SonicWall VPN を標的とする攻撃:Akira ランサムウェアが用いる BYOVD 手法を解析

Akira Ransomware Uses Windows Drivers to Bypass AV/EDR in SonicWall Attacks

2025/08/06 CyberSecurityNews — 先日に発見された SonicWall VPN を標的とする攻撃キャンペーンにおいて、脅威アクターたちは Windows ドライバを悪用し、Anti-Virus/EDR システムを回避しているという。この攻撃は 2025年7月下旬から8月上旬にかけてエスカレートしており、侵害後の持続性確保と検出回避のために、脅威アクターが戦術を高度化させている実態を示している。

主なポイント
  • Akira は正規の Windows ドライバを用いてセキュリティ制御を回避する。
  • イニシャル・アクセスには未公開の SonicWall VPN の脆弱性を悪用する。
  • SSLVPN の無効化/MFA の有効化/悪意のあるドライバ・ハッシュの探索が推奨される。
Windows ドライバを悪用する Akira ランサムウェア

GuidePoint Security の報告によると、Akira ランサムウェアのオペレーターは、いわゆる BYOVD (Bring Your Own Vulnerable Driver) 攻撃手法として、2種類の Windows ドライバを悪用しているようだ。

1つ目のドライバ rwdrv.sys は、Intel CPU 向けパフォーマンス調整ツール ThrottleStop に含まれる正規のコンポーネントである。

(SHA256: 16f83f056177c4ec24c7e99d01ca9d9d6713bd0497eeedb777a3ffefa99c97f0)

このドライバをサービスとして登録する脅威アクターは、侵害したシステムにおいてカーネル・レベルのアクセス権を取得する。

2つ目のドライバ hlpdrv.sys は、Windows Defender をダイレクトに無効化するために用いられる。

(SHA256: bd1f381e5a3db22e88776b7873d4d2835e9a1ec620571d2b1da0c58f81c84a56)

このドライバが実行されると、regedit.exe を通じてレジストリ設定 \REGISTRY\MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\DisableAntiSpyware が変更され、Windows Defender のアンチ・スパイウェア機能が無効化される。

これらの2つのドライバは、一般的に Users\$[REDACTED]\AppData\Local\Temp\ に展開され、それぞれが “mgdsrv” と “KMHLPSVC” という名前でサービス登録される。

SonicWall VPN を標的とする攻撃

これらのドライバーをベースとする検出回避の手法は、SonicWall VPN の脆弱性を足がかりとする、複数の Akira ランサムウェア・インシデントで一貫して確認されている。

現時点において、この脆弱性の技術的な詳細は公開されていないが、SonicWall は脅威の存在を認識し、以下の緊急対応策を推奨している。

  • 可能な限り SSLVPN サービスを無効化する。
  • 多要素認証 (MFA) を導入する。
  • ボットネット対策として、Geo-IP フィルタリングを有効化する。

さらに、セキュリティ・チームに対して推奨されるのは、YARA ルールの活用であり、それにより、以下の特徴に基づいた悪意の hlpdrv.sys が識別される。

  • PE ファイル構造
  • ZwSetSecurityObjectPsLookupProcessByProcessId など ntoskrnl.exe からのインポート関数
  • \\Device\\KMHLPDRVHlpDrv などの文字列アーティファクト

ユーザー組織として優先すべきは、SonicWall が示すイニシャル・アクセス防止策の適用と、これらのインジケータに基づく探索である。

SonicWall VPN の未公開とされる脆弱性を悪用し、侵入後に Windows の正規ドライバを利用して検出を回避する Akira ランサムウェアの手口が解説されています。原因は、BYOVD による権限取得とセキュリティ無効化にあると、この記事は指摘しています。なお、文中のリンクからたどると、SonicWall のアドバイザリでは、未公開の脆弱性は否定され、CVE-2024-40766 との関連性が示唆されています。よろしければ、CVE-2024-40766 で検索も、ご参照ください。