PC版「原神」のアンチチートシステムを逆手にとってアンチウイルスを無効にするランサムウェア攻撃が発見される、「原神」をインストールしていなくても標的に

人気アクションRPG「原神」のアンチチートシステムが、ウイルス対策ソフトウェアの無効化やランサムウェア攻撃に悪用されていたことが分かりました。この攻撃は「原神」のゲームやサービスとは無関係に行われているため、「原神」をインストールしていなくても標的になると報じられています。

Ransomware Actor Abuses Genshin Impact Anti-Cheat Driver to Kill Antivirus

https://www.trendmicro.com/en_us/research/22/h/ransomware-actor-abuses-genshin-impact-anti-cheat-driver-to-kill-antivirus.html

Hackers abuse Genshin Impact anti-cheat system to disable antivirus

https://www.bleepingcomputer.com/news/security/hackers-abuse-genshin-impact-anti-cheat-system-to-disable-antivirus/

Genshin Impact Anti-Cheat File is Abused to Mass-Deploy Ransomware and Kill Antivirus Processes

https://wccftech.com/genshin-impact-anti-cheat-file-is-abused-to-mass-deploy-ransomware-and-kill-antivirus-processes/

Ransomware exploits Jenshin Impact's kernel mode anti-cheat to bypass antivirus protection - Top Trend Newz

https://toptrendnewz.com/ransomware-exploits-jenshin-impacts-kernel-mode-anti-cheat-to-bypass-antivirus-protection/

セキュリティ企業のTrend Microは2022年8月24日に、「原神」のアンチチートドライバーである「mhyprot2.sys」がランサムウェア攻撃に使われていることを発見したと報告しました。



報告によると、今回の問題では「原神」の本体が被害者のPCにインストールされている必要はなく、「mhyprot2.sys」はゲームとは無関係に使われていたとのこと。そのため、Trend Microはmhyprot2.sysが容易に入手できること、権限の回避に関する汎用性が高いこと、概念実証済みのエクスプロイトがあることなどが、脅威アクターに目を付けられた可能性が高いとしています。

この点についてTrend Microは「mhyprot2.sysがあらゆるマルウェアに組み込まれる可能性があることを、セキュリティチームやシステムの管理者は念頭に置いておく必要があります」と指摘しました。

今回発見された攻撃では、脅威アクターはまずmhyprot2.sysを悪用して被害者のPCに侵入し、保護プロセスを停止させます。次に、偽のアンチウイルスソフトのインストーラーを実行してランサムウェアをインストールすると共に、悪意あるプログラムのインストールに使用される「kill.svc」という実行ファイルを用いて正当なアンチウイルスソフトを終了させるとのこと。なお、具体的にどのようなランサムウェアが使用されたのかは、今回発表されたレポートでは言及されていません。

前述の通り、mhyprot2.sysはPC版「原神」のアンチチートプログラムですが、「原神」をアンインストールしても削除できないことや権限のバイパスが可能なことなどからスパイウェアではないかと問題視された際に、原神運営チームが仕様を修正すると公式声明を発表したことがあります。

【重要】
PC版の原神を起動中にバックグラウンドで起動するアンチチートプログラム「mhyprot2」の機能についての詳細は以下よりご確認ください。

▼詳細https://t.co/MLwgNTotN6

#原神 #Genshin pic.twitter.com/dGxMNrL9NK— 原神（Genshin）公式 (@Genshin_7) September 28, 2020

今回Trend Microが発見したmhyprot2.sysは2020年8月、つまり「原神」が正式にリリースされる前にビルドされたものでした。「原神」のリリース直後から、mhyprot2.sysには問題があるとして概念実証が提供され、また別の概念実証の発見者によって「原神」の開発企業であるmiHoYoにも通報されていましたが、miHoYoはこの問題を脆弱(ぜいじゃく)性として認識せず、修正もしなかったとのこと。

Trend Microはmhyprot2.sysについて、「このモジュールは非常に簡単に入手することが可能で、消滅するまでは誰でも利用できるので、権限をバイパスするための便利なユーティリティとして、長い間使われ続けるおそれがあります。証明書の取り消しとアンチウイルスによる検出で悪用を阻止できる可能性がありますが、mhyprot2.sysは正当なモジュールであるため、現時点では解決策はありません」と述べました。