4月14日のPatch Tuesdayで、Microsoftはカーネルドライバーの信頼ポリシーを大きく変更する。約20年前に導入された「クロス署名ルートプログラム」で署名されたドライバーへのデフォルト信頼が終了し、新規カーネルドライバーはすべてWindows Hardware Compatibility Program(WHCP)による認定が必要になる。長年塞がれなかったセキュリティ上の穴に、ようやく正式な蓋がされる形だ。

クロス署名プログラムとは何か

カーネルドライバーとは、Windowsの最も深い層(カーネル)に直接アクセスできるコードだ。2000年代初頭、Microsoftはサードパーティ製ドライバーの整合性を担保するために「クロス署名ルートプログラム」を導入した。サードパーティの認証局(CA)が署名し、Microsoftがカウンターサインするという仕組みで、当時は理にかなった設計だった。

しかし、その証明書はすでに有効期限を過ぎている。にもかかわらずWindowsは長年、そのプログラムで署名されたドライバーを信頼し続けてきた。この「過去の遺産への暗黙の信頼」が、攻撃者に悪用される抜け道になっていた。

BYOVD攻撃という現実の脅威

この隙間を突く手法が「BYOVD(Bring Your Own Vulnerable Driver)攻撃」だ。攻撃者は正規に署名されているが脆弱性を持つ古いドライバーをシステムに読み込み、カーネルレベルのアクセス権を確保する。そしてEDRなどのセキュリティツールを無効化し、任意のコードを実行する。「正規署名」という信頼の仕組みそのものを逆用するこの手口は、セキュリティ研究者が長年警告してきた現実の脅威だ。

段階的な移行フロー

今回の変更の特徴は、即時ブロックではなく「評価モード」から始まる点だ。

  • 評価モード:Windowsカーネルはドライバーの読み込みを監視・記録するだけで、実際のブロックは行わない。100時間の稼働時間と2〜3回の再起動サイクルにわたってデータを収集する
  • 自動移行:その期間中、すべてのドライバーが新ポリシーで信頼されていれば、自動的に強制モードへ昇格
  • 継続評価:クロス署名ドライバーが検出された場合は、そのドライバーが読み込まれなくなるまで評価モードを維持

また、旧プログラムで検証済みの広く使われているドライバーについては、Microsoftが明示的な許可リストを維持している。企業環境でカスタムまたは内部ドライバーが避けられない場合は、Application Control for Business(旧WDAC) ポリシーを使って、特定のドライバーを個別に承認できる。

影響を受けるシステム

  • Windows 11 24H2・25H2・26H1
  • Windows Server 2025
  • 上記以降のすべてのバージョン

最新のPCで最新のドライバーを使っている環境では、ほぼ透明に適用される。影響が出る可能性があるのは次のケースだ。

  • 数年間更新されていない古い周辺機器(特殊なオーディオインターフェース、レガシーゲームデバイス、ニッチな拡張カードなど)
  • メーカーがすでにサポートを終了しており、WHCPドライバーが提供されていない機器

IT管理者がいま確認すべきこと

ドライバーの棚卸しが最優先だ。管理対象端末で使用中のカーネルドライバーを洗い出し、WHCP認定版が存在するかを確認する。特に注意が必要なのは以下の環境だ。

  • 製造業・医療・官公庁で稼働する専用機器や計測装置に接続しているPC
  • 古いプリンター・スキャナー・オーディオ機器を現役で使用しているシステム
  • ベンダーサポートが終了した機器を接続しているレガシー環境

評価モード中にWindowsが出力するイベントログを監視し、問題のあるドライバーを強制モード移行前に特定しておくことを強く勧める。カスタムドライバーが必要な環境では、Application Control for Businessでの明示的な許可設定を今のうちに構成しておくべきだ。

筆者の見解

カーネルドライバーの信頼ポリシー強化は、Microsoftが正しい方向に着実に進んでいる取り組みだと評価している。BYOVD攻撃は「正規署名のドライバー」という信頼モデルの根幹を逆用する手口で、セキュリティ業界全体が長年頭を抱えてきた問題だ。その入口を塞ぐこの変更は、遅すぎたくらいだと思っている。

評価モードから段階的に移行する設計も現実的で好感が持てる。「ある日突然ドライバーが動かなくなった」は企業現場にとって最悪のシナリオだ。監視期間を設けて問題を事前に把握できる猶予を持たせた点は、現場を理解した設計だと感じる。

一方で懸念があるとすれば、日本の製造業・医療・官公庁で現役稼働している古いシステムだ。専用機器のドライバーが10年以上更新されていないケースは珍しくない。この変更を「一般ユーザーには関係ない話」として流してしまうと、強制モードへの移行タイミングで予期せぬシステム停止につながりかねない。

セキュリティの強化と互換性の維持はトレードオフだが、今回の設計はそのバランスを丁寧に取ろうとしている。あとは現場のIT担当者が、この変更を正確に把握して対応する時間を確保できるかどうかにかかっている。4月14日まで時間はまだある。いまのうちにドライバー環境を確認しておくことを強く推奨したい。

出典: この記事は Microsoft’s April 2026 Windows Update Ends Trust for Cross-Signed Kernel Drivers の内容をもとに、筆者の見解を加えて独自に執筆したものです。