「EDR Killer」の脅威とJumpCloudによる多層防御
近年のランサムウェア攻撃では、データ暗号化の前段階として EDR(Endpoint Detection and Response)そのものを無効化する 手口が急速に広まっています。攻撃者コミュニティで「EDR Killer」と呼ばれるこの種のツールは、もはや一部の高度な攻撃者だけのものではなく、RaaS(Ransomware as a Service)の標準装備になりつつあります。
本記事では、ESET社の詳細な分析レポートをベースにEDR Killerの実態を解説したうえで、「なぜEDRを導入しているだけでは防げないのか」 を攻撃の流れに沿って掘り下げ、その答えとしてJumpCloudのオープンディレクトリ・プラットフォームがどこで効いてくるのかをご紹介します。
EDR Killerとは何か
EDR Killerとは、端末上で稼働するEDRやアンチウイルス製品のプロセスを強制終了・無効化し、その後のランサムウェア実行を検知させないための攻撃ツールの総称です。
その中核となる手法が BYOVD(Bring Your Own Vulnerable Driver:脆弱なドライバーの持ち込み) です。攻撃者は、正規のコード署名が付与された「脆弱性を持つ正規ドライバー」を標的端末に持ち込み、そのドライバーの脆弱性を悪用してカーネル(OSの最も深い階層)レベルの権限を奪取します。カーネル権限を得た攻撃者は、ユーザー空間で動作するEDRのプロセスを外側から停止させることができてしまいます。ドライバー自体は正規に署名されているため、単純な署名検証をすり抜けてしまうのが、この攻撃の厄介な点です。
ケーススタディ:ランサムウェアグループ「Gentlemen」
EDR Killerがどこまで製品化されているかを示す好例が、2025年末に登場し、2026年第1四半期には最も活発なランサムウェアグループの一つに成長した「Gentlemen」です。ESET社の調査レポート「Killing me gently: Inside Gentlemen's EDR killer framework」(2026年6月18日公開)で、その実態が詳細に分析されています。
参考:ESET Research「Killing me gently: Inside Gentlemen's EDR killer framework」
このレポートによれば、Gentlemenは他の多くのランサムウェアグループと異なり、EDR Killerを運営者(オペレーター)自身が開発・保守し、アフィリエイト(実行犯)にすぐ使える状態で提供している点が際立っています。
・自社開発のフレームワーク GentleKiller は、すでに少なくとも8種類の亜種が確認されており、それぞれが異なる脆弱/悪意あるドライバーを悪用します。
・さらにHexKiller、ThrottleBlood、HavocKillerといった 第三者製のEDR Killerも取り込み、統一された回避層(偽の署名・偽のバージョン情報・正規ベンダーを模したアイコンやファイル名)でパッケージ化しています。
・新しく公開されたBYOVDの実証コード(PoC)を、わずか数日で自分たちのツールに組み込む俊敏さも確認されています。
・GentleKillerが終了対象とするセキュリティ製品のプロセスは400以上、ベンダー数にして48製品にのぼり、CrowdStrike、SentinelOne、Microsoft Defender、Sophos、ESET、Kasperskyなど主要EDRを軒並みカバーしています。
つまり攻撃者は「どのEDRが入っていても停止させられる」ことを前提に、汎用的なキットを用意しているのです。「有名なEDRを入れているから大丈夫」という発想は、この時点ですでに崩れています。
なぜEDRだけでは防げないのか ― 攻撃チェーンを分解する
ここが本記事の核心です。「EDRを回避されるなら、もっと強いEDRを入れればいいのでは?」という問いに答えるには、EDR Killerが起動する「前」に攻撃者が何をしているかを見る必要があります。EDRの無効化は、攻撃の最終段階の一歩手前であり、そこに至るまでに攻撃者はいくつもの関門を通過しています。逆に言えば、その手前の関門を一つでも塞げれば、EDR Killerは発動できないのです。
Gentlemenの攻撃を題材に、EDR Killerが動くまでの流れを分解してみましょう。なお以下の4ステップは、攻撃の構造を理解するために一般的な流れとして整理したものであり、実際の侵入で必ずこの順序どおりに進むとは限りません(たとえばEDRの停止が、より早い段階で実行されることもあります)。
図1:攻撃チェーンとEDRの生死。EDRはステップ2まで機能しており、そこが防御の窓になる。
ステップ1:初期侵入と資格情報の収集 ― EDRが主役の場面
Gentlemenの攻撃は、いきなりEDRを狙うわけではありません。ESETのレポートによれば、GentlemenはFortiGate(ファイアウォール)の設定不備を主な基準に標的を選んでおり、入口はネットワーク境界の脆弱性管理の領域です。侵入後は、資格情報スティーラーOxideHarvestで足場を広げます(このツールは有効な認証情報と内部ホストの一覧を与えて動かすもので、初期侵入用ではありません)。
押さえておきたいのは、この段階はEDRが不要なのではなく、EDRが主役の場面 だということです。OxideHarvestはESETが検知名を付与するマルウェアであり、ここで止められれば攻撃はEDR Killerに到達しません。攻撃者がこのツールをパッカーで包み、バージョン情報とアイコンで正規ソフトウェアを騙らせているのは、この段階のEDRがまだ生きていて、脅威だからにほかなりません。
一方で、ここはJumpCloudの守備範囲ではありません。本記事が扱うのは、この先の話です。
ステップ2:権限昇格 ― BYOVDには「管理者権限」が要る
ここが最も重要なポイントです。脆弱なドライバーを端末にインストールしてカーネルに読み込ませるには、原則としてローカル管理者権限が必要です。ESETのMITRE ATT&CKマッピングでも、Gentlemenの各EDR Killerは「脆弱/悪意あるドライバーをWindowsサービスとしてインストールし、起動する(T1543.003)」という手順を踏むと整理されています。ドライバーをサービスとして登録する操作は、標準ユーザーの権限では実行できません。
つまり、攻撃者がEDR Killerを発動させるには、その前に「管理者権限の奪取」という関門を突破しなければならないのです。裏を返せば――
一般ユーザーが日常的に管理者権限を持たない環境を作っておけば、EDR Killerはそもそも起動できない。
これがEDR Killer対策における最も本質的で、かつ最も見落とされがちなポイントです。EDRという検知の仕組みを強化することばかりに目が行きがちですが、その前段で攻撃者に管理者権限を渡さないことのほうが、はるかに根本的な防御になります。
ステップ3:ドライバーの持ち込みとEDRの停止
管理者権限を得た攻撃者は、GentlemenCollectionのような作業ディレクトリにEDR Killer本体と脆弱ドライバーを配置し、ドライバーをロードします。ロードに成功するとカーネル権限を取得し、GentleKillerは対象プロセスのリスト(前述の400以上)を巡回して、EDRやアンチウイルスのプロセスを次々と終了させていきます。
この段階に至ってしまうと、EDR自身は自分が停止させられていくのを防げません。だからこそ、脆弱なドライバーがそもそもロードされないようOS側で防ぐことが重要になります。Windowsには、Microsoftが提供する「脆弱ドライバーブロックリスト」と、それを実効化する「メモリ整合性(HVCI:ハイパーバイザー保護コード整合性)」という機能があり、既知の悪用可能ドライバーのロードをOSレベルでブロックできます。問題は――全社の何百台という端末で、これらの保護設定が確実に、例外なく、有効であり続けているかを誰がどう担保するのか、という運用の課題です。
ステップ4:暗号化の実行
EDRが沈黙したことを確認した攻撃者は、ようやくランサムウェア本体を実行し、データを暗号化します。ここまで来て初めて被害が顕在化しますが、この時点では検知・対応の主役であるEDRはすでに機能を停止させられています。言い換えれば、ステップ4に到達された時点で「予防」の勝負はすでに終わっているのです。だからこそ、ステップ1から3の関門をいかに塞ぐかが、防御側にとっての実質的な主戦場になります。
攻撃チェーンから見えてくる防御の勘所
こうして分解すると、EDR Killer攻撃は「EDRが殺される一瞬」の問題ではなく、その手前に連なる複数の関門の問題 であることがわかります。
ステップ
初期侵入・資格情報収集
権限昇格
ドライバー投入
暗号化
攻撃者の行動
設定不備を突いて侵入し、資格情報を収集して足場を広げる
管理者権限を奪取
脆弱ドライバーをロードしEDRを停止
ランサムウェア実行
EDRだけでは防げない理由
侵入自体は視界の外。ただし資格情報窃取ツールはEDRの検知対象(=EDRが主役)
権限を得た攻撃者はEDRを外側から操作可能
EDR自身は自分の停止を防げない
検知役のEDRはすでに無力化済み
効かせるべき防御
ネットワーク境界の脆弱性管理+EDR(本記事の守備範囲外)
管理者権限の最小化
OSハードニング・パッチ適用
(上流での予防が唯一の解)
重要なのは、これらの関門の多くが「ID管理」「デバイス管理」「アクセス制御」の領域に属しているということです。EDR(検知・対応)は防御戦略の一部でしかなく、その手前の予防・統制レイヤーが薄いと、どれだけ高性能なEDRを入れても土台から崩されてしまいます。そして、この予防・統制レイヤーを単一のプラットフォームで担えるのがJumpCloudです。
JumpCloudによるEDR Killer対策 ― 攻撃チェーンの各関門を塞ぐ
JumpCloudは、ID管理・デバイス管理・パッチ管理を単一のクラウドプラットフォームで提供するオープンディレクトリです。前章で分解した攻撃チェーンに、JumpCloudの機能を対応づけて見ていきましょう。
はじめに:ステップ1は、JumpCloudの守備範囲外である
対策を並べる前に、あらためて申し上げます。ステップ1は、ID管理・デバイス管理製品で止められる領域ではありません。 入口はネットワーク境界の脆弱性管理の領域であり、その後の資格情報収集で使われるホストへのログインもWindows自身の認証を通るため、クラウドの認証基盤は介在していません。これらが重要でないという意味ではありませんが、本記事の主題ではなく、「JumpCloudを入れれば初期侵入が防げる」わけではありません。
そして、だからこそステップ2が重要になります。 入口を完全には塞ぎきれない以上、「侵入されることを前提に、その次の一手をどう封じるか」が防御側の現実的な戦場です。以下では、JumpCloudが確かな効果を持つステップ2以降に絞ってご説明します。
対策1【ステップ2に対応】権限昇格を封じる:ローカル管理者権限の最小化
前章で述べたとおり、BYOVD攻撃の実行にはローカル管理者権限が事実上の前提です。ここを封じることが、EDR Killerに対する最も効果的な予防策になります。
そして、Gentlemenの手口を精査すると、この対策の効き方が際立ちます。ESETのMITRE ATT&CKマッピングによれば、Gentlemenが保有するEDR KillerはGentleKillerの8亜種も、外部から調達したHexKiller・ThrottleBlood・HavocKillerも、例外なく「ドライバーをWindowsサービスとして登録・起動する」という同じ一点を経由します。ユーザーモードだけでEDRの監視機構を無力化するような手法は、この報告書のGentlemenの分析には登場しません(偽署名やパッカーによる偽装は使われていますが、これはEDR Killer本体を見つかりにくくするためのものであり、EDRを無効化する技術ではありません)。
つまり、管理者権限という一点を封じるだけで、11種類のEDR Killerが一斉に不発になるということです。「どのEDRを選ぶか」では追いつかない攻撃に対して、「管理者権限を渡さない」は武器庫ごと無効化しうる。この非対称性こそが、対策1を本命と呼ぶ理由です。
図2:Gentlemenが保有する11種のEDR Killerは、すべて「管理者権限でドライバーをサービス登録する」という一点を通る。ここを閉じれば、11種すべてが不発になる。
JumpCloudでは、Windows・macOS・Linuxを問わず、各デバイスのユーザーアカウントが管理者権限を持つか標準ユーザーに留めるかを、管理コンソールから一元的に制御できます。「全員が普段は標準ユーザー、管理者権限は必要なときに必要な人だけ」という最小権限の運用を、現実的な工数で全社に適用できます。攻撃者が仮に一般ユーザーの認証情報を奪っても、そこに管理者権限が伴わなければ、脆弱ドライバーをサービスとして登録することはできません。
対策2【ステップ3に対応】OSハードニングとパッチ適用で攻撃面を減らす
脆弱ドライバーのロードをOS側で防ぐHVCI・脆弱ドライバーブロックリストのような設定は、JumpCloudのポリシー機能やコマンド実行機能で全デバイスに一括適用できます。「どの端末で保護設定が無効になっているか」を個別対応に頼らず、組織全体で一貫した状態に保つことが可能です。
ただし、ここにも限界があることは押さえておくべきです。GentleKillerの8亜種のうち、Kaspersky亜種とG11亜種が使うのは既知の脆弱な正規ドライバーではなく、攻撃者自作のルートキットだとESETは分析しています。自作ドライバーはMicrosoftのブロックリストには載りません。ブロックリストは有効な一手ですが、これだけで全亜種を止められるわけではなく、最終的に効くのは対策1(管理者権限の最小化)だという構図はここでも変わりません。
あわせて重要なのが、パッチ・アップデートの徹底です。JumpCloudは以下の2つの機能で、OSからアプリケーションまでを最新に保てます。
・OSパッチ管理(Patch Management):Windows・macOS・LinuxのOSアップデートを、スケジュールを指定して自動適用できます。Windowsについては個別のKB単位で適用状況を監視・インストールできるダッシュボードを備えています。
参考:JumpCloud「Automated Patch Management」
・アプリケーション管理(Software Management):業務アプリやブラウザなどのサードパーティ製ソフトウェアを、デバイスグループ単位で配布・更新できます。BYOVDの前段となる初期侵入では、未更新のブラウザやアプリの脆弱性が悪用されがちであり、アプリのバージョンを揃えて維持することは、攻撃面を減らすうえでOSパッチと同等に重要です。
参考:JumpCloud「Software Management」
「パッチ適用が遅れた端末」「古いバージョンのアプリが残った端末」という攻撃者の狙い目を、継続的に潰していけます。
対策3【全ステップに対応】可視化で異常に気づく:System Insights
対策1・2は攻撃チェーンの各ステップに個別に対応する施策ですが、それらが「本当に全端末で効いているか」を確認する仕組みがなければ、対策は絵に描いた餅になります。対策3は特定のステップに対応するものではなく、対策1・2の実効性を担保するために、攻撃チェーン全体を横断して効かせる施策です。
JumpCloudのSystem Insightsを使えば、各端末のOSバージョン、インストールされているソフトウェアとそのバージョン、パッチ適用状況、ディスク暗号化の有無、ローカルユーザーアカウントの状態といった情報を、単一コンソールからリアルタイムに把握できます。
・「保護設定(HVCI等)が無効になっている端末はどれか」→ 対策2の穴を発見
・「不審なローカル管理者アカウントが増えていないか」→ 対策1の逸脱、あるいは攻撃の兆候を発見
・「パッチや古いアプリが放置された端末はどれか」→ 対策2の穴を発見
収集したデータはCSVエクスポートやAPI連携でSIEMに送り、異常検知に活用することもできます。
まとめ:EDRを守るのはID・デバイス管理の仕事
はじめにお断りしておきたいのは、本記事はEDRが不要だと申し上げているのではないということです。むしろ逆で、侵入を前提とした昨今のエンドポイントセキュリティにおいて、EDRは必須の基盤です。マルウェアの実行や不審な挙動を検知し、影響範囲を追跡し、対応につなげる。この役割を代替できるものは他にありません。問題は、EDRが不要になったことではなく、攻撃の進化によってEDRだけでは不十分になったことです。
そのことは、Gentlemenの手口自体が証明しています。攻撃者はステップ1の資格情報窃取ツールをパッカーで包み、正規ソフトウェアを騙らせてまでEDRの目を逃れようとし、それでも足りずにステップ3でEDRそのものを停止させにきます。そこまでするのは、EDRが効くからです。EDRを外せば、攻撃者はこれらの手間を一切かけずに済むようになります。
EDR Killerの台頭が私たちに突きつけているのは、「検知・対応(EDR)」と「予防・統制(ID管理/デバイス管理)」は車の両輪であり、どちらが欠けても現代のランサムウェアには対抗できないという現実です。
Gentlemenのような攻撃者は、48ベンダー・400プロセス以上を対象とする汎用的なEDR Killerを用意しています。「どのEDRを選ぶか」という土俵だけで戦っている限り、この攻撃には勝てません。防御側に求められるのは、EDRが無効化される瞬間ではなく、その手前の攻撃チェーンを一つずつ塞いでいく発想への転換です。
そして、そのなかで最も費用対効果が高いのが管理者権限の最小化です。GentlemenのEDR Killerは11種類すべてが「管理者権限でドライバーをサービス登録する」という同じ一点を通ります。ここを塞ぐことは、個々のツールを追いかけるのではなく、攻撃の前提条件そのものを取り除くことを意味します。
・管理者権限の最小化で、BYOVDの前提条件そのものを与えない(ステップ2/本命)
・ポリシー適用・OSパッチ・アプリ更新で、脆弱ドライバーのロードと攻撃面を減らす(ステップ3)
・System Insightsによる可視化で、これらが全端末で効いていることを確認し続ける(全体)
JumpCloudは、これらをクラウドベースの単一プラットフォームで実現できるオープンディレクトリです。EDRを導入したうえで、その土台となるID・デバイス統制を整える。この両輪こそが、EDR Killer時代の実効的なセキュリティ戦略といえます。
Celio株式会社はJumpCloudの正規販売代理店です。 ID管理とデバイス管理に特化した技術チームが、要件整理からPoC評価、導入設計、導入後の運用サポートまで一貫してご支援します。「自社の環境でEDR Killer対策として何から着手すべきか」といったご相談も含め、お気軽にお問い合わせください。
■お問い合わせはこちら
本記事は、ESETの公開レポートおよび各種公開情報をもとに構成しています。
主要参考元:ESET Research「Killing me gently: Inside Gentlemen's EDR killer framework」
著者:横井 宏治 Koji Yokoi, CISSP
