Windowsのカーネル(OS核心部)には、長年にわたり悪用され続けてきた「抜け穴」が存在していた。2026年4月、Microsoftはついにその穴を塞ぐ重要なセキュリティ変更を展開する。古いドライバー署名方式への信頼を終了し、公式の Windows Hardware Compatibility Program(WHCP)による認定ドライバーのみをデフォルトで許可するというものだ。地味に見えるが、現場への影響は決して小さくない。

問題の背景——「クロス署名プログラム」とは何だったか

2000年代初頭、Microsoftはサードパーティ製ドライバーをWindowsカーネルに組み込む仕組みとして「クロス署名ルートプログラム(Cross-signed Root Program)」を導入した。外部の認証局(CA)がドライバーの署名を行うこの仕組みは長年の標準だったが、致命的な弱点を抱えていた。セキュリティチェックが緩く、署名鍵が盗まれたり悪用されたりするケースが相次いだのだ。

攻撃者はこの仕組みを利用し、正規の署名をまとった悪意あるドライバーをカーネルに読み込ませることができた。カーネルに侵入されれば、セキュリティソフトウェアすら無効化される。EDR(Endpoint Detection and Response)製品をドライバーレベルで無効化する攻撃は、実際にランサムウェアグループが採用してきた手口だ。

Microsoftは2021年にこのプログラム自体を廃止した。しかし廃止後も、既存の古いドライバーはWindowsで引き続き受け入れられていた。今回の変更はその「遺産」に対する最後の決着となる。

新ポリシーの仕組み——「評価モード」から段階的に移行

新しいカーネル信頼ポリシーでは、WHCPを通じてMicrosoftが直接審査・承認したドライバーのみがデフォルトで信頼される。マルウェアチェックや互換性検証を含む審査プロセスを経ることで、サプライチェーン経由でのカーネル汚染リスクが大幅に低下する。

ただし移行は即時ではなく、段階的に行われる。具体的には次のような「評価モード」が設けられている:

  • 評価期間中:カーネルはすべてのドライバー読み込みを監査・記録するが、ブロックはしない
  • 移行条件:累計100時間の稼働かつ3回以上の再起動が完了すること
  • 条件クリア後:旧クロス署名ドライバーが一切検出されなければ、新ポリシーが自動的に有効化される
  • 非互換が検出された場合:評価モードのままリセットされ、移行は先送りされる

Microsoftはこの判断に、過去2年間で数十億件のドライバー読み込みから収集したテレメトリデータを活用しているという。現場の実情を踏まえた段階的なアプローチは、現実的で評価できる。

実務への影響——IT管理者が今確認すべきこと

この変更がとくに影響するのは、以下のようなシナリオだ:

古い周辺機器・産業機器を使っている環境:特定のプリンターやスキャナー、工場系の制御機器などで古いドライバーが使われている場合、評価モードが延長されるか、最悪の場合デバイスが利用不能になる可能性がある。今のうちにベンダーに問い合わせ、WHCP対応ドライバーへの更新可否を確認しておくべきだ。

エンドポイントセキュリティ製品:EDRやDLP(データ損失防止)製品の一部はカーネルドライバーを利用する。大手ベンダーは対応済みのケースが多いが、バージョンによっては問題が生じることもある。事前に動作確認を行っておきたい。

Intune / Windows Update for Business 管理環境:管理対象のデバイスで評価期間がどのように扱われるか、マイクロソフトの公式ドキュメントを追っておくことを推奨する。特例ポリシーの設定が可能かどうかも確認ポイントだ。

Windows 11 Home と Pro の差異:記事によれば、今回の変更は Windows 11 を対象としている。Windows 10 環境の扱いについては引き続き情報を確認されたい。

筆者の見解

カーネルドライバーのセキュリティ強化という方向性は、間違いなく正しい。特権アクセスを悪用したドライバーベースの攻撃は、EDRをすら無効化できる手口として長く問題視されてきた。「信頼できると証明されたもの以外は許可しない」というゼロトラストの思想をカーネルレベルに持ち込む今回の対応は、セキュリティアーキテクチャとして筋が通っている。

2021年にプログラムを廃止してから約5年、既存ドライバーへの後方互換性を保ちながら段階的に移行するという判断も現実的だ。「今日すぐ全部ブロックする」ではなく、評価モードを通じて互換性の問題を事前に炙り出すアプローチは、現場への影響を最小化しようという配慮が感じられる。

一方で気になるのは、こういった地道なセキュリティ強化がなかなか目立たないことだ。派手な新機能と違い、カーネル信頼ポリシーの変更は語りにくい。しかし実際のセキュリティリスクを下げる観点では、こうした基盤部分の改善こそ本質的な価値がある。Windowsはこのような地道な強化の積み重ねで着実に堅牢になってきた。その事実は、公平に評価されるべきだと思う。

現場の管理者にとっては、「5月に突然デバイスが動かなくなった」という事態を避けることが最優先だ。古いドライバーを使う機器の棚卸しと、ベンダーへの確認を今のうちに済ませておくことを強くすすめる。

出典: この記事は Windows is finally fixing a years-old security hole in April の内容をもとに、筆者の見解を加えて独自に執筆したものです。