Microsoftが「古い署名」のカーネルドライバーを締め出す

2026年4月のWindows Updateを境に、Microsoftはカーネルドライバーのセキュリティポリシーを大きく転換する。長年にわたって暗黙的に信頼されてきた「クロス署名(Cross-signed)」カーネルドライバーが、ついに締め出しの対象となるのだ。

影響を受けるのはWindows 11 24H2・25H2・26H1、およびWindows Server 2025。企業IT環境からゲーマーのPC環境まで、幅広いユーザーに影響が及ぶ可能性がある。

クロス署名プログラムとは何だったのか

クロス署名根プログラム(Cross-signed root program)は2000年代初頭にMicrosoftが導入した仕組みで、サードパーティのドライバー開発者がカーネルモードコードの整合性を確保するための署名手段として機能してきた。

しかし構造的な欠陥があった。署名プログラムをサードパーティが管理するという設計上、開発者が秘密鍵を自己管理しなければならず、これが鍵の漏洩や悪用につながった。Microsoftは「この仕組みが顧客とプラットフォームをリスクにさらした」と認めている。証明書はすでに全て期限切れだが、現在もWindowsカーネルで「広く信頼されている」状態が続いており、今回の更新でその状態に終止符が打たれる。

段階的な「評価モード」で移行を緩和

Microsoftが即時ブロックではなく「評価モード(evaluation mode)」を採用している点は評価できる。この評価モードでは、Windowsカーネルが問題のあるドライバーのロードを監視・監査し、ポリシーを有効化したときの互換性への影響を事前に把握できる。

また、「必須かつ信頼できるクロス署名ドライバー」は引き続き許可リストに登録される。開発者が対応できない状況でも、一部のレガシードライバーは保護される。

企業向けには「Application Control for Business」ポリシーを使って、カスタムカーネルドライバーを管理者が独自に許可する手段も残されている。ただしMicrosoftは、これをレガシー機器サポートの抜け穴として使うのではなく、機密性の高い内部専用ドライバー向けの手段と位置づけている。ポリシーはデバイスのSecure Boot PK/KEK変数の認証局で署名する必要があるため、無制限に使えるわけではない。

なぜこれが重要か——日本のIT現場への影響

日本企業において、この変更が特に問題になりそうな領域は3つある。

1. 製造業・医療のレガシー機器ドライバー 専用計測機器や医療機器のドライバーが古いクロス署名証明書を使っているケースがある。ベンダーがすでに製品をサポート終了している場合、WHCP(Windows Hardware Compatibility Program)認定の取得は現実的に困難だ。Windows 11移行を検討している環境では、事前のドライバー互換性確認が急務となる。

2. ゲーミングPC・アンチチートソフト VALORANTやApex Legendsなどのアンチチートシステムはカーネルレベルで動作するものが多く、クロス署名ドライバーに依存している製品が存在する。各ゲームパブリッシャーが対応を進めているかの確認が必要だ。

3. セキュリティ製品・EDRツール エンドポイント保護製品の一部もカーネルドライバーを使用している。WHCPに移行済みか否かを製品ベンダーに確認することを強く推奨する。

実務での活用ポイント

  • 今すぐ棚卸しを: driverquery /v や「デバイスマネージャー」でインストール済みドライバーを一覧化し、署名状況を確認する。Microsoftが提供するイベントログを活用して、評価モードでブロック候補のドライバーを事前に把握できる
  • ベンダーに問い合わせる: 使用中のデバイスドライバーやセキュリティソフトが「WHCP認定済み」かどうかを、4月のWindows Update適用前に確認しておく
  • Windows Server 2025環境は特に注意: オンプレ環境でWindows Server 2025を運用している場合、古い管理エージェントや監視ツールのドライバーが影響を受ける可能性がある
  • テスト環境で先行適用: 評価モードのログを収集し、本番環境への影響度を把握してから展開する

筆者の見解

この動きは「Windowsカーネルをゼロトラストに近づける」という大きな方向性の一環として捉えるべきだ。

思い返せば、2024年のCrowdStrikeインシデントも、カーネルモードドライバーの脆弱性がいかに甚大な被害をもたらすかを世界に示した出来事だった。Microsoftはあの事件以降、「カーネルへのアクセスを持つコードは徹底的に審査されたものだけにする」という姿勢を明確にしている。今回のクロス署名廃止もその延長線上にある。

短期的には互換性問題で混乱が生じる現場もあるだろう。しかし長期的には、WHCP認定というハードルを設けることで「誰でもカーネルドライバーを署名して配布できる」時代に終止符が打たれ、サプライチェーン攻撃のリスクが大幅に低下する。

日本のIT管理者には、今回の変更を「面倒なアップデート」ではなく「セキュリティポスチャーを見直す好機」として捉えてほしい。棚卸しの過程で不要なドライバーが見つかれば、攻撃対象領域を削減できる。積極的に活用すべき変更だと筆者は評価している。

Microsoftの方向性は明確だ——最終的には、WHCP認定を通過していないコードはカーネルでは動かせなくなる。その日に備えた準備を、今から始めるべき時だ。

出典: この記事は Microsoft cracks down on old Windows kernel drivers の内容をもとに、筆者の見解を加えて独自に執筆したものです。