概要
Qi-ANXIN QAX Virus Removalのミニフィルタードライバー「QKSecureIO_Imp.sys」において、ZwTerminateProcess関数にアクセス制御の不備が存在することが報告されました(CVE-2026-3796)。この脆弱性は、ローカル環境での不正なアクセス制御につながる可能性があり、既にこの脆弱性を悪用するエクスプロイトコードが公開されているとされています。ベンダーであるQi-ANXINには早期に情報が提供されたものの、現時点では応答がないと報告されています。
影響範囲
本脆弱性の影響を受けるのは、以下の製品およびコンポーネントです。
- 製品: Qi-ANXIN QAX Virus Removal (2025年10月22日までのバージョン)
- コンポーネント: ミニフィルタードライバー「QKSecureIO_Imp.sys」内の
ZwTerminateProcess関数
想定される影響
この脆弱性が悪用された場合、ローカル環境において不適切なアクセス制御が発生する可能性があります。これにより、攻撃者はシステム上のプロセスを不正に終了させるなど、意図しない操作を実行できる可能性があります。結果として、システムの安定性やセキュリティが損なわれる恐れがあります。
攻撃成立条件・悪用状況
- 攻撃成立条件: 攻撃はローカル環境での実行に限定されます。つまり、攻撃者は対象システムへの何らかのアクセス権限を既に持っている必要があります。
- 悪用状況: この脆弱性を悪用するエクスプロイトコードが既に公開されていると報告されており、攻撃に利用される可能性があります。ベンダーからの公式な対応は確認されていません。
推奨対策
優先度:高
- ベンダーからの情報収集とアップデート適用: ベンダーから公式なパッチやアップデートが提供され次第、速やかに適用を検討してください。現時点ではベンダーからの応答がないと報告されていますが、継続的な情報収集が重要です。
- 製品利用状況の確認: Qi-ANXIN QAX Virus Removalの利用状況を確認し、必要に応じて代替製品の検討や、当該製品の利用を一時的に停止することも選択肢となります。
優先度:中
- アクセス権限の最小化: システムへのアクセス権限を最小限に制限し、不必要なユーザーやプロセスが影響を受ける可能性を低減してください。
- エンドポイントセキュリティの強化: エンドポイントセキュリティソリューションを最新の状態に保ち、不審な挙動を検知できるよう監視を強化してください。
一時的な緩和策
現時点ではベンダーからの公式な緩和策は提供されていません。以下の対応を検討してください。
- 当該製品の利用を一時的に停止するか、影響を受ける可能性のあるシステムから隔離することを検討してください。
- 不審なプロセス実行やファイルアクセスがないか、システムログの監視を強化してください。
確認方法
- 製品バージョンの確認: Qi-ANXIN QAX Virus Removalのバージョンが2025年10月22日以前であるかを確認してください。
- ログの監視: システムログやセキュリティソリューションのログを定期的に確認し、
QKSecureIO_Imp.sysに関連する不審な活動がないか監視してください。