トレンドマイクロがマイクロソフトWHQL認証のテストを欺いていた可能性。

cheating
Tech’s Volkswagen moment? Trend Micro accused of cheating Microsoft driver QA by detecting test suite
AV maker denies allegation, says researcher is ‘looking for attention’
The Register – Independent news and views for the tech community. Part of Situation Publishing

トレンドのカーネルレベルのコードで書かれたドライバーMysteriousCheck()という名前の関数は、特定のMicrosoftテストスイート(ドライバー検証ツール / Driver Verifier)が実行されているかどうかを検出するように見える。
なお、このテストスイートで、ドライバーがMicrosoftのWindows Hardware Quality Labs(WHQL)要件を確実に満たすように設計されている。ドライバーがこの基準を満たす場合はMicrosoftによってデジタル署名され、Windows Updateおよび同様の仕組みを介して配布される可能性がある。

具体的にMicrosoftのテストに合格するには、ソフトウェアのセキュリティ対策として、非実行非ページプール(別名NonPagedPoolNx)からメモリを割り当てる必要がある。よってMicrosoftのテスト対象のコンピューターでトレンドのドライバーが実行されている場合は、ソフトウェアはその動作を変更して、想定どおりの非実行非ページプールを使用する。だがテストが実行されていない場合、実行可能な非ページプールからメモリを割り当てている。
つまり悪意のあるユーザーやマルウェアがオペレーティングシステムの実行可能な非ページプールに悪意のあるコードを隠すため、これらは悪用される可能性がある。

投稿者: 二本松 哲也

志を持った人たちと、夢に向かって共に働くことが私の誇りです。 セキュリティコンサルタント、キャリア(個人事業主 PG→SE→PL→PM→ 会社員 ITコンサル 兼 情シス)、資格(2級知的財産管理技能士、個人情報保護士)、IPCC 地球温暖化防止コミュニケーター