サイバーセキュリティ研究者が、新たなランサムウェアファミリー「Reynolds」の詳細を公開しました。このランサムウェアは、防御回避のために脆弱なドライバ(BYOVD: Bring Your Own Vulnerable Driver)コンポーネントをペイロード内に直接組み込むという、これまでにない手法を採用しています。従来のランサムウェア攻撃では外部ファイルとして別途展開されていた防御回避ツールが、ペイロード自体に統合されたことで、検知がより困難になっています。
この記事のポイント
- Reynolds ランサムウェアは、BYOVD(脆弱ドライバの悪用)コンポーネントをペイロード内に直接埋め込み、EDR製品を無効化する
- NsecSoft社のNSecKrnlドライバの脆弱性(CVE-2025-68947)を悪用し、CrowdStrike FalconやSophos等の主要セキュリティ製品を標的にする
- 防御回避バイナリとランサムウェアペイロードを一体化することで、外部ファイルの展開を不要にし、検知を大幅に困難にしている
BYOVD攻撃とは何か
BYOVD(Bring Your Own Vulnerable Driver)とは、攻撃者が正規だが脆弱性を持つドライバソフトウェアを悪用して、権限昇格やエンドポイント検知・対応(EDR)ツールの無効化を行う攻撃手法です。ドライバはWindowsカーネルレベルで動作するため、一度悪用されるとセキュリティ製品のプロセスを直接停止させることが可能になります。
Reynoldsランサムウェアでは、NsecSoft社のNSecKrnlドライバに存在する脆弱性CVE-2025-68947(CVSSスコア5.7)が悪用されています。SymantecおよびCarbon Blackの研究者は、「脆弱なドライバがランサムウェア自体にバンドルされていた」と報告しており、これは従来のBYOVD攻撃とは異なるアプローチです。通常、BYOVD攻撃では脆弱なドライバは別途ダウンロードまたは展開されますが、Reynoldsはこれをペイロード内に直接組み込んでいます。
標的となるセキュリティ製品
Reynoldsランサムウェアは、以下の主要なエンドポイントセキュリティ製品を明示的に標的としています:
- Avast — 無料・有料のアンチウイルス製品
- CrowdStrike Falcon — EDR市場の主要プレイヤー
- Palo Alto Networks Cortex XDR — 次世代セキュリティプラットフォーム
- Sophos / HitmanPro.Alert — エンドポイント保護製品
- Symantec Endpoint Protection — エンタープライズ向けセキュリティ
これらの製品のプロセスを強制終了させることで、ランサムウェアは暗号化処理を妨害されることなく実行できるようになります。企業環境で広く導入されている製品が軒並み標的になっている点は、攻撃者の明確な意図を示しています。
攻撃の全体像と戦術
Reynoldsキャンペーンは高度な戦術を示しています。研究者の分析によると、不審なサイドロードされたローダーが、ランサムウェアの実行の数週間前にあらかじめ展開されていたことが判明しています。これは、攻撃者がネットワーク内で十分な偵察と足場固めを行ってからランサムウェアを起動するという、周到な計画性を物語っています。
さらに、暗号化処理の完了後には、GotoHTTPリモートアクセスツールが展開され、持続的なアクセスの確保が行われます。これにより、攻撃者はランサムウェア展開後も被害者のネットワークにアクセスし続けることが可能になります。
研究者は戦術的な優位性について次のように強調しています:「防御回避バイナリとランサムウェアペイロードを一つにパッケージ化することで、被害者のネットワーク上に別個の外部ファイルをドロップする必要がなくなり、より静かに活動できる」。
ランサムウェアにおけるBYOVD統合の系譜
Reynoldsのアプローチは前例がないわけではありません。2020年のRyukランサムウェアや、2025年のObscuraキャンペーンでも類似の手法が確認されています。しかし、ペイロード内にドライバを直接埋め込むという手法は、ランサムウェアの進化における新たな段階を示しています。
この傾向は、ランサムウェアグループが単に暗号化機能だけでなく、統合された防御回避メカニズムを備えた「オールインワン」型のペイロードへと進化していることを示唆しています。セキュリティベンダーにとっては、ドライバレベルでの保護と、脆弱なドライバのブロックリスト管理がこれまで以上に重要になっています。
知っておくと便利なTips
- Microsoftの脆弱ドライバブロックリスト(WDAC)を有効化することで、既知の脆弱なドライバの読み込みを防止できます。Windows 11 2022 Update以降ではデフォルトで有効です
- ASR(Attack Surface Reduction)ルールを活用し、不審なドライバの読み込みを監視・制限することが防御の第一歩です
- EDR製品の改ざん防止(Tamper Protection)機能が有効になっているか定期的に確認しましょう
まとめ
Reynoldsランサムウェアは、BYOVD手法をペイロード内に直接統合するという新しいアプローチにより、従来のセキュリティ検知を回避する能力を大幅に強化しています。CrowdStrike FalconやSophos、Symantecなど主要EDR製品を明示的に標的とし、NSecKrnlドライバの脆弱性を悪用してこれらを無力化します。防御側としては、脆弱なドライバのブロックリスト管理、改ざん防止機能の確認、そしてネットワーク内の異常な挙動の早期検知が重要です。ランサムウェアの手法が進化を続ける中、多層防御の重要性がさらに増しています。
📎 元記事: https://thehackernews.com/2026/02/reynolds-ransomware-embeds-byovd-driver.html
コメント