Windows 11、古いカーネルドライバーを「信頼しない」時代へ
Windowsの最深部にある信頼の仕組みが、20年越しに書き換えられようとしている。4月のアップデートで何が変わるのか。
Windowsの最深部にある信頼の仕組みが、20年越しに書き換えられようとしている。4月のアップデートで何が変わるのか。
2000年代の「遺産」が消える日
Windows 11のカーネルが、古いドライバーを黙って受け入れる時代が終わろうとしている。
Microsoftは2026年3月26日、クロス署名ルートプログラムによって署名されたすべてのカーネルドライバーへの信頼を、デフォルトで無効化すると発表した。対象はWindows 11 24H2、25H2、26H1、およびWindows Server 2025。2026年4月のWindows Updateから、新しいカーネル信頼ポリシーが適用される。
この変更は単なるセキュリティパッチではない。Windowsのカーネルが「何を信頼するか」という根本的な判断基準を、四半世紀ぶりに引き直す決定だ。
クロス署名プログラムとは何だったのか
問題の核心を理解するには、少し歴史を遡る必要がある。
クロス署名ルートプログラムは2000年代初頭に導入された。サードパーティのドライバー開発者がWindowsカーネルで動作するドライバーに署名するための仕組みで、外部の認証局が証明書を発行していた。当時としては合理的な設計だったが、構造的な弱点を抱えていた。
Microsoftの公式ブログによれば、このプログラムは「パートナーの身元確認の程度にばらつきがあり、カーネルコードのセキュリティや互換性についてゼロの保証しかなかった」という。
秘密鍵の管理は開発者側に委ねられ、それが悪用や認証情報の窃取につながった。Microsoftは2021年にプログラムを廃止し、発行済み証明書もすべて期限切れとなっている。だが、失効した証明書で署名されたドライバーが、今日に至るまでカーネルに「信頼できるコード」として読み込まれ続けてきた。
つまり、鍵は壊れていたのに、ドアは開いたままだった。
攻撃者にとっての「金脈」
この穴を最も喜んだのは、セキュリティの研究者ではなく攻撃者だった。
BYOVD(Bring Your Own Vulnerable Driver)と呼ばれる攻撃手法が近年急増している。正規に署名された古いドライバーをターゲットのシステムに持ち込み、その脆弱性を突いてカーネルレベルのアクセスを得る手口だ。カーネルに到達すれば、EDR(エンドポイント検知・対応)を無効化し、ランサムウェアを展開する前にセキュリティの目を潰せる。
2026年2月にはHuntress社が、2010年に失効した証明書で署名されたEnCaseフォレンジックドライバーがBYOVD攻撃に悪用された事例を報告している。ESETの分析では、54種のEDRキラーツールのうち過半数がBYOVD手法を使い、35種の脆弱なドライバーを悪用していることが判明した。
署名が正規であるがゆえに、従来のセキュリティツールでは検知が困難だった。攻撃者は「Windowsの信頼モデルそのもの」を武器にしていたのだ。
Microsoftがようやくこのドアを閉じようとしている背景には、こうした現実がある。
「評価モード」という慎重さ
とはいえ、Microsoftは一夜にして全員を締め出すわけではない。
新しいカーネル信頼ポリシーは、まず「評価モード」で展開される。Windows 11では100時間の稼働と3回の再起動を経て、その間に読み込まれたすべてのドライバーが新ポリシーに適合していた場合にのみ、ポリシーが有効化される。不適合のドライバーが検出された場合、評価期間はリセットされ、ポリシーは適用されない。
互換性への配慮も見える。Microsoftは過去2年間の「数十億のドライバー読み込みデータ」に基づいて、広く使われている信頼性の高いクロス署名ドライバーの許可リストを維持するとしている。完全な遮断ではなく、段階的な移行だ。
企業向けにはApplication Control for Business(旧WDAC)を通じて、カスタムドライバーの読み込みを許可する方法も用意されている。ただし、そのポリシーはSecure BootのPlatform KeyまたはKey Exchange Keyで署名される必要があり、気軽に使える抜け道ではない。
誰が困るのか
セキュリティの観点では、この変更は長年待ち望まれていたものだ。だが「困る人」が存在しないわけではない。
古いプリンタードライバー、特殊な業務用ハードウェア、ニッチな周辺機器。WHCP認証を通していないドライバーに依存しているシステムは、ある日突然「このドライバーはブロックされました」という通知を受け取る可能性がある。
評価モードが正しく機能すれば、突然のブロックは避けられる設計になっている。だが、頻繁に使わないデバイスのドライバーが評価期間中に読み込まれず、後から問題が発覚するケースは十分に想定できる。
ベンダーが対応を終了した製品、ドライバーの更新が見込めないレガシー機器。これらを抱えるユーザーにとって、「セキュリティか互換性か」の選択は、どちらを選んでも痛みを伴う。
Windowsカーネルの「成人」
AppleはmacOSで以前から厳格なコード署名を要求してきた。Linuxでもカーネルモジュールの署名検証は一般的だ。Windowsが同様の方向に舵を切ること自体は、プラットフォームのセキュリティモデルとしては自然な成熟の過程と言える。
ただ、Windowsには他のOSにない重荷がある。膨大なレガシーデバイスとソフトウェアの互換性を、数十年にわたって維持してきた歴史だ。その「何でも動く」という美徳が、セキュリティ上の負債にもなっていた。
今回の変更は、Microsoftがその負債の一部を返済し始めたことを意味する。CrowdStrikeの大規模障害を経験し、Secure Future Initiativeを掲げた同社にとって、カーネルの信頼境界を引き締めることは避けて通れない道だった。
問題は、返済のペースだ。評価モードという「猶予期間」が十分に機能するかどうかは、4月以降の現実世界でしか検証できない。Windowsのカーネルが「大人になる」過程で、古い機器を抱えたユーザーが置き去りにされないことを、願うしかない。
参照元
#Windows11 #Microsoft #カーネルセキュリティ #WHCP #ドライバー署名 #BYOVD #WindowsUpdate #クロス署名 #セキュリティ
