セキュリティ関連企業のトレンドマイクロは8月25日、HoYoverseが開発・運営するオープンワールドRPG『原神』のアンチチート構成ファイルが、ランサムウェアの攻撃者に悪用されていると報告した。
報告によるとトレンドマイクロは今年7月、あるランサムウェアの感染事例を解析。その結果、「mhyprot2.sys」というドライバによって、カーネルモードを通じてエンドポイント保護プロセスが強制終了されていたことが判明したとのこと。ランサムウェアとは、デバイス内のファイルを暗号化などして利用不可にし、復元することと引き換えに金銭を要求するマルウェアのこと。2020年にカプコンが、ランサムウェアによる被害を公表して話題になったこともある(関連記事)。
このmhyprot2.sysは、『原神』のアンチチート構成ファイルに含まれるデバイスドライバだそうだ。『原神』をはじめ多くのゲームのアンチチートシステムでは、より有効なチート対策をおこなうために、PC上で強力な権限をもつカーネルレベルで動作する。今回発見されたランサムウェアではその特徴を悪用し、被害者のPCの保護プロセスを停止させると共にアンチウイルスソフトも停止させ、ランサムウェアをインストールさせていたという。
なお、攻撃者はあくまでmhyprot2.sysを入手して悪用しているのであり、PCに『原神』がインストールされていなければ、このランサムウェアに感染しないというわけではないとのこと。逆に、『原神』をインストールしていると危険というわけでもない。
トレンドマイクロは、mhyprot2.sysはコード署名付きの正規のドライバであり、その入手のしやすさや汎用性などもあって、今後長期間にわたって悪用されるおそれがあると警告。このドライバはあらゆるマルウェアに組み込まれる可能性があるため、今後も調査を続けていくとした。一方で、現時点では解決策は存在しないとも報告。同社は企業のセキュリティ担当者に対し、mhyprot2.sysを示すハッシュ値を監視することを推奨している。詳細は同社公式サイトの投稿を確認してほしい。
