BYOVD攻撃とは【用語集詳細】
BYOVD攻撃は、Bring Your Own Vulnerable Driver攻撃の略です。私物のPCやモバイル機器を利用し業務を行うBYOD(Bring Your Own Device)になぞらえて命名されています。
BYOVD攻撃では、脆弱性を持つ正当なドライバを侵害したマシン上に配送等して悪用し、OSのカーネルを用いて攻撃を行います。
ドライバは、ハードウェアや周辺機器を制御するためのプログラムであり、高い権限で実行されます。このため、ドライバの脆弱性を悪用し、EDRなどのセキュリティ製品を無効化する手法が多数のAPTやランサムウェアによって用いられています。
ドライバの脆弱性悪用に際しては、不正入手した正当なコード署名が用いられるケースがあります。
北朝鮮のハッカー部隊Lazarusや、ロシアAPT、またBlackByteランサムウェアなどがBYOVD攻撃を行っていることが確認されています。
また、Cubaランサムウェアも複数のアカウントを利用してMicrosoftハードウェア開発者プログラムの署名を入手し、悪性ドライバーに当該署名を付与することで、セキュリティ製品無効化等に悪用していると報道されています。