Windows 2026年4月更新でレガシー・クロス署名カーネルドライバーがブロック——数十年来のセキュリティホールがついに塞がれる

Microsoftが2026年4月のセキュリティ更新で、旧来の「クロス署名済みカーネルドライバー」を全面ブロックする方針を発表した。Windows 11を対象とし、カーネルドライバーの信頼チェーンをMicrosoft直接署名（WHCP認定）に一本化する。これはランサムウェアやAPT（高度持続的脅威）が好んで悪用してきた経路を断つ、過去10年以上で最大規模のドライバー署名ポリシー変更だ。

クロス署名とは何か——なぜこれが問題だったか

カーネルドライバーはOSの特権領域（カーネル空間）で動作し、システムメモリやハードウェアに直接アクセスできる。そのため、悪意あるドライバーを一度ロードされてしまうと、EDRやアンチウイルスによる検知をすり抜けやすい。

「クロス署名」とは、古いWindows Hardware Quality Labs（WHQL）証明書で署名されたドライバーを、後から別の証明書で再署名することで有効期限を延命する仕組みだ。2015年以前に認定されたドライバーであっても、この手法で今日まで動き続けることができた。

BlackByteを代表とするランサムウェアグループは、この「古いが有効な署名」を持つドライバーを「BYOVD（Bring Your Own Vulnerable Driver）攻撃」に活用してきた。正規に署名されたドライバーに存在する脆弱性を突いてカーネル権限を奪取する手口であり、Windowsのセキュリティ機能を根底から無効化できるため非常に危険だ。

新ポリシーの技術的内容

今回の変更はWindows側のカーネルコード整合性（CI）ポリシーを更新するものだ。

4月2026更新以降、カーネルモードドライバーがロードされるためには以下の条件をすべて満たす必要がある：

• WHCPテストへの合格：Microsoftが実施するハードウェア互換性プログラムの審査を通過していること
• Microsoftの署名サービスによる直接署名：クロス署名によるリレーは不可
• 適切なメタデータの保有：用途・互換性情報が明示されていること
• 現行のセキュリティ基準への準拠：ドライバー開発における最新のセキュリティ要件を満たすこと

なお、ユーザーモードドライバーは今回の対象外であり、既存の要件が継続される。

企業・産業現場への影響——楽観視は禁物

技術的方向性は完全に正しい。だが、現場への影響は甚大だ。

特に問題になるのは次のような環境だ：

医療・研究機関：2018年製の検査機器など、すでにメーカーがサポートを終了した機器のドライバーが動かなくなる可能性がある。製造元が廃業していれば更新版ドライバーを入手する手段もない。

製造業の生産ライン：センサーや産業用コントローラーのドライバーが2017年以前のまま運用されているケースは国内でも少なくない。制御システムの全面刷新には数千万〜数億円規模のコストと数ヵ月のダウンタイムが伴う。

国内SI・業務システム：独自開発のカーネルドライバーを含む業務パッケージが、今回のポリシーに対応していない場合、検証と対応に相当のリードタイムが必要だ。

Microsoftは「セキュリティを優先する」と明言しており、移行タイムラインを設けているが、具体的なKB番号や猶予スケジュールは4月更新の約1ヵ月前に公開される見込み。Windows リリース正常性ダッシュボードを定期的にウォッチしておくべきだ。

実務での対応ポイント

ドライバーインベントリの作成：driverquery /fo csv /v コマンドや、Microsoft管理センターのデバイス管理画面から、クロス署名に依存しているドライバーを洗い出す。特にカーネルモード（Kernel）欄のドライバーを優先確認すること。

ベンダーへの早期問い合わせ：ハードウェアベンダーにWHCP対応ドライバーの提供予定を確認する。特にニッチな機器では対応が遅れるケースがあるため、今から動き出す必要がある。

テスト環境での事前検証：本番適用前に隔離環境で4月更新を適用し、業務クリティカルな機器・システムの動作を確認する。Windows Insider Program（Release Preview Channel）で先行確認することも有効だ。

例外対応の検討：どうしても更新ドライバーを入手できない機器については、該当システムをネットワーク分離するなど、別のセキュリティレイヤーで補完する設計を検討する。

Windows Update を「少し待つ」判断も現実的：今回のような大規模ポリシー変更では、配信直後に問題報告が集中する可能性がある。数日の様子見は後ろ向きではなく、立派なリスク管理の一手だ。

筆者の見解

これはMicrosoftが正しい方向に踏み込んだ、本物の変化だ。カーネルドライバーの信頼境界を堅固にするのは、ゼロトラストアーキテクチャの根幹でもある。ネットワーク境界でいくら頑張っても、カーネル空間に怪しいコードが入り込める状態ではエンドポイントを守れない。この施策はその穴をふさぐ。

国内の大規模エンタープライズ環境では、「今動いているから変えない」という慣性が非常に強い。だが「今動いているから安全」は、少なくともカーネルドライバーに関しては通用しなくなる。IT部門が今すぐドライバーインベントリを棚卸しし、ベンダーと対話を始めなければならない時が来た。

一方で、廃業したメーカーの機器や、更新されないレガシーシステムを抱える現場にとっては切実な問題だ。Microsoftはクラウドや最新デバイスへの移行を促す意図もあるのだろうが、そう簡単に動かせない現場があることも事実。この変更で困る組織の規模が明らかになれば、Microsoftが何らかの延長猶予や支援策を打ち出す可能性もある。リリース情報とMicrosoftのブログを引き続き注視したい。

Windowsのセキュリティ改善は着実に前進している。この流れが続くことを、利用者の一人として心から歓迎している。

出典: この記事は Microsoft Blocks Legacy Cross-Signed Kernel Drivers in Windows April 2026 Update の内容をもとに、筆者の見解を加えて独自に執筆したものです。