ランサムウェア攻撃は「侵入」だけでなく「検知回避」と「復旧妨害」が成否を分ける段階に入っています。近年はEDR(Endpoint Detection and Response)の普及により、攻撃者は正面からの回避手法を高度化させています。その代表例として注目されるのが、BlackByteランサムウェアの活動で確認された、脆弱なカーネルドライバーを悪用して防御機構を無力化する手口です。本稿では、RTCore64.sysドライバーに関連するCVE-2019-16098の悪用を軸に、何が起きているのか、なぜ危険なのか、組織が取るべき実務対応を整理します。
BlackByteの特徴:暗号化だけではない「無力化」の優先度
BlackByteは、データ暗号化と身代金要求を主目的とするランサムウェア群の一つですが、実運用では「暗号化の前段」にある防御回避が極めて重要視されます。EDRやAV、ログ収集基盤、バックアップ関連サービスが健在であれば、攻撃は途中で止まり、封じ込め・復旧も迅速になります。そのため攻撃者は、権限昇格や横展開に加えて、セキュリティ製品の停止、検知機能の妨害、ログやテレメトリの遮断に時間を使います。
今回の論点は、Windowsのカーネル領域に影響できる「ドライバー」を攻撃に利用することで、ユーザーランドの防御(EDRエージェントなど)を土台ごと揺さぶる点にあります。
RTCore64.sysとCVE-2019-16098:脆弱ドライバーがもたらす特権
RTCore64.sysは、PCのハードウェア監視やチューニング系ソフトウェアで利用されることがあるドライバーとして知られています。CVE-2019-16098は、この種のドライバーが提供する入出力制御(IOCTL)処理の不備などにより、攻撃者が不正にカーネルメモリへアクセスし、結果として管理者権限を超える強力な操作(任意メモリ読み書きなど)を実現し得る脆弱性として問題化しました。
攻撃者にとっての価値は明確です。ユーザーランドで動作する防御機構は、プロセス保護や自己防衛機能を備えていても、カーネルレベルの介入には弱くなりがちです。脆弱ドライバーをロードさせられれば、セキュリティ製品の保護を回避し、プロセスを強制停止したり、コールバックやフックの無効化を狙ったりといった“深い層”の操作に繋がります。
なぜEDR回避に効くのか:BYOVD(Bring Your Own Vulnerable Driver)の現実
この手口は一般にBYOVDと呼ばれます。攻撃者が「脆弱な正規ドライバー」を持ち込み、署名や正規性を利用してシステムに読み込ませ、脆弱性を突いてカーネル操作を実現する戦術です。重要なのは、攻撃者が必ずしもゼロデイを必要としない点です。過去に公表され、修正や対策情報が存在する脆弱性でも、現場の端末に脆弱なドライバーが残っていたり、アプリの同梱物として放置されていたりすると、攻撃の踏み台になります。
EDRは端末上の挙動(プロセス生成、メモリ操作、ファイル改変、通信)を監視しますが、カーネルレベルでの改変や保護回避が成立すると、検知の前提となる可観測性(テレメトリ)自体が損なわれる恐れがあります。つまり「検知されない」だけでなく、「検知できない状態」に持ち込まれるリスクが高まります。
想定される攻撃の流れ:侵入から暗号化までの“止めどころ”
典型的な攻撃シナリオは次のように整理できます。
初期侵入:フィッシング、脆弱なVPN/公開サービス、認証情報の悪用などで侵入足場を確保。
権限獲得と横展開:ドメイン環境での資格情報窃取、管理共有の悪用、RDPやリモート実行で範囲を拡大。
防御回避:脆弱ドライバー(例:RTCore64.sys)を用いてEDRの自己防衛を迂回し、サービス停止・プロセス停止・監視妨害を実施。
最終段階:データ窃取(恐喝の二重化)、シャドウコピー削除やバックアップ妨害、広範囲な暗号化。
防御側の観点では、暗号化の直前ではなく、ドライバー読み込みや不審なIOCTL呼び出し、EDR停止の試行といった“準備行動”をどこで検知し封じ込めるかが勝負になります。
組織が取るべき対策:ドライバー管理とEDR運用の再設計
BYOVDを前提にすると、従来の「アプリ脆弱性をパッチする」だけでは不十分になりがちです。特に重要なのは次の領域です。
脆弱ドライバーの棚卸しと排除
端末内に存在するドライバーファイル(sys)を資産として扱い、既知の脆弱ドライバーが混入していないか継続監査します。ハードウェア監視・オーバークロック・RGB制御など、業務必須でない常駐ツールがドライバーを同梱しているケースもあるため、利用可否の基準を明確にし、不要なものは削除・使用禁止とします。
Microsoftの防御機能の活用(ドライバーブロック)
Windowsの脆弱ドライバーブロックリストや、メモリ整合性(HVCI)など、カーネル保護を強化する機能の適用可否を検討します。互換性問題がある場合は、例外運用を最小化し、対象端末を限定した上でリスク受容を明文化します。
EDRの自己防衛を「過信しない」監視設計
EDR停止・アンインストール試行、セキュリティ関連サービスの変更、ドライバーの追加やサービス作成、署名付きドライバーの不審ロードといったイベントを、端末外(SIEM/ログ基盤)に送って相関分析できるようにします。端末が“見えなくなる”状況を想定し、ログの外部退避とアラートの即時化が重要です。
最小権限と管理者権限の統制
脆弱ドライバーの読み込みには管理者権限が絡むことが多く、侵入後の権限拡大を許す運用はリスクを押し上げます。ローカル管理者権限の配布を抑制し、特権IDの利用を申請・期限付き・記録付きにするなど、特権アクセス管理を強化します。
復旧妨害に備えたバックアップ防衛
ランサムウェアは暗号化だけでなく、シャドウコピー削除、バックアップ停止、管理コンソール破壊を狙います。オフライン/イミュータブルバックアップ、バックアップ領域の権限分離、復旧手順の定期演習により、攻撃者の“時間稼ぎ”を許さない体制を整えます。
インシデント対応の観点:疑うべき兆候と初動
運用現場では、次のような兆候を「単発の異常」ではなく、攻撃準備として評価することが重要です。
不審なドライバーの配置・ロード、未知のサービス登録
セキュリティ製品や関連サービスの停止・設定変更の試行
権限の急激な変化、複数端末での管理者権限の不自然な使用
バックアップ・ログ収集・監視サーバーへのアクセス増加
初動では、疑わしい端末の隔離、管理者資格情報の無効化・ローテーション、関連ログの保全を優先し、暗号化が始まる前に横展開を止めることが最優先となります。
まとめ:ドライバー層のリスクを“例外扱い”しない
BlackByteの事例が示すのは、攻撃者が「正規コンポーネントの弱点」を突いて防御の前提を崩しに来るという現実です。脆弱ドライバーは、パッチ管理の盲点になりやすく、しかも一度悪用されると影響範囲が大きい領域です。EDR導入をゴールにせず、ドライバーの棚卸し・ブロック、特権統制、端末外での可視化、復旧耐性の設計まで含めて、BYOVDを前提とした防御へ移行することが、ランサムウェア被害を最小化する近道になります。
参照: BlackByte ランサムウェアの検出: 脅威アクターがCVE-2019-16098の脆弱性をRTCore64.sysドライバーで悪用しEDR保護を回避 – SOC Prime