライバーである「mhyprot2.sys」がランサムウェア攻撃に使われていることを発見したと報告しました。
報告によると、今回の問題では「原神」の本体が被害者のPCにインストールされている必要はなく、「mhyprot2.sys」はゲームとは無関係に使われていたとのこと。そのため、Trend Microはmhyprot2.sysが容易に入手できること、権限の回避に関する汎用性が高いこと、概念実証済みのエクスプロイトがあることなどが、脅威アクターに目を付けられた可能性が高いとしています。
この点についてTrend Microは「mhyprot2.sysがあらゆるマルウェアに組み込まれる可能性があることを、セキュリティチームやシステムの管理者は念頭に置いておく必要があります」と指摘しました。
今回発見された攻撃では、脅威アクターはまずmhyprot2.sysを悪用して被害者のPCに侵入し、保護プロセスを停止させます。次に、偽のアンチウイルスソフトのインストーラーを実行してランサムウェアをインストールすると共に、悪意あるプログラムのインストールに使用される「kill.svc」という実行ファイルを用いて正当なアンチウイルスソフトを終了させるとのこと。なお、具体的にどのようなランサムウェアが使用されたのかは、今回発表されたレポートでは言及されていません。
前述の通り、mhyprot2.sysはPC版「原神」のアンチチートプログラムですが、「原神」をアンインストールしても削除できないことや権限のバイパスが可能なことなどからスパイウェアではないかと問題視された際に、原神運営チームが仕様を修正すると公式声明を発表したことがあります。
【重要】
— 原神(Genshin)公式 (@Genshin_7) September 28, 2020
PC版の原神を起動中にバックグラウンドで起動するアンチチートプログラム「mhyprot2」の機能についての詳細は以下よりご確認ください。
▼詳細https://t.co/MLwgNTotN6
#原神 #Genshin pic.twitter.com/dGxMNrL9NK
今回Trend Microが発見したmhyprot2.sysは2020年8月、つまり「原神」が正式にリリースされる前にビルドされたものでした。「原神」のリリース直後から、mhyprot2.sysには問題があるとして概念実証が提供され、また別の概念実証の発見者によって「原神」の開発企業であるmiHoYoにも通報されていましたが、miHoYoはこの問題を脆弱(ぜいじゃく)性として認識せず、修正もしなかったとのこと。
Trend Microはmhyprot2.sysについて、「このモジュールは非常に簡単に入手することが可能で、消滅するまでは誰でも利用できるので、権限をバイパスするための便利なユーティリティとして、長い間使われ続けるおそれがあります。証明書の取り消しとアンチウイルスによる検出で悪用を阻止できる可能性がありますが、mhyprot2.sysは正当なモジュールであるため、現時点では解決策はありません」と述べました。
・関連記事
「原神」がリリースから1年の売上でフォートナイトを超えて歴代1位に、ポケモンGOの倍以上の売上を記録 - GIGAZINE
「ウマ娘」「原神」が1000億円超えの年間売上を記録、「PUBG MOBILE」は3000億円超え - GIGAZINE
わずか半年で1000億円超の売上を記録した「原神」はモバイルアプリゲームとして最速で売上を伸ばしている - GIGAZINE
原神のキャラや美少女アバターのアニメーションをPCやスマホの壁紙にできるmiHoYo公式ライブ壁紙アプリ「N0va Desktop」の使い方 - GIGAZINE
「原神」がGoogleとAppleの2020年ベストゲームに選出される - GIGAZINE
人気ゲーム「原神」が二次創作マンガ&小説の出版が自由にできるようにガイドラインを改訂 - GIGAZINE
・関連コンテンツ
in ゲーム, セキュリティ, Posted by log1l_ks
You can read the machine translated English article A ransomware attack that disables antivi….