【セキュリティ】原神のアンチチートを悪用しアンチウイルス回避。ランサムウェアへの応用事例が確認 [香味焙煎★]

**香味焙煎 ★** · 2022/08/26(金) 18:03:27.51

Trend Microは24日(現地時間)、オンラインRPGゲーム「原神」のアンチチート用ドライバがランサムウェアの展開に悪用されているとして、情報を公開した。

7月末に、エンドポイント保護が適切に設定されたユーザーの環境において、ランサムウェアに感染する事例が発生。同社が解析を行なったところ、コード署名済みのドライバ「mhyprot2.sys」を特権回避に悪用し、カーネルモードからエンドポイント保護プロセスをキルした上で、ランサムウェアを実行。ファイルの暗号化、身代金を要求する文書(ランサムノート)や大規模展開に向けたファイルの設置などを行なっていたという。

mhyprot2.sysは、デバイスドライバとして原神のアンチチート機能を提供しており、コード署名は現在も有効。なお、悪用に際しては、攻撃対象のデバイス上に原神がインストールされている必要はなく、mhyprot2.sys単体で利用できるとしている。

このアンチチートドライバについては、原神のリリース直後にも、ゲーム本体をアンインストールしてもmhyprot2.sysが削除されない、特権回避が可能であるといった報告がコミュニティであがっていた。さらに、これを利用した攻撃に関する概念実証も行なわれ、開発元のmiHoYoにも報告されていたが、脆弱性は認められないとして修正が提供されていないという。

同社では、mhyprot2.sys自体が正規の署名済みドライバで入手しやすいこと、特権回避の面で汎用性が高いこと、有用性の高い概念実証がすでに存在すること、長期に渡って影響する恐れがあることなどから、あらゆるマルウェアに組み込まれる可能性があるとして、注意喚起をしており、今後も調査を続けるという。

Impress
2022年8月26日 17:52
https://pc.watch.impress.co.jp/docs/news/1435071.html

**ニューノーマルの名無しさん** · 2022/08/26(金) 18:04:10.34

ぉ・ま・ん・こ💕

**ニューノーマルの名無しさん** · 2022/08/26(金) 18:07:05.96

わざとだろ

**ニューノーマルの名無しさん** · 2022/08/26(金) 18:07:30.22

https://i.imgur.com/UW5wJTM.jpg

**ニューノーマルの名無しさん** · 2022/08/26(金) 18:08:19.47

>>1
わざとだろｗ

**ニューノーマルの名無しさん** · 2022/08/26(金) 18:08:38.32

わざとか

**ニューノーマルの名無しさん** · 2022/08/26(金) 18:08:56.73

ほらな
中華だろ？

**ニューノーマルの名無しさん** · 2022/08/26(金) 18:09:28.90

nProtectの悪夢ふたたび

**ニューノーマルの名無しさん** · 2022/08/26(金) 18:09:42.54

これは酷い

**ニューノーマルの名無しさん** · 2022/08/26(金) 18:09:54.65

ゲームリリース時は個人情報オープンワールドだったの忘れてないぞ

**ニューノーマルの名無しさん** · 2022/08/26(金) 18:10:01.25

ぐるか

**ニューノーマルの名無しさん** · 2022/08/26(金) 18:10:08.99

チャイニーズクオリティ

**ニューノーマルの名無しさん** · 2022/08/26(金) 18:10:36.47

脆弱性じゃないってことは仕様ってことだね

**ニューノーマルの名無しさん** · 2022/08/26(金) 18:11:00.70

開発元は修正する気が今のところない
このドライバだけを攻撃対象にどうにかして入れてやればいいので
原神がインストールされているかどうかは関係なく攻撃できる

わざとやってるの？

**ニューノーマルの名無しさん** · 2022/08/26(金) 18:11:58.87

極光とかラグナドとかガチガチすぎてPC版は起動するのにひと手間かかるんですよ……

**ニューノーマルの名無しさん** · 2022/08/26(金) 18:12:41.03

>>8
悪夢だったな
nProtectというウィルス
勝手に設定書き換えるわ
ロックして起動しなくなるわ
挙句の果てにOSを破壊するという

**ニューノーマルの名無しさん** · 2022/08/26(金) 18:13:02.62

ついに工作アプリなのが完全にバレちゃったな

**ニューノーマルの名無しさん** · 2022/08/26(金) 18:13:09.08

こんないい加減な中華に搾取されんなよ

**ニューノーマルの名無しさん** · 2022/08/26(金) 18:13:55.51

中華ゲーなんて入れるから

**ニューノーマルの名無しさん** · 2022/08/26(金) 18:14:12.86

おまえらがなにかと原神言うからー
原監督は神とまでは言えない

**ニューノーマルの名無しさん** · 2022/08/26(金) 18:14:22.77

なんか裏で動いてそうで怖すぎ

**ニューノーマルの名無しさん** · 2022/08/26(金) 18:14:29.09

バックドア完備やん

**ニューノーマルの名無しさん** · 2022/08/26(金) 18:14:47.12

俺は放置少女が無事ならいい

**ニューノーマルの名無しさん** · 2022/08/26(金) 18:14:52.68

セキュリティ固め過ぎて顧客離れしたのがガンホーとネクソンだっけ？

**ニューノーマルの名無しさん** · 2022/08/26(金) 18:15:05.46

ただの公式バックドアじゃねーか

**ニューノーマルの名無しさん** · 2022/08/26(金) 18:15:27.16

どうせ応用してほしくて作ったんだろ

**ニューノーマルの名無しさん** · 2022/08/26(金) 18:15:34.31

まぁこの手のアンチチートは、
OSやHDD破壊してからが本番だろ？ｗ

**ニューノーマルの名無しさん** · 2022/08/26(金) 18:17:19.41

なんでアンインストールしても削除されないん…

**ニューノーマルの名無しさん** · 2022/08/26(金) 18:18:15.88

初日から話題になってて
まだ結局これかよ

不自由にさせるだけのソフトってチートがいるよりマイナスだろ

**ニューノーマルの名無しさん** · 2022/08/26(金) 18:18:44.98

>>1
支那ゲーか
まあ残当w

**ニューノーマルの名無しさん** · 2022/08/26(金) 18:21:09.90

中華www

**ニューノーマルの名無しさん** · 2022/08/26(金) 18:23:43.69

は…原神

**ニューノーマルの名無しさん** · 2022/08/26(金) 18:24:45.26

オレオレ詐欺で騙される老人と同じ
これからも何度も騙されるんだろうな

**ニューノーマルの名無しさん** · 2022/08/26(金) 18:25:16.03

証明書消したら解決するけど消しませーんw

これもう立派な犯罪企業だろ…

**ニューノーマルの名無しさん** · 2022/08/26(金) 18:27:07.07

自分で利用してそう

**ニューノーマルの名無しさん** · 2022/08/26(金) 18:27:29.22

中華ゲーだから情報筒抜け
それを知らずに踊る豚ｗｗ

**ニューノーマルの名無しさん** · 2022/08/26(金) 18:27:38.92

監視ツールがスパイウエアとかMMOあるあるのような

**ニューノーマルの名無しさん** · 2022/08/26(金) 18:28:23.79

自社が脆弱性を認めない時点で共犯じゃねーかw
カーネルのドライバをハックするなんて中身知ってないとできないぞ

**ニューノーマルの名無しさん** · 2022/08/26(金) 18:28:31.47

原上のメーカーがクラッキング素材をゲームに同梱して配布してるって事でいいのかな
一度もインストールしてなきゃセーフ？

**ニューノーマルの名無しさん** · 2022/08/26(金) 18:29:27.68

幻塔にもなんか仕込んであるんでしょう

**ニューノーマルの名無しさん** · 2022/08/26(金) 18:29:40.75

原辰徳が神ってこと？

**ニューノーマルの名無しさん** · 2022/08/26(金) 18:30:22.74

子供のスマホやPCにランサム攻撃してもなあ
大の大人がやるもんじゃねえだろうし

**ニューノーマルの名無しさん** · 2022/08/26(金) 18:31:49.25

公式なんだろ

**ニューノーマルの名無しさん** · 2022/08/26(金) 18:35:27.69

単体で動くって言っても原神がインストールされてなきゃ持ってない可能性が高いんでしょ？
事前にこいつをダウンロードさせるってこと？
署名済みだからこのファイルのダウンロードはセキュリティを突破しやすいってこと？

**ニューノーマルの名無しさん** · 2022/08/26(金) 18:38:50.72

スパイウェアってこと？

**ニューノーマルの名無しさん** · 2022/08/26(金) 18:39:59.74

こんなゲームする奴は売国奴

今すぐ死なないといけない

**ニューノーマルの名無しさん** · 2022/08/26(金) 18:40:04.29

半期で3000億稼ぐビッグタイトルがスパイウェアとかありえない　

**ニューノーマルの名無しさん** · 2022/08/26(金) 18:41:04.52

一度でもインストールしたらスマホを買い替えろ！

**ニューノーマルの名無しさん** · 2022/08/26(金) 18:42:05.60

説明がよくわからんのだがつまりどういうこと？

**ニューノーマルの名無しさん** · 2022/08/26(金) 18:44:09.28

中華アプリだもん通常動作でしょ

**ニューノーマルの名無しさん** · 2022/08/26(金) 18:44:31.39

ウィルスに感染すればチート使えなくなる
素晴らしい運営じゃん

**ニューノーマルの名無しさん** · 2022/08/26(金) 18:44:43.45

>>47
ぷっ

**ニューノーマルの名無しさん** · 2022/08/26(金) 18:48:02.46

>>42
子供のがエグい行為して写真とるだろ？
名前と行為を保存してソイツが有名になったら色々出来るだろ？
それにしても、原神もやはりスパイウェアだったか。もうクレカ情報から脅迫に使えそうなのはDL済みなんやろな。

**ニューノーマルの名無しさん** · 2022/08/26(金) 18:48:09.79

こっちが本体

**ニューノーマルの名無しさん** · 2022/08/26(金) 18:48:13.81

トレンドマイクロって前科なかった？

**ニューノーマルの名無しさん** · 2022/08/26(金) 18:49:10.37

>>49
ジャップは馬娘やってろってこと

**ニューノーマルの名無しさん** · 2022/08/26(金) 18:49:39.39

>>49
~.sysを動かせればあとはPCに向かって座ってAdminで操作してるのと一緒

>>40
幻塔もそうだけどさしあたり崩壊3
あとパニグレ、アズレン、アークナイツとか中国発祥のは気を付けといたほうがいいかもね？
ビリビリ運営系列のゲームでこういう話は聞いたことないけどね

**ニューノーマルの名無しさん** · 2022/08/26(金) 18:55:17.89

>>28
サードパーティアプリ
特に中国のをアンインストールするときはIObitかRevoかGeekを使ったほうがいいかもね…

**ニューノーマルの名無しさん** · 2022/08/26(金) 18:55:38.64

3D酔いが酷くて開始30分でコントローラー投げた

**ニューノーマルの名無しさん** · 2022/08/26(金) 18:57:19.00

PC版の事でしょ
じゃ関係ないな

**ニューノーマルの名無しさん** · 2022/08/26(金) 18:57:34.89

アンインストールしても消えないのは草

**ニューノーマルの名無しさん** · 2022/08/26(金) 18:57:46.64

>>55
大手のセキュリティ対策会社で
やらかしてないところなんてむしろ無いんじゃないか？

**ニューノーマルの名無しさん** · 2022/08/26(金) 18:58:22.16

>>1
原発に見えた

**ニューノーマルの名無しさん** · 2022/08/26(金) 18:59:31.18

>>56
お～お、おっおっお！

**ニューノーマルの名無しさん** · 2022/08/26(金) 19:01:51.85

CommonFiles以下とかAppData以下とかに残るゴミには気を付けよう

**ニューノーマルの名無しさん** · 2022/08/26(金) 19:02:13.86

原神は韓国による攻撃補助

**ニューノーマルの名無しさん** · 2022/08/26(金) 19:03:07.30

難しいことよくわかんないから、CCCDとどっちが強いか教えて

**ニューノーマルの名無しさん** · 2022/08/26(金) 19:04:42.57

>>59
宝探し系は特にきついよな
ポチポチゲーが人気あるのはそういう理由もあると思ってるよ

**ニューノーマルの名無しさん** · 2022/08/26(金) 19:08:22.75

原神ってスマホじゃなくPSとかコンシューマーのプラットフォームで遊ぶもんじゃないの？

**ニューノーマルの名無しさん** · 2022/08/26(金) 19:08:49.74

>>67
こっちの方が強いな
管理者権限の大盤振る舞い

**ニューノーマルの名無しさん** · 2022/08/26(金) 19:12:14.42

やってるやつの頭に問題がある。ゲームのせいでは無い

**ニューノーマルの名無しさん** · 2022/08/26(金) 19:13:49.93

原神アンインストールしても消えないから最強のトロイの木馬ってこと？ウイルス無いから原神は木馬だけの提供だけ

**ニューノーマルの名無しさん** · 2022/08/26(金) 19:15:13.18

AndroidとiOSは関係ないと思われ(.sysというドライバファイルの概念を使わないので)
PS4,5はシステムわからんが少なくともPC版の話かな

HoYoverse垢でクロスプラットフォームで遊んでる人もいちおう気をつけた方がいいのかな

**ニューノーマルの名無しさん** · 2022/08/26(金) 19:15:34.84

平井デジタル大臣を使って香川でやってるようなゲーム規制を全国に広げようとしてた壺信者が俄然張り切ってますw

**ニューノーマルの名無しさん** · 2022/08/26(金) 19:20:11.95

恐ろしい時代になったもんだな。(´･ω･`; )

**ニューノーマルの名無しさん** · 2022/08/26(金) 19:21:43.27

PS勢には関係ねえな

**ニューノーマルの名無しさん** · 2022/08/26(金) 19:25:59.41

CCCDより強いなら安心して死ねるな

ガチでヤバイじゃん

**ニューノーマルの名無しさん** · 2022/08/26(金) 19:26:07.05

>>72
原神インストールしたことなくても
このファイルを相手PCに送り込めれば攻撃が楽になる犯罪者お助けツール

**ニューノーマルの名無しさん** · 2022/08/26(金) 19:27:42.51

miHoYoが出してなければ脆弱性として駆除されてもオカシクないレベルだな

**ニューノーマルの名無しさん** · 2022/08/26(金) 19:28:10.19

>>76
PSと原神の規約は全く違うぞ？原神が原因で何かあっても一切保障はないってmiHoYoの規約に同意しただろ？PSがハックされたりしてもソニーもmiHoYoも取り合わないからなw

**ニューノーマルの名無しさん** · 2022/08/26(金) 19:28:15.09

ちょっとカタカナ多すぎて何が書いてあるのかわからないです
アンチでアンチをアンチに使うみたいな感じか

**ニューノーマルの名無しさん** · 2022/08/26(金) 19:28:46.60

>>67
CCCDは知識ない素人でもソフト一つで回避できるからなぁw

**ニューノーマルの名無しさん** · 2022/08/26(金) 19:29:19.27

報告済みだったのにスルーして放置かぁ…
さて、賠償金は何千億になるか

**ニューノーマルの名無しさん** · 2022/08/26(金) 19:32:32.73

中華製はハードもソフトも危険だな
ユーザーはサイバー戦において知らず知らずのうちに敵国の協力者に仕立て上げられるだろう
アメリカが中華製の規制に躍起になる訳だよ
日本は平和ボケだな
警察も元首相の暗殺みすみす許すようなへっぽこだし
一回ウクライナみたいに侵略戦争されてからでないと国民レベルから危機感持って取り組めるようにはならないのだろうか

**ニューノーマルの名無しさん** · 2022/08/26(金) 19:33:55.79

今のアンチウイルスソフトは hosts という名前のファイルを中身を見もせずにホスト不正書き換えファイルと見做してウイルス扱いしてくるので…
ありがたいシステムであると同時にめんどくさいシステムでもある

それはそれとしてnProまでアンチウイルスに引っかかるのはさすがにどうなんだろ

**ニューノーマルの名無しさん** · 2022/08/26(金) 19:34:03.50

何を今更
中華ゲーいれるならクレカ差し出す覚悟ぐらいしとけよ

**ニューノーマルの名無しさん** · 2022/08/26(金) 19:37:43.23

やっぱやらんで正解だな
中国産ってやっぱ糞だは

**ニューノーマルの名無しさん** · 2022/08/26(金) 19:37:57.76

とりあえず署名つきドライバの署名不正扱いにする方法教えて

**ニューノーマルの名無しさん** · 2022/08/26(金) 19:38:32.68

>>86
アズレンやドルフロやアークナイツ遊んでる人らにその暴言は吐けないなさすがに

**ニューノーマルの名無しさん** · 2022/08/26(金) 19:39:10.37

>>88
まず服を脱ぎます

**ニューノーマルの名無しさん** · 2022/08/26(金) 19:40:52.96

脱いだから風呂入ってくるわ

**ニューノーマルの名無しさん** · 2022/08/26(金) 19:42:39.88

このゲーム触ったことないやつもやばいという話なのに理解してないやつ多すぎだろ

**ニューノーマルの名無しさん** · 2022/08/26(金) 19:54:00.97

>>27
普通のアップデータがほかのフォルダのファイル削除した某ゲームの悪口はやめてさしあげろ

**ニューノーマルの名無しさん** · 2022/08/26(金) 19:59:28.06

仕様じゃん

**ニューノーマルの名無しさん** · 2022/08/26(金) 20:02:23.46

>>27
Vita民だったから免れたが、某王国2は衝撃的だった。
まぁ幾ら出来が良くても所詮共産党産か。触らんで良かった。

**ニューノーマルの名無しさん** · 2022/08/26(金) 20:07:18.50

ぜーんぶどかーーーーん

**ニューノーマルの名無しさん** · 2022/08/26(金) 20:28:37.92

>>16
ゲームの起動ランチャーとかもバックドアとキャプチャ機能内蔵しててやりたい放題だったよな

**ニューノーマルの名無しさん** · 2022/08/26(金) 20:29:33.90

オンゲそのものがヤバいからな
チート防ごうと思ったら仕込むしかないんだけど
どうしてもやりたかったら専用のPC用意しろってこった

**ニューノーマルの名無しさん** · 2022/08/26(金) 20:34:15.19

そのファイルは非常食

**ニューノーマルの名無しさん** · 2022/08/26(金) 20:36:22.46

そもそも支那産の無料アプリな時点でお察しだろ
ほぼバックドアアプリでインスコしたら終わりだし

**ニューノーマルの名無しさん** · 2022/08/26(金) 20:40:37.36

中華アプリだねえ

**ニューノーマルの名無しさん** · 2022/08/26(金) 20:43:08.64

>>92
その通りだけど、インストールの切っ掛けを提供してるってだけでもうね
俺なんかPS4ですら原神やる気しないわ

**ニューノーマルの名無しさん** · 2022/08/26(金) 20:46:43.71

とりあえずスチームとエピックとブリのランチャーのテレメトリうざい。絶え間なく何かを送信しやがって。

**ニューノーマルの名無しさん** · 2022/08/26(金) 20:47:24.85

覚えてる人いるか知らんけど、ThinkPadがレノボ製になった途端、妙なレノボ製ミドルウェアが沢山入っててしかも削除されない
気持ち悪くなって早々に売ったわ

IBMが作ってたときのThinkPad使っててトラックポインタが便利でよかったので買ったんだけど残念だった思い出

**ニューノーマルの名無しさん** · 2022/08/26(金) 20:52:55.34

>>104
割とBIOS色んなCPU認識してくれたから載せ替えて遊んでたなThinkPadで

**ニューノーマルの名無しさん** · 2022/08/26(金) 20:52:56.70

>>104
Bios経由か知らんが管理アプリ入れて来るんだろ？富士通の2013年あたりのA8搭載ノートもクリインしても富士通バッテリー管理アプリが勝手にダウンロードされてキモかったから速攻売却した。

**ニューノーマルの名無しさん** · 2022/08/26(金) 20:58:07.64

ランサムウェアってバックアップさえきちんとしてりゃ問題なし？

**ニューノーマルの名無しさん** · 2022/08/26(金) 21:03:51.79

これリリース時にも指摘されて問題になってたやつじゃん
やっぱり悪さしてたか😂

**ニューノーマルの名無しさん** · 2022/08/26(金) 21:08:44.24

mmoじゃないならアンチチートとかいらんやろ

**ニューノーマルの名無しさん** · 2022/08/26(金) 21:32:29.27

アンチチートも調子にのりすぎやな
そろそろ締め付けろ

**ニューノーマルの名無しさん** · 2022/08/26(金) 21:39:48.01

>>78
送り込むだけじゃだめだろ
ドライバなんで一度インストールして組み込まないと。

**ニューノーマルの名無しさん** · 2022/08/26(金) 21:56:18.14

そのための原神なんじゃねーの？
中華だしさ

**ニューノーマルの名無しさん** · 2022/08/26(金) 23:36:36.52

アンチチート系は時々こういうのあるから怖いわな

**ニューノーマルの名無しさん** · 2022/08/27(土) 00:03:25.63

リリース時からの問題で放置されてたのがまた騒がれ出して表に出てきたってのに異様に燃えないな
展開的にタチ悪いし日本内でもトップクラスのアプリのはずなんだが

**ニューノーマルの名無しさん** · 2022/08/27(土) 00:58:17.41

何故ってそりゃあ、広告費をもらってるスポンサー様だからでしょ

**ニューノーマルの名無しさん** · 2022/08/27(土) 02:48:36.80

二次元おまんこに釣られてOS破壊される子供部屋おじさん

**ニューノーマルの名無しさん** · 2022/08/27(土) 04:51:37.08

そら共産党は倫理観ゼロで騙された方が悪い価値観なんだから、釣られてインストールしたのが悪いわな。
最悪なのは土台から周囲に感染する可能性も高い罠。

**ニューノーマルの名無しさん** · 2022/08/27(土) 05:39:04.17

ウイルスさん「盗みたいデータがねぇ・・・」

**ニューノーマルの名無しさん** · 2022/08/27(土) 08:42:56.74

認証権限が多岐に渡りすぎてるから回避用として流用されてるって話だよな？
ゲームやってるかどうかは関係なくね？

**ニューノーマルの名無しさん** · 2022/08/27(土) 10:07:56.41

ゲームやってたらバックドア仕込まれ率100%
そうじゃなくても署名付きドライバだから、何の関係もない野良インストーラから気付かないうちにバックドアが入る率が高い

あとはsysの起動トリガーがブラウザから投げれるんだったら、ハッキングされた踏み台サイト見た瞬間にバックドアから侵入されて死亡するってだけだな

**ニューノーマルの名無しさん** · 2022/08/27(土) 19:12:47.80

なんかよくわかってないやつ多すぎる
こういうのは動作原理調べて自分で守らなくちゃ

**ニューノーマルの名無しさん** · 2022/08/27(土) 21:00:26.18

>>121
まあな。脆弱性なんて開発元が認めない限りは存在しない事になるから実被害が発生したら被害者を募って訴訟てのがスジよな。

**ニューノーマルの名無しさん** · 2022/08/30(火) 17:04:56.91

mhyprot2.sysはもう原神で使ってなくてmhyprot3になってるから失効させなくてもアンチウィルス側で決めうちやってしまってもいい。