- WinRing0は、多くのハードウェア監視・制御アプリで使用される脆弱なドライバであり、典型的なウイルスではありません。
- Microsoft Defenderは、カーネルの奥深くまでアクセスできる能力とマルウェア悪用の可能性があるため、これを脅威として警告しています。
- ユーザーは、影響を受けるアプリを更新または置き換えるか、Defenderで除外設定を追加するかを自己責任で選択できます。
- 業界はより安全で署名付きのドライバーへと移行しつつあるものの、特にオープンプロジェクトにおいては、その移行は複雑である。
Windows 10 または Windows 11 を使用している場合、突然 Microsoft Defender の警告が表示され、 HackTool:Win32/WinRing0 または VulnerableDriver:WinNT/Winring0.Gパソコンに深刻なトロイの木馬が感染したのではないかと不安になるのは当然です。さらに悪いことに、監視ツール、ファン、RGB照明などが突然動作しなくなる可能性もあります。
まず知っておくべきことは、ほとんどの場合、 これは、ファイルを感染させたりディスクを暗号化したりするような典型的なウイルスではありません。むしろ、これは既知の脆弱性を持つドライバーであり、Windowsが積極的にブロックしているものです。だからといって完全に無害というわけではありませんが、対処方法や、有効にしておく価値があるかどうかを判断する方法が大きく変わってきます。
WinRing0とは何ですか?また、なぜWindows Defenderはこれを脅威として検出するのですか?
WinRing0は 低レベルハードウェアアクセスコントローラ これは長年にわたり、数多くのPC監視・制御アプリケーションで使用されてきました。これは、プログラムがWindowsカーネルや特定のマザーボードコンポーネントとほぼ直接通信できるようにするライブラリ/ドライバであり、通常の保護レイヤーの多くをバイパスすることができます。
その深いアクセスのおかげで、 WinRing0はサードパーティ製アプリケーションの間で非常に人気が高まっている。 センサーの読み取り、ファン速度の管理、RGB照明の制御、システムパラメータの微調整などを行う必要がある。このようなハードウェアとの密接な連携を可能にする、数少ない無料のオープンソースソフトウェアの一つだ。
問題は、2020年にWinRing0ドライバーが次のようにリストされていたことです。 セキュリティ脆弱性 CVE-2020-14979この脆弱性により、ドライバがシステムにロードされると、管理者権限を持たないアプリケーションでも、システムメモリの保護された領域への読み取りまたは書き込みの許可を要求できるようになり、権限昇格や重要なプロセスの不正操作につながる可能性があります。
このため、マイクロソフトは 署名されていない、または安全でないWinRing0ドライバーはDefenderで警告されます 潜在的に危険なソフトウェアとして、Hacktool:Win32/Winring0 や VulnerableDriver:WinNT/Winring0.G などの検出結果とともに表示されます。技術的な観点から見ると、この検出は正当です。このドライバには実際の脆弱性があり、マルウェアによって悪用される可能性があります。
それは、あなたのWinRing0のコピーがウイルスであるという意味ではなく、 マルウェアが悪用できる機能を備えている。そのため混乱が生じる。正規の運転手と、その名前を隠れ蓑にして人目を避ける悪質な人物の両方が同じ名前を使用しているからだ。
WinRing0に依存するアプリケーションとツール
この問題がこれほど騒ぎになっている理由の一つは、 多くの人気アプリケーションはWinRing0に依存している 正しく機能させるため。Microsoft Defender のポリシーが厳格化されたことで、ユーザーの PC 上で検出、ブロック、および奇妙な動作が発生するようになりました。
最も影響を受けたツールの中には、多数のハードウェア監視プログラム、ゲーム、RGBまたはファン管理ユーティリティが含まれます。さまざまなレポートや証言では、たとえば、 CapFrameX、EVGA Precision X1(旧バージョン)、FanCtrl、HWiNFO、Libre Hardware Monitor、MSI Afterburner、Open Hardware Monitor、OpenRGB、OmenMon、Panorama9、SteelSeries Engine、またはZenTimings、とりわけ。
また、いくつか メーカースイート WinRing0は、過去に周辺機器やゲーム機器の管理に使用されていました。フォーラムで見られる実際の例としては、ユーザーがバックグラウンドで実行されているRazer Synapseアプリにドライバーを統合し、ファイルが常に「使用中」とマークされていたため、Windows Defenderが直接削除できなかったというケースがあります。
別のシナリオでは、別のユーザーがWinRing0は アクセシビリティアプリケーションに不可欠 彼は目の健康上の理由から、一時的にディザリングを無効にする必要がありました。そのドライバーがないと、文字通りノートパソコンが使えず、Defenderはそれを削除またはブロックしてしまい、簡単に復元するオプションも提供してくれませんでした。
これらすべてが原因で、Defender 定義の更新後に突然、 多くのユーザーが、お気に入りのツールが起動しなくなったことに気づいています。ファンが制御不能なほど最大速度で回転し始めたり、RGB照明の設定が狂ったりするのは、これらすべてを制御する中央ドライバーが隔離されたためです。
真のセキュリティリスク:脆弱性とウイルス
概念をうまく分離しておくと便利です。 WinRing0はランサムウェアでも典型的なバンキング型トロイの木馬でもありません。しかし、これは脆弱なコントローラーであり、マルウェアによって悪用され、本来許される以上に容易にシステムを制御されてしまう可能性がある。
システムにロードされると、WinRing0は 保護されたリソースへの無制限のアクセスこれにより、あらゆるプロセスが、他のプロセス、秘密情報、一時パスワード、さらにはWindowsカーネルの内部構造が存在する領域など、重要なメモリアドレスへの読み書きをドライバーに指示できるようになります。
セキュリティの観点から見ると、これは特に心配なことです。 これは、Windowsを保護する基本的な障壁の1つを破るものです。ユーザー空間とカーネル空間の分離。WinRing0を悪用するエクスプロイトは、オペレーティングシステム自体を危険にさらすことなく、多くの標準的な防御策を回避できる。
そのため、Microsoft は署名されていないバージョンまたは脆弱なバージョンの WinRing0 を次のように扱うことを選択しました。 「ハッキングツール」または危険なドライバー同様の理由から、多くの専門家は可能な限りそれを避けること、あるいは少なくとも実験室の機械やリスクが想定される環境など、非常に限定的で管理された状況に限定することを推奨している。
しかし、DefenderがWinRing0をマークしているという事実は、自動的に パスワードが盗まれたか、キーロガーがインストールされたか、ファイルが暗号化された可能性があります。ほとんどの場合、検出が発生するのは、既にインストールされている正規のアプリケーションがそのドライバーを使用しているためであり、変更されたのはマイクロソフトの基準であって、ユーザーの行動ではありません。
Windowsがなぜ今これをブロックしているのか、そしてCrowdStrikeはこれとどのような関係があるのか?
WinRing0が何年も脆弱な状態にあるのに、なぜ ディフェンダーが今、非常に積極的にブロックし始めた決定的な公式回答は一つもないが、状況を理解するのに役立つ手がかりはいくつかある。
一方で、マイクロソフトは カーネルドライバのセキュリティポリシーセキュリティアップデートの問題により世界中のシステムがオフラインになったCrowdStrikeの侵害事件のような、大きな影響を及ぼす事件を受けて、そのような高度な権限で実行できるソフトウェアの種類を制限するよう求める声が高まっている。
さらに、マイクロソフトはここ数年、 カーネルにアクセスするドライバはデジタル署名されている 特定のカーネル署名証明書を介して行われます。この証明書を取得するには、認知された企業であることに加え、署名費用を支払う必要があり、その費用は継続的に発生します。これは大企業にとっては管理しやすいものの、多くのオープンソースプロジェクトにとっては複雑な問題となります。
WinRing0は、 オープンソースで広く利用されているパッチや改良は適用されてきたものの、Windowsが信頼できると判断するためには、各新バージョンが審査され、署名される必要がある。複数の開発者によると、近年は何度かパッチが適用されてきたが、Microsoftが新バージョンの署名を停止したり、ドライバーの根本的な設計思想が危険すぎると判断したりすれば、状況は維持不可能になるという。
実際、マイクロソフト自身も認めている ゲームアプリケーションと監視に関するレポートを認識している WinRing0の未署名バージョンを使用しているため、脅威としてフラグが立てられました。調査は継続中であるとしながらも、Defenderは未署名ドライバーを引き続き脅威として扱い、誤検出を避けるために検出ロジックを見直しているが、長期的な保護は放棄しないと明言しています。
ユーザーへの影響:ファンが異常に熱くなる、RGB照明が壊れる、アプリが起動しない
一般ユーザーにとって最も目に見える効果は、一夜にして、 多くのハードウェア制御ツールが動作しなくなるDefenderはWinRing0を検出し、隔離または削除することで、これらのプログラムの中核部分の一部を停止させます。
システムによっては、WinRing0 が消えるとすぐにファンが切り替わり、 調整なしで最大速度で回転原因としては、それらを管理していたアプリケーションがセンサーやマザーボードコントローラーと通信できなくなることが挙げられます。その他のケースでは、RGBライティングがフリーズしたり、設定が解除されたり、影響を受けたアプリケーションが起動直後に終了したりします。
VulnerableDriver:WinNT/Winring0.G や Hacktool:Win32/WinRing0 といった不安を煽るような名前の Defender 警告を見たユーザーが、 彼のパソコンは、非常に高度なトロイの木馬に感染していた。リモートアクセスやキーロガーなどの悪夢を恐れて、Windowsを最初から再インストールすることを検討した人もいる。
フォーラムで報告された事例では、ユーザーがRazerソフトウェアにリンクされたファイルで検出結果を確認し、削除しようとしたところ、Windowsが「別のプログラムで使用中」であるとして削除を阻止しました。Defenderは繰り返し削除を試みましたが、成功しませんでした。 タスクマネージャーから関連プロセスを手動で終了しました。ウイルス対策ソフトがファイルを削除してくれたおかげで、問題は解消した。
別の証言では、明らかにリモートアクセスがブロックされた後、ユーザーがWinRing0の検出に遭遇し、高度なトロイの木馬に感染したと思ったという。 彼はコンピューターをセーフモードで起動し、フルスキャンを実行した。彼らはシステムをフォーマットすることさえ真剣に検討した。このような場合、常に慎重を期すべきではあるが、実際の原因が有名なツールのドライバーにあるのであれば、そこまで極端な手段を取る必要は必ずしもなかったはずだ。
プログラムの継続利用に関する選択肢:除外事項と代替案
影響を受けるアプリケーション(例えば、高度な監視ツール、ファンコントローラー、RGBソフトウェア、あるいは重要なアクセシビリティアプリなど)がどうしても必要な場合は、いくつかの選択肢がありますが、それぞれに特有の影響があります。 完璧な解決策はないしかし、リスクと快適さのバランスの取り方はそれぞれ異なる。
最初のオプションは アプリケーション自体のアップデートを確認してください一部の開発者は、WinRing0を廃止したり、独自のドライバや別のドライバに置き換えたりする新しいバージョンをリリースし始めているが、多くの場合、これには数ヶ月の作業とかなりの費用がかかる。
例えば、SignalRGBは次のように説明しました。 彼らは2023年にWinRing0の使用を中止した。 彼らが独自のSMBusコントローラを開発したのは、脆弱性があったり、他のソフトウェアバージョンと競合したりする可能性のあるシステムレベルのドライバに依存しないためだった。彼ら自身も、その開発プロセスは困難で、多大なエンジニアリングリソースを必要としたと認めている。
他の可能性は 代替ツールに切り替える もはやWinRing0に依存しないハードウェア監視および管理ユーティリティも存在します。これらのユーティリティは、新しいカーネル署名要件に対応し、他のドライバに移行していますが、その過程で高度な機能の一部が失われる場合もあります。
第三に、多くの注意点があるものの、一部の開発者やユーザーは、 Microsoft Defenderで除外設定を追加する WinRing0 が引き続き機能するようにするには、このオプションを選択します。このオプションは、脆弱なドライバをシステム上に残すリスクを伴うため、特に機密情報を扱うコンピュータや、インターネットに常時接続されているコンピュータでは、慎重に検討する必要があります。
Microsoft DefenderでWinRing0の除外設定を追加する方法(自己責任で行ってください)
詳細に入る前に、マイクロソフトが公式に述べていることを強調しておくことが重要です。 セキュリティを低下させたり、保護機能を無効にしたりする変更は、慎重に評価されるべきである。これらの対策は特定の問題に対する一時的な解決策としては有効かもしれないが、常に新たなリスクを伴う。
WinRing0を使用するアプリケーションがどうしても必要な場合(たとえば、過熱するコンピュータのファンを制御するため、またはアクセシビリティ要件のため)、続行することにした場合は、 Microsoft Defenderウイルス対策で除外項目を追加する それによって、関連するファイルやフォルダのブロックが解除されます。
Windows 10およびWindows 11における一般的な手順は以下のとおりです。
- アプリを開く Windowsセキュリティ 「スタート」>「設定」>「更新とセキュリティ」>「Windows セキュリティ」から、またはスタートメニューで検索して設定できます。
- メインパネルで、次のセクションを入力します。 ウイルスと脅威に対する保護.
- ウイルスと脅威の保護設定セクションで、 設定を管理する.
- ブロックに到達するまでスクロールしてください 除外 「除外項目の追加または削除」を選択します。
- クリックしてください 除外を追加する 次に、特定のファイル、フォルダ全体、またはプロセスを除外するかどうかを選択します。続いて、WinRing0に関連する項目、または影響を受けるアプリケーションを選択します。
その瞬間から、ディフェンダー 分析とブロックを停止します 除外リストに追加したものを除外します。これにより、ハードウェアツールの運用上の問題を解決できる場合もありますが、セキュリティ上の盲点も生じるため、除外するものとその理由を正確に把握している場合にのみ実行してください。
検出された脅威が本当に脆弱なドライバーだけなのか、それともシステムに他に何かあるのかどうか疑問がある場合は、賢明な対処法は次のとおりです。 追加分析に頼る 他のマルウェア対策ソリューションに加えて、最近インストールしたプログラムを確認し、必要に応じて、潜在的なマルウェアに物理的に侵入する前に、専門のフォーラムで助けを求めてください。
DefenderがWinRing0を削除しない、または継続的に検出する場合の対処法
場合によっては、Windows Defender は WinRing0 の削除を繰り返し試みましたが、成功しませんでした。 ファイルがバックグラウンドでプログラムによって使用されているためです。これにより、警告と削除試行が繰り返されますが、何も解決せず、ユーザーはアクティブな脅威アラートを繰り返し目にすることになります。
最も一般的な原因は、ドライバーを使用しているアプリケーションが現在開いているか、常駐サービスを持っていることです。その場合、 プログラムおよび関連プロセスは手動で終了させる必要があります。 ウイルス対策ソフトが作動する前に、タスクマネージャーを使用して以下の操作を行ってください。
- を開く タスクマネージャ (Ctrl+Shift+Escキーを押すか、タスクバーを右クリックして「タスクマネージャー」を選択します。)
- 関連するアプリケーション(例:Razerソフトウェア、RGBツールなど)のメインプロセスを見つけて終了してください。
- また、同じプログラムに関連付けられているサービスがあるかもしれないので、バックグラウンドプロセス タブも確認してください。
WinRing0に依存するすべての処理を停止したら、 Defenderでスキャンと削除を実行複数の証言によると、この方法を用いることで、Windowsを再インストールしたり、より抜本的な対策を講じたりすることなく、ウイルス対策ソフトが検出対象から外れることができたとのことです。
検出が繰り返し発生する場合、アプリケーションは ドライバーを再インストールまたは再生成する 起動するたびに発生します。その場合は、プログラムを完全にアンインストールするか、WinRing0を使用しない最新バージョンを探すか、または(リスクを承知の上で)除外設定を使用して、この継続的な競合を回避するかを決定する必要があります。
マイクロソフトへのフィードバックと開発者の立場
WinRing0 の扱い方の変更は、開発者や上級ユーザーの間でかなりの不安を引き起こしている。 これは、ハードウェアの監視および制御エコシステムのほぼ全体に直接的な影響を与える。 第三者、特にこの種のドライバーに依存するオープンソースプロジェクトからのもの。
HWiNFOやFan Controlなどのツールの開発者は次のように説明しています。 ドライバーの変更は、単純なマイナーアップデートではありません。しかし、そのためにはプログラムの大部分をやり直す必要があり、時間と費用が大幅にかかる。しかも、長年にわたる努力と、これらのツールを中心に築き上げてきた評判を無駄にしてしまうことになる。
マイクロソフトは次のようにコメントした。 彼らは偽陽性の報告を認識している 彼らは検出ロジックを再評価して改良を進めているが、同時に、署名されていないドライバーや潜在的に脆弱なドライバーは、長期的なリスクを軽減するために引き続き脅威として扱われると主張している。
この状況を受けて、iBuyPowerという、組み立て済みのゲーミングPCで知られる企業が参入してきた。同社の製品ディレクターによると、 彼らは、Microsoftによってデジタル署名されたWinRing0の最新バージョンを入手しようとしている。彼らの考えは、もし成功すれば、この署名付きライブラリを開発者コミュニティと共有し、開発者が検証済みのドライバを含むアプリケーションのバージョンを配布できるようにするというものだ。
署名済みのバージョンが届いたとしても、根本的な問題は依然として残るだろう。 WinRing0は、カーネルへの非常に広範なアクセスという基本設計を維持するだろう。したがって、たとえマルウェアがなりすましや悪用を成功させたとしても、依然としてリスクは残ります。多くの専門家は、唯一確実な解決策は、より厳格な制限と最新のセキュリティモデルを備えた、ゼロから設計された新しいドライバーに移行することだと考えています。
Windowsでフィードバックを送信し、フィードバックレベルを制御する方法
これらの検出結果の影響を受けており、Microsoft がアプローチを改善すべきだと考える場合は、 Windowsから直接フィードバックを送信同社自身も、Defenderやその他のシステムコンポーネントに関する問題を報告するために、内蔵ツールを使用することを推奨している。
一方、Windowsは定期的に自動的にフィードバックを求めるように設定されています。この自動フィードバック設定を確認または調整するには、次の手順に従ってください。
- に行く ホーム > 設定 > プライバシーとセキュリティ > 診断とフィードバック.
- 「フィードバックの頻度」セクションで、Windowsが定期的にフィードバックを求めるようにするには、「自動(推奨)」に設定されていることを確認してください。
一方、以下の方法で意見を手動で送信することもできます。 オピニオンセンター (フィードバックハブ)システムからの指示を待たずに、いつでも以下の方法でフィードバックを送信できます。
- タスクバーの検索ボックスに「フィードバックセンター」と入力して開いてください。
- アプリケーション内で、次のセクションに移動してください。 注釈 「新しいコメントを追加」を選択してください。
- 関連するカテゴリを選択してください。例えば、「セキュリティ、プライバシー、アカウント > Windows 用 Microsoft Defender ウイルス対策」などです。
このようにして、WinRing0に関するお客様の経験、誤検出、または正規ドライバーの管理上の問題などが記録され、マイクロソフトによって利用される可能性があります。 ポリシーと検出ツールを調整してください。 将来のバージョンでは、少なくとも理論上はそうなるだろう。
診断とフィードバックの設定では、 マイクロソフトに送信されるデータは何か また、どの程度の詳細度で設定できるかも重要です。プライバシーが気になる場合は、この点が重要になります。同じ設定画面内で、利用可能なオプションを確認し、好みに合わせて調整できます。
今日、WinRing0の状況は、機能性とセキュリティの間で長年妥協を重ねてきた結果である。 低レベルのハードウェアにアクセスするための非常に便利なドライバです。この脆弱性は悪用される可能性があり、現在Microsoft Defenderの監視対象となっています。警告が表示された場合、それはおそらくインストール済みの監視ツール、ファン制御ソフトウェア、またはRGBライティングソフトウェアが原因であり、必ずしも新たに発生した悪質なトロイの木馬によるものではありません。その後、可能であればソフトウェアを更新または変更するか、除外設定を作成してリスクを受け入れつつWinRing0を保持する価値があるかどうかを検討するか、あるいはコンピュータのセキュリティを優先するためにWinRing0を完全に削除するかのいずれかを選択することになります。