34633af0

1: 党員 2022/08/26(金) 21:59:06.48 ID:Rmd5kTTTd
Trend Microは24日(現地時間)、オンラインRPGゲーム「原神」の
アンチチート用ドライバがランサムウェアの展開に悪用されているとして、
情報を公開した。

7月末に、エンドポイント保護が適切に設定されたユーザーの環境において、
ランサムウェアに感染する事例が発生。同社が解析を行なったところ、
コード署名済みのドライバ「mhyprot2.sys」を特権回避に悪用し、
カーネルモードからエンドポイント保護プロセスをキルした上で、
ランサムウェアを実行。
ファイルの暗号化、身代金を要求する文書(ランサムノート)や大規模展開に向けた
ファイルの設置などを行なっていたという。

mhyprot2.sysは、デバイスドライバとして原神のアンチチート機能を提供しており、
コード署名は現在も有効。なお、悪用に際しては、攻撃対象のデバイス上に
原神がインストールされている必要はなく、mhyprot2.sys単体で利用できるとしている。

このアンチチートドライバについては、原神のリリース直後にも、
ゲーム本体をアンインストールしてもmhyprot2.sysが削除されない、
特権回避が可能であるといった報告がコミュニティであがっていた。
さらに、これを利用した攻撃に関する概念実証も行なわれ、
開発元のmiHoYoにも報告されていたが、脆弱性は認められないとして
修正が提供されていないという。

同社では、mhyprot2.sys自体が正規の署名済みドライバで入手しやすいこと、
特権回避の面で汎用性が高いこと、有用性の高い概念実証がすでに存在すること、
長期に渡って影響する恐れがあることなどから、あらゆるマルウェアに
組み込まれる可能性があるとして、注意喚起をしており、今後も調査を続けるという。

【凄い】「原神」、アクティブ5000万人超え!!

Impress
2022年8月26日 17:52
https://pc.watch.impress.co.jp/docs/news/1435071.html

8: 党員 2022/08/26(金) 22:13:26.04 ID:16mJBZQL0
>>1
実害があった例を出してくれよ
話はそれからだ

9: 党員 2022/08/26(金) 22:22:15.05 ID:5pkduHQ40
>>8
こういう害が予測されるものは実害ある前に対策して防ぐものなのでは?

13: 党員 2022/08/26(金) 22:41:42.19 ID:16mJBZQL0
>>9
リリース直後にも報告があったとある
でも問題は全く聞こえてこない

側から見たら杞憂で騒いでるだけ
だったら原神のコミュニティでだけでやってろと

いちいちゲハにもって来なくていいぞ
としか思えない

16: 党員 2022/08/26(金) 22:58:02.29 ID:Ea65y87m0
>>13
凄いな!
ゲームハード板なのに、持ってくるなとか
関係無い立て逃げスレでも聞かない言葉だw




24: 党員 2022/08/26(金) 23:52:56.28 ID:wVXrQhNz0
>>8
そういうもんが勝手に仕込まれてること自体が実害だろ

3: 党員 2022/08/26(金) 22:01:03.63 ID:cnIiPgSzd
所詮はスパイ企業

4: 党員 2022/08/26(金) 22:04:35.41 ID:Ea65y87m0
何か問題あるの?
最初に情報から何から収集しますの契約に承認してるんだが

6: 党員 2022/08/26(金) 22:08:36.54 ID:+eS5FayOd
>>4
よく読め
原神インストしたことない人にも関係あること

7: 党員 2022/08/26(金) 22:09:56.67 ID:s64pCHBp0
>>6
良く読め
原神遊ぶためにインストールされ
原神削除しても残るのが問題になってる

15: 党員 2022/08/26(金) 22:56:39.67 ID:OpYlKUpfx
お、立ったか

>>4
原神やってない人もやられるから規約に書いてあっても意味ないんだよなあ

10: 党員 2022/08/26(金) 22:27:42.93 ID:tAbwgCWl0
ガチャ自体ランサムウェアみたいなもんじゃん

11: 党員 2022/08/26(金) 22:33:48.20 ID:WXKe/R/6d
原神信者これどーすんの?

12: 党員 2022/08/26(金) 22:35:39.57 ID:s64pCHBp0
>>11
不正利用を防ぐために、悪用できるデバイスドライバを入れたという点で
ソニーがやらかしたルートキットみたいなもんだ

悪用する人が悪い、これ自体は許されるべき! くらい

14: 党員 2022/08/26(金) 22:50:22.34 ID:DvBdgNfe0
もうシナゲー遊ぶカスは内憂外患罪で死刑にするか国外追放しろや
日本にとってこのスパイ行為してるゴミカスどもは害悪でしかないわ

19: 党員 2022/08/26(金) 23:08:24.35 ID:fHfji3S70
こわ、チャイナにハッキングされるやん

27: 党員 2022/08/27(土) 00:05:07.39 ID:KgU179wo0
ネットでも萌えとかゲームになれば遊びに国は関係ない!って
言う層が結構いるんだよな

31: 党員 2022/08/27(土) 00:41:44.06
やっぱりなと思ったら予想の斜め上でやべえ…公害かよ

32: 党員 2022/08/27(土) 01:19:58.49 ID:+LQE3cRF0
簡単に言うと何が起こるの?

35: 党員 2022/08/27(土) 01:27:54.79 ID:ZjrcYgZxr
>>32
まずセキュリティホール広げてバックドア仕込む。
(原神自体がバックドア機能持ってる可能性も高い)
それからはやりたい放題
クレカや決済サービス含むお前のスマホの情報を全部抜き取ってシナに送ったり
お前のPCやスマホ経由で遠隔詐欺したり
戦争時にお前のスマホを踏み台に位置情報把握したり、何でもできるぞ

34: 党員 2022/08/27(土) 01:26:57.62 ID:WItgxWHQ0
中華企業のソフトウェアとか実害無くてもいつでも
マルウェアになり得るって認識でいないとやばい

36: 党員 2022/08/27(土) 01:37:25.31 ID:YY01Uekz0
PC版を追い込んでPS5に誘導か
汚いSONY汚い

41: 党員 2022/08/27(土) 05:37:13.41 ID:aJoSYKDm0
そもそもPC自体がセキュリティガバガバな
プラットフォームなことに気づけよ、アホども

44: 党員 2022/08/27(土) 05:46:23.26 ID:+LGoenSM0
そりゃそうだよな
2年前からずっとpcにウイルスが入ってたなんて否定したくなる気持ちもわかる

48: 党員 2022/08/27(土) 08:10:52.81 ID:s0rh7tn+0
原神のインストールに関係ない

というパターンだと

「ドライバをインストールできる管理者で何かをインストールした!」

というそっちのうかつが発生してることになる

53: 党員 2022/08/27(土) 10:28:24.15 ID:lSoJUZMUd


今原神のフォルダ見てみたら
mhyprot2.sysとmhyprot3.sysが入ってて
mhyprot2.sysは2021年12月、
mhyprot3.sysが2022年6月のファイルだな。
昔と違ってサービスとして存在してないっぽいが、
今のこのファイルが悪さをするわけではない。
攻撃者は古いmhyprot2.sysを使っている。

https://krsw.5ch.net/test/read.cgi/ghard/1661518746/

>なお、悪用に際しては、攻撃対象のデバイス上に
>原神がインストールされている必要はなく

ここポイントです
000450


とりあえず心当たりある方はセキュリティソフトなどで
対策しておきましょう

001262

タグ :
原神