MicrosoftはWindowsの更新プログラムにより、デバイス上のブロックリストを更新しています。しかし、Ars Technicaによると、このブロックリストの更新が実際には機能していなかったため、Microsoftは約3年間にわたり悪意のあるドライバからWindows PCを適切に保護できていなかったとのことです。
https://gigazine.net/news/20221017-microsoft-driver-list-malware-attacks/
Windowsの更新プログラムを経由したブロックリスト更新が適切に機能していなかったことで、ユーザーは「BYOVD」と呼ばれる攻撃に対して脆弱になったり、脆弱なドライバをインストールできてしまったりしたと指摘されています。
ドライバはOSがプリンター・グラフィックカード・ウェブカメラなどの外部デバイスやハードウェアと通信するために使用するファイル。ドライバはデバイスのOSまたはカーネルコアにアクセスできるため、Microsoftはすべてのドライバ提供者に対して「ドライバがデジタル署名されていること」を要求しており、これをもってユーザーに「ドライバが安全に使用できること」を保証しています。しかし、デジタル署名された既存のドライバにセキュリティホールがある場合、ハッカーはこれを悪用してWindowsに直接アクセスできるようになってしまいます。
この脆弱性により、2022年8月にはハッカーがオーバークロックユーティリティである「MSI AfterBurner」のドライバに「BlackByte」と呼ばれるランサムウェアをインストールして配布するという事態が発生しました。また、基本プレイ無料の人気ゲーム「原神」にインストールされているアンチチートドライバの脆弱性を悪用するというケースも報告されています。さらに、北朝鮮のハッキンググループである「Lazarus」が、2021年にオランダの航空宇宙関連の従業員やベルギーの政治ジャーナリストに対して、BYOVD攻撃を仕掛けていたことがセキュリティ企業のESETにより報告されています。
