注
App Control for Business の一部の機能は、特定の Windows バージョンでのみ使用できます。 アプリ制御機能の可用性について詳しくは、こちらをご覧ください。
Microsoft には、カーネルで実行されるコードに関する厳格な要件があります。 そのため、悪意のあるアクターは、カーネルでマルウェアを実行するために、正当で署名されたカーネル ドライバーの脆弱性を悪用しています。 Windows プラットフォームの多くの強みの 1 つは、独立系ハードウェア ベンダー (IHV) や OEM との強力なコラボレーションです。 Microsoft は、お客様にとって最高レベルのドライバー セキュリティを確保するために、IHV とセキュリティ コミュニティと緊密に連携しています。 ドライバーの脆弱性が見つかった場合は、パートナーと協力して、迅速にパッチが適用され、エコシステムにロールアウトされるようにします。 脆弱なドライバー ブロックリストは、次のいずれかの属性を使用して、Windows エコシステム全体で Microsoft 開発以外のドライバーに対するシステムを強化するために設計されています。
- 攻撃者が悪用して Windows カーネルの特権を昇格させる可能性がある既知のセキュリティ脆弱性
- マルウェアの署名に使用される悪意のある動作 (マルウェア) または証明書
- 悪意のないが、Windows セキュリティ モデルを回避し、攻撃者が悪用して Windows カーネルの特権を昇格させる可能性がある動作
ドライバーは、Microsoft セキュリティ インテリジェンスドライバーの提出ページでセキュリティ分析のために Microsoft に送信できます。 ドライバーの提出の詳細については、「 新しい Microsoft 脆弱で悪意のあるドライバー レポート センターを使用してカーネルのセキュリティを強化する」を参照してください。 固定バージョンのドライバーが使用可能になったらブロック ルールを更新するなど、問題を報告したり、ブロックリストに変更を要求したりするには、Microsoft セキュリティ インテリジェンス ポータルにアクセスします。
注
ドライバーをブロックすると、デバイスやソフトウェアが誤動作し、まれにブルー スクリーンが発生する可能性があります。 脆弱なドライバー ブロックリストは、脆弱性が見つかったすべてのドライバーをブロックするとは限りません。 ブロックリストを作成すると、Microsoft は、脆弱なドライバーからのセキュリティ リスクと互換性と信頼性への潜在的な影響とのバランスを取ろうとします。 この記事および関連するダウンロード可能なファイルに含まれるブロックリストには、通常、OS のバージョンよりも脆弱な既知のドライバーの完全なセットが含まれており、Windows Updateによって配信されます。 多くの場合、ユーザーがパッチを適用されたバージョンに更新するパートナーと連携している間、既存の機能を壊さないように、いくつかのブロックを保留する必要があります。 常に、可能な限りセキュリティに対して明示的な許可リスト アプローチを使用することをお勧めしますが、それが実現できない場合、このブロックリストを使用することは、悪意のあるアクターを中断するための重要なツールです。
Microsoft の脆弱なドライバー ブロックリスト
Windows 11 2022 更新プログラム以降、脆弱なドライバー ブロックリストはすべてのデバイスに対して既定で有効になっており、Windows セキュリティ アプリを使用してオンまたはオフにすることができます。 Windows Server 2016を除き、脆弱なドライバー ブロックリストは、ハイパーバイザーで保護されたコード整合性 (HVCI)、スマート アプリ制御、または S モードとも呼ばれるメモリ整合性がアクティブな場合にも適用されます。 ユーザーはWindows セキュリティ アプリを使用して HVCI にオプトインでき、ほとんどの新しいWindows 11 デバイスでは HVCI が既定でオンになっています。
ブロックリストは四半期ごとに更新されます。 さらに、ブロックリストの更新プログラムは、お客様を保護するための標準サービス プロセスの一環として、毎月の Windows 更新プログラムを通じて配信されます。
常に最新のドライバー ブロックリストを必要とするお客様は、App Control for Business を使用して、この記事に含まれる最新の推奨ドライバー ブロックリストを適用することもできます。 便宜上、最新の脆弱なドライバー ブロックリストのダウンロードと、この記事の最後にコンピューターに適用する手順を提供します。
アプリ コントロールを使用して脆弱なドライバーをブロックする
Microsoft では、 HVCI または S モードを有効にして、デバイスをセキュリティ上の脅威から保護することをお勧めします。 この設定が不可能な場合は、既存の App Control for Business ポリシー内 のドライバーの一覧 をブロックすることをお勧めします。 十分なテストを行わずにカーネル ドライバーをブロックすると、デバイスやソフトウェアが誤動作し、まれにブルー スクリーンが発生する可能性があります。 適用されるバージョンをデプロイする前に、最初に 監査モード でこのポリシーを検証し、監査ブロック イベントを確認する必要があります。
重要
Microsoft では、脆弱性のある署名付きドライバーをディスクに書き込むのを防ぐために、攻撃対象の署名 付きドライバーの悪用をブロック する (ASR) ルールを有効にすることもお勧めします。 ASR 規則では、システム上に既に存在するドライバーの読み込みはブロックされませんが、 Microsoft の脆弱なドライバー ブロックリスト を有効にするか、このアプリ制御ポリシーを適用すると、既存のドライバーの読み込みが妨けられます。
脆弱なドライバー ブロックリスト バイナリをダウンロードして適用する手順
脆弱なドライバー ブロックリストを適用する場合は、次の手順に従います。
- アプリ制御ポリシー更新ツールをダウンロードする
- 脆弱なドライバー ブロックリスト バイナリをダウンロードして抽出する
- 監査のみのバージョンまたは適用されるバージョンを選択し、ファイルの名前を SiPolicy.p7b に変更します
- SiPolicy.p7b を %windir%\system32\CodeIntegrity にコピーする
- 上記の手順 1 でダウンロードしたアプリ制御ポリシー更新ツールを実行して、コンピューター上のすべてのアプリコントロール ポリシーをアクティブ化して更新します
ポリシーがコンピューターに正常に適用されたことをチェックするには:
- イベント ビューアーを開きます。
- アプリケーションとサービス ログの参照 - Microsoft - Windows - CodeIntegrity - Operational
- [ 現在のログのフィルター] を選択します。..
- "<すべてのイベント ID>" を "3099" に置き換え、[OK] を選択します。
- PolicyNameBuffer と PolicyIdBuffer が、この記事のブロックリスト アプリ制御ポリシー XML にある PolicyInfo 設定の名前と ID と一致する 3099 イベントが見つかります。 注: 他のアプリ制御ポリシーが存在する場合、コンピューターに複数の 3099 イベントが存在する可能性があります。
注
ポリシーがブロックする脆弱なドライバーが既に実行されている場合は、それらのドライバーがブロックされるようにコンピューターを再起動する必要があります。 再起動せずに新しいアプリ制御ポリシーをアクティブ化しても、実行中のプロセスは停止しません。
脆弱なドライバー ブロックリスト XML
推奨されるブロックリスト xml ポリシー ファイルは、 Microsoft ダウンロード センターからダウンロードできます。
このポリシーには、[ すべて許可] ルールが含まれています。 お使いのバージョンの Windows で App Control の複数のポリシーがサポートされている場合は、既存のアプリコントロール ポリシーと共にこのポリシーを展開することをお勧めします。 このポリシーを別のポリシーとマージする予定がある場合は、他のポリシーで明示的な許可リストが適用されている場合は、マージする前に [ すべて許可 ] ルールを削除します。 詳細については、「 アプリコントロール拒否ポリシーを作成する」を参照してください。
注
Windows Server 2016でこのポリシーを使用するには、新しいオペレーティング システムを実行しているデバイスでポリシー XML を変換する必要があります。 この記事で前に説明した Microsoft ダウンロード センター リンクで使用できるポリシーには、Windows Server 2016のバージョンも含まれています。