チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
「EDRを入れているのに、カーネルドライバまで悪用されたら防げないのでは?」
「経営層を名乗る人事メールが来たけど、これも標的型攻撃の入口?」
チップスボス、ラックのレポートで『PoisonXドライバ』っていうのが日本組織を狙ってるって出ていたんでしゅけど、ドライバを悪用ってどんな手口なんでしゅか?
ボスBYOVDといってな。攻撃者は正規署名された脆弱なカーネルドライバを自分で持ち込んで、それを使ってEDRを無効化したりプロセスを隠したりするんだ。日本組織がはっきりと狙われている。
本記事ではラック・サイバー救急センターが2026年6月4日に公表したPoisonXキャンペーンの中身と、BYOVD(Bring Your Own Vulnerable Driver)に対する現実的な備えを整理します。
読み終えた時には、BYOVDという脅威モデルの理解と、自社でEDR運用と並行して整えたい対策が掴めます。
オススメ案件
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
【セキュリティ関連サービスの導入・構築・運用】小川町/EDR・MDM・認証基盤
【情報セキュリティモニタリング・IT資産構成管理支援】虎ノ門(リモート併用)/インフラ経験が活きるセキュリティ案件
【大手保険会社海外拠点向けCrowdStrike導入・IR支援】千代田区(リモート併用)/EDR・セキュリティエンジニア
まずは攻撃の入口と、使われたマルウェアの構成を整理します。
ラック・サイバー救急センターのレポートによれば、攻撃チェーンは経営層になりすました人事系のスピアフィッシングメールから始まります。
本文中のリンクはGoogle Cloud Storage経由で配布されており、被害者がファイルを取得・実行するとPXDropperと呼ばれるドロッパーが動作します。
正規クラウドの利用と人事テーマの組み合わせで、メールフィルタとユーザー双方の警戒を素通りしやすい設計です。
このキャンペーンで使われる主要なコンポーネントは、以下の役割分担を持ちます。
| コンポーネント | 役割 |
|---|---|
| PXDropper | 初期ローダー、サンドボックス検知とスコアリングを搭載 |
| PoisonXドライバ | 正規署名のカーネルドライバを悪用するBYOVD、EDR無効化とプロセス隠蔽 |
| 10FXRAT | モジュラ型RAT、シェル実行・SOCKS5・暗号通貨ウォレット窃取・キーロガー |
チップス正規署名のドライバを悪用されたら、Windowsが信頼してロードしちゃうから止められないんでしゅか?
ボスそこがBYOVDの厄介な点だ。署名は正規でも、ドライバ自体に脆弱性を抱えている。Microsoftの脆弱ドライバブロックリスト適用と、ドライバロード時の挙動監視が要になる。
続いて、本キャンペーンへの対策と、BYOVD全般に効く備えを整理します。
レポートによれば、2026年5月にはPoisonX以外のドライバ、具体的にはASUSやMicrosoftが署名した正規ドライバを悪用する亜種が確認されています。
つまり、特定ドライバ名のブロックだけでは追いつかず、『どの正規ドライバが、誰によって、いつ持ち込まれたか』を観測する仕組みが要ります。
BYOVDは1回限りの戦術ではなく、攻撃者の道具箱に常備された手法だと捉える必要があります。
BYOVDへの実務的な備えは、EDR一本足では不足し、入口・経路・カーネルの三層で組み合わせるのが定石です。
整備したい対策は以下のとおりです。
チップスドライバそのものをチェックする仕組みって、EDRだけじゃなくてWindowsの設定で持っているんでしゅね!
ボスそうだな。ラックWATCHの本レポートは、IOCや観測技術まで踏み込んでいる。SOCの検知ルール整備の参考になるはずだ。
PoisonXキャンペーンは、正規署名カーネルドライバを悪用するBYOVDが日本組織に対して実戦投入されている現実を突きつけます。
経営層を装う人事メール、正規クラウドの利用、サンドボックス検知、そして亜種への素早い切り替えという複合的な工夫が組み合わさり、従来のEDR一本足の防御を超えてきます。
入口・経路・カーネルの三層を整え、BYOVD時代の脅威に対応できる体制をいま整えていきましょう。
オススメ案件
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
【セキュリティ関連サービスの導入・構築・運用】小川町/EDR・MDM・認証基盤
【情報セキュリティモニタリング・IT資産構成管理支援】虎ノ門(リモート併用)/インフラ経験が活きるセキュリティ案件
【大手保険会社海外拠点向けCrowdStrike導入・IR支援】千代田区(リモート併用)/EDR・セキュリティエンジニア
