Windowsのセキュリティソフト「Microsoft Defender」が、RazerやSteelSeriesのファン制御ソフトなど一部のハードウェア監視アプリをマルウェアと認識し、隔離する事態が発生している。当初は誤検出と見られていたが、問題となったドライバー「WinRing0x64.sys」には2020年から知られる脆弱性があり、悪用の可能性が指摘されている。

Razerは2月に修正パッチを提供したが、他のソフトは依然として影響を受けている。ユーザーはセキュリティを優先し利用を控えるか、機能性を維持するため警告を無視するかの選択を迫られる状況だ。技術的な修正は困難とされ、公式対応が行われる可能性は低いと考えられる。

Windows Defenderが隔離した監視アプリ 脆弱性の実態とは

Microsoft Defenderが検出した「HackTool:Win32/Winring0」の警告は、ハードウェア監視アプリが利用する「WinRing0x64.sys」ドライバーを指している。このドライバーはハードウェアと直接通信するために使用されるが、2020年にCVE-2020-14979として登録された既知の脆弱性を抱えている。これは本来の機能を悪用されると、権限昇格やシステム改ざんにつながるリスクを持つ。

特にRazerやSteelSeriesのような大手メーカーのソフトウェアが影響を受けたことは注目に値する。Razerは2024年2月にSynapseのコードから当該ドライバーを削除するパッチを提供したが、他のアプリでは修正が進んでいない。FanControlの開発者は、ドライバーの脆弱性を認識しつつも修正されていないことをGitHubで言及し、ユーザーに警戒を促している。

この問題が表面化したのは最近だが、NVDで脆弱性が追跡され始めてからすでに約5年が経過している。この期間に修正が行われなかった背景には、開発者のリソース不足や根本的な技術的課題があると考えられる。Microsoftが今になって対応を強化した理由は明確ではないが、Windowsのセキュリティ対策が強化される一方で、長年放置されていた問題が顕在化した可能性もある。

ユーザーの選択肢と今後の展望

この事態を受け、影響を受けたアプリのユーザーは難しい選択を迫られている。第一の選択肢は、Microsoft Defenderの警告を無視し、従来通りアプリを使用し続けることだ。だが、これは脆弱性を抱えたドライバーをシステムに残すことを意味し、セキュリティリスクが伴う。もう一つの選択肢は、対象アプリの使用を完全に停止するか、代替ソフトを探すことである。ただし、同等の機能を提供するソフトの多くも同じ問題を抱えている可能性がある。

Razerのように脆弱なドライバーの削除を進めた企業もあるが、すべてのメーカーが迅速に対応できるわけではない。特にオープンソースのソフトウェアでは、開発者の負担が大きく、脆弱性の修正が後回しにされるケースも少なくない。FanControlの開発者が述べているように、脆弱性が存在するからといって即座に悪用されるわけではないが、将来的に攻撃者に利用されるリスクは排除できない。

この状況が示唆するのは、機能性とセキュリティのバランスの問題である。利便性を重視するか、安全性を優先するか、ユーザーごとに判断が分かれるだろう。しかし、Microsoftがこれを放置せず検出対象としたことから、今後は他のセキュリティソフトも同様の対応を取る可能性がある。企業や開発者は、既存のソフトウェアに潜むリスクを再評価し、必要な対応を取ることが求められる。

Source:XDA