Safetica Technologies 社のカーネルドライバーにおける任意のプロセスが停止可能となる脆弱性(Scan Tech Report) | ScanNetSecurity
2026.07.13(月)

Safetica Technologies 社のカーネルドライバーにおける任意のプロセスが停止可能となる脆弱性(Scan Tech Report)

2026 年 2 月に、Safetica Technologies 社のカーネルドライバーに存在する脆弱性を悪用するエクスプロイトコードが公開されています。

脆弱性と脅威 エクスプロイト
https://safetica.com/
https://safetica.com/ 全 1 枚 拡大写真
◆概要
 2026 年 2 月に、Safetica Technologies 社のカーネルドライバーに存在する脆弱性を悪用するエクスプロイトコードが公開されています。脆弱性の悪用により、攻撃者はセキュリティ対策製品のプロセスの停止が可能となります。ドライバーの禁止リストへの登録により対策してください。

◆分析者コメント
 近年、ユーザーモードでは停止が困難なセキュリティ対策製品のプロセスを停止させるために、管理者権限の奪取に成功した侵入した端末に脆弱性が含まれる署名付きカーネルドライバーをインストールして悪用する LOLDriver という手法が攻撃者達の間で流行しています。脆弱性として認定されているのはバージョン 10.5.75.0 および 11.11.4.0 ですが、更新版の 11.26.18 では一般権限アカウントからの機能の利用を制限することで対策されているため、管理者権限アカウントであれば同様の攻撃に悪用できます。よって、脆弱性に対策されたバージョンの利用を禁止するだけでは軽減策は不十分であり、当該機能の悪用に対策するには更新版のバージョンの利用も禁止する必要があります。

◆深刻度(CVSS)
 CVE-2026-0828 が採番されていますが、本記事の執筆時点で CVSS 値の情報は確認できていません。

◆影響を受けるソフトウェア
 ProcessMonitorDriver.sys のバージョン 10.5.75.0 および 11.11.4.0 に当該脆弱性が存在すると報告されています。

◆解説
 Safetica Technologies 社のセキュリティ対策製品に用いられているカーネルドライバーに任意のプロセス停止の機能が確認されています。

 脆弱なカーネルドライバーのファイル名は ProcessMonitorDriver.sys です。当該カーネルドライバーには、カーネルモードで任意のプロセスを停止する機能が実装されているため、攻撃者は当該カーネルドライバーに命令を送信し、ユーザーモードからの停止が困難な EDR などのセキュリティ対策製品のプロセスを停止し、侵入した端末の侵害を有利に進められます。

◆対策
 Microsoft 公式サイトの以下のページを参考に、当該機能が実装されているカーネルドライバーのインストールを禁止してください。

  Microsoft Learn - Microsoft recommended driver block rules
  https://learn.microsoft.com/en-us/windows/security/application-security/application-control/app-control-for-business/design/microsoft-recommended-driver-block-rules

 機能の実装が確認されているカーネルドライバーのうち、ハッシュ値の情報が確認されているものは以下の通りです。

* バージョン 11.11.4.0
  * MD5 - 485a04675df7cf40a8865706e003eb25
  * SHA1 - 711ef221526997039e804a18db9647c91680bbe2
  * SHA256 - 70bcec00c215fe52779700f74e9bd669ff836f594df92381cbfb7ee0568e7a8b

* バージョン 11.26.18
  * MD5 - 5761bd63da03686fc480245da7bd1e9f
  * SHA1 - 68fec379f2ae76c3d2ce913f7be650cea1d06990
  * SHA256 - 5b4f59236a9b950bcd5191b35d19125f60cfb9e1a1e1aa2e4f914b6745dde9df

◆関連情報
[1] GitHub - magicsword-io/LOLDrivers
  https://github.com/magicsword-io/LOLDrivers/commit/eea8326bf891d810902203e9ac5cfdeaf5a17a1c
[2] Software Engineering Institute CERT Coordination Center
  https://kb.cert.org/vuls/id/818729

◆エクスプロイト
 以下の Web サイトにて、当該脆弱性を悪用して、任意のプロセスの停止を試みるエクスプロイトコードが公開されています。

  GitHub - ANYLNK/STProcessMonitorBYOVD
  https://github.com/ANYLNK/STProcessMonitorBYOVD/tree/master/STProcessMonitorBYOVD

//-- で始まる行は執筆者によるコメントです。

《株式会社ラック デジタルペンテスト部》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 京都芸術大学がパソコン・ソフトウェアの斡旋販売で利用している加賀ソルネット運営の「アカデミコナビ」に不正アクセス

    京都芸術大学がパソコン・ソフトウェアの斡旋販売で利用している加賀ソルネット運営の「アカデミコナビ」に不正アクセス

  2. テレビ朝日メディアプレックスに不正アクセス

    テレビ朝日メディアプレックスに不正アクセス

  3. マネーフォワードが利用する「GitHub」への不正アクセス、流出した可能性が判明した個人データの詳細公表

    マネーフォワードが利用する「GitHub」への不正アクセス、流出した可能性が判明した個人データの詳細公表

  4. 中部テレコミュニケーションの顧客 727,176 名分のメールアドレスが漏えい ~ KDDI の ISP 事業者向けメールシステムへの不正アクセス

    中部テレコミュニケーションの顧客 727,176 名分のメールアドレスが漏えい ~ KDDI の ISP 事業者向けメールシステムへの不正アクセス

  5. KDDI の ISP 事業者向けメールシステムに不正アクセス、ゼロデイ脆弱性を悪用

    KDDI の ISP 事業者向けメールシステムに不正アクセス、ゼロデイ脆弱性を悪用

ランキングをもっと見る
PageTop