Neowinは2月21日(現地時間)、「This Windows security feature blocks dangerous drivers before they strike - Neowin」において、Windowsに標準搭載されているセキュリティ機能「脆弱なドライバーブロックリスト(Vulnerable Driver Blocklist)」を解説した。

仕組みの概要を示し、システムを脅かす不正ドライバー対策として重要な役割を担っていることを明らかにしている。

脆弱なドライバーブロックリストの役割

Windowsは世界中の企業が開発した周辺機器と接続し、多種多様なデータを処理するように設計されている。周辺機器は標準規格に則って設計された製品もあれば、独自の仕様で制御する製品も存在する。

これら製品の接続および利用を可能にするために、Windowsにはドライバーと呼ばれる特殊なソフトウェアが存在する。一般的にドライバーはカーネルモードで動作し、ハードウェアとシステムまたはアプリケーション間のデータの受け渡しを支援する。

標準規格のドライバーの多くはMicrosoftによって提供されているが、独自の仕様で制御する製品のドライバーは各独立系ハードウェアベンダー(IHV: Independent Hardware Vendor)が開発している。そのため、ドライバーの品質は一定ではなく、重大な脆弱性を含むことがある。

このような脆弱性の修正はドライバーを開発した企業のみ行うことができるが、サポート終了(EOL: End of Life)に達した場合や企業の倒産などで修正されないままになるケースがある。このようなドライバーは脅威アクターの攻撃材料として使用されることがあり、セキュリティの無効化や不正な権限の昇格に悪用される事案が後を絶たない。

こうした背景から、Microsoftは2022年のWindows 11アップデート以降、脆弱性を含むドライバーを拒否する仕組みをデフォルトで有効化した。この仕組みが「脆弱なドライバーブロックリスト」と呼ばれるもので、要件を満たす脆弱なドライバーが登録されている。

脆弱なドライバーは次の手順に従って登録される。

  • ドライバーの脆弱性がMicrosoftに報告される
  • 報告を受けたMicrosoftはベンダーと協力し、セキュリティリスクと互換性および信頼性への影響を調査する
  • リスクと影響のバランスを勘案し、適宜ブロックリストに登録する

これは問題のあるドライバーをすべてブロックするとは限らないことを意味する。理由はユーザーへの影響がセキュリティリスクを上回らないようにするためで、代替製品に切り替える時間の確保およびブラックスクリーン(BSoD: Black Screen of Death)の発生を抑制する目的があるとされている。

デフォルトで機能は有効、特別な操作は必要ない

脆弱なドライバーブロックリストはWindowsのメジャーリリースごとに更新されるため、通常は年1回または2回の更新に限られる。最新のブロックリストは、Windows Updateからオプションの更新プログラムとして配信されることもある。

企業向けの最新ブロックリスト(XMLポリシーファイル)のダウンロードおよび注意事項については「Microsoft recommended driver block rules | Microsoft Learn」から確認することができる。

通常のWindows環境において本機能はデフォルトで有効になっており、ユーザーが特別な操作を行う必要はない。触れる機会の少ない仕組みではあるが、OSの安全性を支える基盤として機能し続けている。