Windows標準機能を駆使してEDRを一時停止 新攻撃手法「EDR-Freeze」とは？：セキュリティニュースアラート

Windowsの正規機能を悪用してEDRやアンチウイルスのプロセスを一時的に停止させる攻撃手法・試作ツール「EDR-Freeze」が登場した。脆弱なドライバーを使用せず、従来のBYOVDに代わる高リスクな攻撃手段として注目されている。

[後藤大地，ITmedia]

　Zero Salariumは2025年9月20日（現地時間）、「Windows」の正規機能を悪用してEDR（Endpoint Detection and Response）やアンチウイルスのプロセスを一時的に停止状態に置く攻撃手法およびその試作ツール「EDR-Freeze」を発表した。

　このツールはWindows標準の機能を利用しており、外部の脆弱（ぜいじゃく）なドライバーを持ち込む従来の手法を使わず、セキュリティ対策ソフトウェアによる監視を一時的に停止させることができると報告している。

EDRやアンチウイルスによる検知を一時的に回避　EDR-Freezeの仕組み

　EDR-Freezeの仕組みは、Windowsのデバッグ支援用ライブラリーに含まれる「MiniDumpWriteDump」関数を活用する点にある。この関数は、指定したプロセスのメモリ状態をダンプする際、対象プロセスの全てのスレッドを一時的に停止させるという特性を持つ。本ツールはこの「一時停止」を意図的に長時間維持することで、実質的に対象プロセスを無力化する。

　EDRやアンチウイルスソフトウェアのプロセスは通常、「PPL（Protected Process Light）」という保護機構に守られている。通常の手法ではこれらのプロセスに対し直接的な操作を加えられない。

　EDR-Freezeにおいて、「Windows Error Reporting」に含まれる「WerFaultSecure.exe」を使うことでこの問題を回避している。「WerFaultSecure」は、Windows内部で高い権限を持つプロセスとして起動が可能であり、適切な引数を指定することで、任意の対象プロセスに対しMiniDumpWriteDumpを実行するよう設定できる。

　ツールは、まず「CreateProcessAsPPL」でWerFaultSecureを高度な保護レベルで起動する。その後、対象とするEDRやアンチウイルスプロセスのダンプを指示する。ここで、MiniDumpWriteDumpによって対象プロセスが一時的に停止されている瞬間を捉え、続けてWerFaultSecure自身を「NtSuspendProcess」によって停止する。これにより、ダンプ処理が完了しない状態で停止状態が固定され、対象のセキュリティプロセスは実質的に復帰不可能な状態に置かれる。

　EDR-Freezeは「GitHub」で公開されており、引数として「対象プロセスのPID（プロセスID）」と「停止時間（ミリ秒）」の2つを指定することで動作する。開発者は、「Windows 11 24H2」環境下で「Windows Defender」の主要プロセス「MsMpEng.exe」の動作を5000ミリ秒（5秒間）停止させることに成功したと報告している。

　このような機能は、EDRやアンチウイルスによる検知を一時的に回避し、システム内での操作を静かに完了させる目的で使われる可能性がある。高リスクな操作を実行する際に一時的に監視を遮断し、完了後に再び監視を有効にするというような用途が考えられる。

　この手法は、従来の「BYOVD（Bring Your Own Vulnerable Driver）」と呼ばれる脆弱なドライバー持ち込み型の手法に代わるものと位置付けられている。BYOVDは、対象システムに脆弱なドライバーを導入する必要があるため、検知されやすく、安定性にも悪影響を与えることがある。EDR-FreezeはWindows内部の正規機能のみで構成されており、比較的目立たず、安定した実行が可能とされる。

　EDRやアンチウイルスを提供するベンダーやシステム管理者にとっては、WerFaultSecure.exeの起動履歴やその引数を監視することが潜在的な不正行為の早期発見につながる可能性がある。特にLSASSやEDRエージェントなど、機密性の高いプロセスIDが指定されている場合、即時の対応が求められる。

　今回の報告はWindows内部の挙動を巧妙に組み合わせることで、従来よりも静かな形でセキュリティ機能を停止できる点が注目される。Zero Salariumによるこのツールの公開は、サイバーセキュリティ分野における新たなリスクの存在を示すものであり、防御側にとっても重要な警鐘となる。