【セキュリティ】原神のアンチチートを悪用しアンチウイルス回避。ランサムウェアへの応用事例が確認 [香味焙煎★]

[0001 香味焙煎 ★ 2022/08/26(金) 18:03:27.51 ID:GJ0qCwHf9]

Trend Microは24日(現地時間)、オンラインRPGゲーム「原神」のアンチチート用ドライバがランサムウェアの展開に悪用されているとして、情報を公開した。

7月末に、エンドポイント保護が適切に設定されたユーザーの環境において、ランサムウェアに感染する事例が発生。同社が解析を行なったところ、コード署名済みのドライバ「mhyprot2.sys」を特権回避に悪用し、カーネルモードからエンドポイント保護プロセスをキルした上で、ランサムウェアを実行。ファイルの暗号化、身代金を要求する文書(ランサムノート)や大規模展開に向けたファイルの設置などを行なっていたという。

mhyprot2.sysは、デバイスドライバとして原神のアンチチート機能を提供しており、コード署名は現在も有効。なお、悪用に際しては、攻撃対象のデバイス上に原神がインストールされている必要はなく、mhyprot2.sys単体で利用できるとしている。

このアンチチートドライバについては、原神のリリース直後にも、ゲーム本体をアンインストールしてもmhyprot2.sysが削除されない、特権回避が可能であるといった報告がコミュニティであがっていた。さらに、これを利用した攻撃に関する概念実証も行なわれ、開発元のmiHoYoにも報告されていたが、脆弱性は認められないとして修正が提供されていないという。

同社では、mhyprot2.sys自体が正規の署名済みドライバで入手しやすいこと、特権回避の面で汎用性が高いこと、有用性の高い概念実証がすでに存在すること、長期に渡って影響する恐れがあることなどから、あらゆるマルウェアに組み込まれる可能性があるとして、注意喚起をしており、今後も調査を続けるという。

Impress
2022年8月26日 17:52
https://pc.watch.impress.co.jp/docs/news/1435071.html

[0002 ニューノーマルの名無しさん 2022/08/26(金) 18:04:10.34 ID:Ec0ZBJx80]

ぉ・ま・ん・こ💕

[0003 ニューノーマルの名無しさん 2022/08/26(金) 18:07:05.96 ID:qujrVXVL0]

わざとだろ

[0004 ニューノーマルの名無しさん 2022/08/26(金) 18:07:30.22 ID:L+0T4YWm0]

https://i.imgur.com/UW5wJTM.jpg

[0005 ニューノーマルの名無しさん 2022/08/26(金) 18:08:19.47 ID:wR/UNEG40]

>>1
わざとだろｗ

[0006 ニューノーマルの名無しさん 2022/08/26(金) 18:08:38.32 ID:P4btn17Q0]

わざとか

[0007 ニューノーマルの名無しさん 2022/08/26(金) 18:08:56.73 ID:l8C2BhwG0]

ほらな
中華だろ？

[0008 ニューノーマルの名無しさん 2022/08/26(金) 18:09:28.90 ID:fYsK++z/0]

nProtectの悪夢ふたたび

[0009 ニューノーマルの名無しさん 2022/08/26(金) 18:09:42.54 ID:uhbm7RHt0]

これは酷い

[0010 ニューノーマルの名無しさん 2022/08/26(金) 18:09:54.65 ID:l8C2BhwG0]

ゲームリリース時は個人情報オープンワールドだったの忘れてないぞ

[0011 ニューノーマルの名無しさん 2022/08/26(金) 18:10:01.25 ID:0eGAvFxy0]

ぐるか

[0012 ニューノーマルの名無しさん 2022/08/26(金) 18:10:08.99 ID:5uYcHBQH0]

チャイニーズクオリティ

[0013 ニューノーマルの名無しさん 2022/08/26(金) 18:10:36.47 ID:irvRrx5m0]

脆弱性じゃないってことは仕様ってことだね

[0014 ニューノーマルの名無しさん 2022/08/26(金) 18:11:00.70 ID:xLO6XhkF0]

開発元は修正する気が今のところない
このドライバだけを攻撃対象にどうにかして入れてやればいいので
原神がインストールされているかどうかは関係なく攻撃できる

わざとやってるの？

[0015 ニューノーマルの名無しさん 2022/08/26(金) 18:11:58.87 ID:jdL2+kyq0]

極光とかラグナドとかガチガチすぎてPC版は起動するのにひと手間かかるんですよ……

[0016 ニューノーマルの名無しさん 2022/08/26(金) 18:12:41.03 ID:wR/UNEG40]

>>8
悪夢だったな
nProtectというウィルス
勝手に設定書き換えるわ
ロックして起動しなくなるわ
挙句の果てにOSを破壊するという

[0017 ニューノーマルの名無しさん 2022/08/26(金) 18:13:02.62 ID:NzI/dloe0]

ついに工作アプリなのが完全にバレちゃったな

[0018 ニューノーマルの名無しさん 2022/08/26(金) 18:13:09.08 ID:ckHbCkeB0]

こんないい加減な中華に搾取されんなよ

[0019 ニューノーマルの名無しさん 2022/08/26(金) 18:13:55.51 ID:M0U+nH5Z0]

中華ゲーなんて入れるから

[0020 ニューノーマルの名無しさん 2022/08/26(金) 18:14:12.86 ID:nS+Nl1kh0]

おまえらがなにかと原神言うからー
原監督は神とまでは言えない

[0021 ニューノーマルの名無しさん 2022/08/26(金) 18:14:22.77 ID:V3n7OSlW0]

なんか裏で動いてそうで怖すぎ

[0022 ニューノーマルの名無しさん 2022/08/26(金) 18:14:29.09 ID:a01HknSw0]

バックドア完備やん

[0023 ニューノーマルの名無しさん 2022/08/26(金) 18:14:47.12 ID:FcDK1TfF0]

俺は放置少女が無事ならいい

[0024 ニューノーマルの名無しさん 2022/08/26(金) 18:14:52.68 ID:fYsK++z/0]

セキュリティ固め過ぎて顧客離れしたのがガンホーとネクソンだっけ？

[0025 ニューノーマルの名無しさん 2022/08/26(金) 18:15:05.46 ID:GFzbwgzY0]

ただの公式バックドアじゃねーか

[0026 ニューノーマルの名無しさん 2022/08/26(金) 18:15:27.16 ID:FZ/0XWMt0]

どうせ応用してほしくて作ったんだろ

[0027 ニューノーマルの名無しさん 2022/08/26(金) 18:15:34.31 ID:wR/UNEG40]

まぁこの手のアンチチートは、
OSやHDD破壊してからが本番だろ？ｗ

[0028 ニューノーマルの名無しさん 2022/08/26(金) 18:17:19.41 ID:P4btn17Q0]

なんでアンインストールしても削除されないん…

[0029 ニューノーマルの名無しさん 2022/08/26(金) 18:18:15.88 ID:cUKRx/OR0]

初日から話題になってて
まだ結局これかよ

不自由にさせるだけのソフトってチートがいるよりマイナスだろ

[0030 ニューノーマルの名無しさん 2022/08/26(金) 18:18:44.98 ID:4x+oq5B40]

>>1
支那ゲーか
まあ残当w

[0031 ニューノーマルの名無しさん 2022/08/26(金) 18:21:09.90 ID:LtakZK170]

中華www

[0032 ニューノーマルの名無しさん 2022/08/26(金) 18:23:43.69 ID:OuSR3UYd0]

は…原神

[0033 ニューノーマルの名無しさん 2022/08/26(金) 18:24:45.26 ID:Pmh+6DmM0]

オレオレ詐欺で騙される老人と同じ
これからも何度も騙されるんだろうな

[0034 ニューノーマルの名無しさん 2022/08/26(金) 18:25:16.03 ID:baNs4OtK0]

証明書消したら解決するけど消しませーんw

これもう立派な犯罪企業だろ…

[0035 ニューノーマルの名無しさん 2022/08/26(金) 18:27:07.07 ID:xKs/PQ3u0]

自分で利用してそう

[0036 ニューノーマルの名無しさん 2022/08/26(金) 18:27:29.22 ID:H46GCJIn0]

中華ゲーだから情報筒抜け
それを知らずに踊る豚ｗｗ

[0037 ニューノーマルの名無しさん 2022/08/26(金) 18:27:38.92 ID:jZP/xw2B0]

監視ツールがスパイウエアとかMMOあるあるのような

[0038 ニューノーマルの名無しさん 2022/08/26(金) 18:28:23.79 ID:F4I8D1Y40]

自社が脆弱性を認めない時点で共犯じゃねーかw
カーネルのドライバをハックするなんて中身知ってないとできないぞ

[0039 ニューノーマルの名無しさん 2022/08/26(金) 18:28:31.47 ID:xy5mBCQ40]

原上のメーカーがクラッキング素材をゲームに同梱して配布してるって事でいいのかな
一度もインストールしてなきゃセーフ？

[0040 ニューノーマルの名無しさん 2022/08/26(金) 18:29:27.68 ID:JViWH84i0]

幻塔にもなんか仕込んであるんでしょう

[0041 ニューノーマルの名無しさん 2022/08/26(金) 18:29:40.75 ID:SB1f9MFi0]

原辰徳が神ってこと？

[0042 ニューノーマルの名無しさん 2022/08/26(金) 18:30:22.74 ID:ecVPxdzL0]

子供のスマホやPCにランサム攻撃してもなあ
大の大人がやるもんじゃねえだろうし

[0043 ニューノーマルの名無しさん 2022/08/26(金) 18:31:49.25 ID:uwtVYxe60]

公式なんだろ

[0044 ニューノーマルの名無しさん 2022/08/26(金) 18:35:27.69 ID:/BG1JRqu0]

単体で動くって言っても原神がインストールされてなきゃ持ってない可能性が高いんでしょ？
事前にこいつをダウンロードさせるってこと？
署名済みだからこのファイルのダウンロードはセキュリティを突破しやすいってこと？

[0045 ニューノーマルの名無しさん 2022/08/26(金) 18:38:50.72 ID:4kjuHVOZ0]

スパイウェアってこと？

[0046 ニューノーマルの名無しさん 2022/08/26(金) 18:39:59.74 ID:Ml1EmKxv0]

こんなゲームする奴は売国奴

今すぐ死なないといけない

[0047 ニューノーマルの名無しさん 2022/08/26(金) 18:40:04.29 ID:8sCF+vF60]

半期で3000億稼ぐビッグタイトルがスパイウェアとかありえない　

[0048 ニューノーマルの名無しさん 2022/08/26(金) 18:41:04.52 ID:6x2l0OEI0]

一度でもインストールしたらスマホを買い替えろ！

[0049 ニューノーマルの名無しさん 2022/08/26(金) 18:42:05.60 ID:LWId3GJo0]

説明がよくわからんのだがつまりどういうこと？

[0050 ニューノーマルの名無しさん 2022/08/26(金) 18:44:09.28 ID:dL1T2eDK0]

中華アプリだもん通常動作でしょ

[0051 ニューノーマルの名無しさん 2022/08/26(金) 18:44:31.39 ID:PEoD9ZFd0]

ウィルスに感染すればチート使えなくなる
素晴らしい運営じゃん

[0052 ニューノーマルの名無しさん 2022/08/26(金) 18:44:43.45 ID:vCI3Nor+0]

>>47
ぷっ

[0053 ニューノーマルの名無しさん 2022/08/26(金) 18:48:02.46 ID:Hv0UKGJ80]

>>42
子供のがエグい行為して写真とるだろ？
名前と行為を保存してソイツが有名になったら色々出来るだろ？
それにしても、原神もやはりスパイウェアだったか。もうクレカ情報から脅迫に使えそうなのはDL済みなんやろな。

[0054 ニューノーマルの名無しさん 2022/08/26(金) 18:48:09.79 ID:qOyWIGMF0]

こっちが本体

[0055 ニューノーマルの名無しさん 2022/08/26(金) 18:48:13.81 ID:zKewtQgP0]

トレンドマイクロって前科なかった？

[0056 ニューノーマルの名無しさん 2022/08/26(金) 18:49:10.37 ID:j9Wj3qpz0]

>>49
ジャップは馬娘やってろってこと

[0057 ニューノーマルの名無しさん 2022/08/26(金) 18:49:39.39 ID:7pEBlLKC0]

>>49
~.sysを動かせればあとはPCに向かって座ってAdminで操作してるのと一緒


>>40
幻塔もそうだけどさしあたり崩壊3
あとパニグレ、アズレン、アークナイツとか中国発祥のは気を付けといたほうがいいかもね？
ビリビリ運営系列のゲームでこういう話は聞いたことないけどね

[0058 ニューノーマルの名無しさん 2022/08/26(金) 18:55:17.89 ID:fYsK++z/0]

>>28
サードパーティアプリ
特に中国のをアンインストールするときはIObitかRevoかGeekを使ったほうがいいかもね…

[0059 ニューノーマルの名無しさん 2022/08/26(金) 18:55:38.64 ID:1WeVQM8y0]

3D酔いが酷くて開始30分でコントローラー投げた

[0060 ニューノーマルの名無しさん 2022/08/26(金) 18:57:19.00 ID:j9Wj3qpz0]

PC版の事でしょ
じゃ関係ないな

[0061 ニューノーマルの名無しさん 2022/08/26(金) 18:57:34.89 ID:Im9A2mZ90]

アンインストールしても消えないのは草

[0062 ニューノーマルの名無しさん 2022/08/26(金) 18:57:46.64 ID:AsL+nvci0]

>>55
大手のセキュリティ対策会社で
やらかしてないところなんてむしろ無いんじゃないか？

[0063 ニューノーマルの名無しさん 2022/08/26(金) 18:58:22.16 ID:l4QfLvDM0]

>>1
原発に見えた

[0064 ニューノーマルの名無しさん 2022/08/26(金) 18:59:31.18 ID:l4QfLvDM0]

>>56
お～お、おっおっお！

[0065 ニューノーマルの名無しさん 2022/08/26(金) 19:01:51.85 ID:NFi35leM0]

CommonFiles以下とかAppData以下とかに残るゴミには気を付けよう

[0066 ニューノーマルの名無しさん 2022/08/26(金) 19:02:13.86 ID:KbN6ouak0]

原神は韓国による攻撃補助

[0067 ニューノーマルの名無しさん 2022/08/26(金) 19:03:07.30 ID:zcshtXYv0]

難しいことよくわかんないから、CCCDとどっちが強いか教えて

[0068 ニューノーマルの名無しさん 2022/08/26(金) 19:04:42.57 ID:ltIhyCMs0]

>>59
宝探し系は特にきついよな
ポチポチゲーが人気あるのはそういう理由もあると思ってるよ

[0069 ニューノーマルの名無しさん 2022/08/26(金) 19:08:22.75 ID:pJFE0wlN0]

原神ってスマホじゃなくPSとかコンシューマーのプラットフォームで遊ぶもんじゃないの？

[0070 ニューノーマルの名無しさん 2022/08/26(金) 19:08:49.74 ID:a01HknSw0]

>>67
こっちの方が強いな
管理者権限の大盤振る舞い

[0071 ニューノーマルの名無しさん 2022/08/26(金) 19:12:14.42 ID:BKdq70ez0]

やってるやつの頭に問題がある。ゲームのせいでは無い

[0072 ニューノーマルの名無しさん 2022/08/26(金) 19:13:49.93 ID:tITw1tQR0]

原神アンインストールしても消えないから最強のトロイの木馬ってこと？ウイルス無いから原神は木馬だけの提供だけ