EDRを“窒息”させる攻撃ツールが公開 Windows標準搭載のQoSを利用：監視製品の生命線を断つ

「EDRさえ導入すれば安心」という前提を揺るがす新たな回避手法が登場した。Windowsに標準搭載されたQoS機能を使い、EDRを“気付かれずに息切れ”させるものだ。手法の詳細と防御策を見ていこう。

[＠IT]

　セキュリティ研究チーム「Zero Salarium」は2026年6月7日（現地時間）、クラウド型EDR（Endpoint Detection and Response）製品の通信を妨害する新たな攻撃手法と、その実装ツール「EDRChoker」を公開した。「Windows」のQoS（Quality of Service）機能を利用してEDRエージェントの通信帯域を極端に制限し、管理サーバとの接続を維持できない状態に導く手法だという。

　最近のEDR製品は、端末上のエージェントとクラウド側サーバとの継続的な通信を前提として動作している。この通信経路が失われると、監視やログ収集、遠隔制御など多くの機能に影響が及ぶ。Zero Salariumは、この構造的な依存関係に着目した回避手法を説明している。

目を付けたのは“帯域制限”という抜け道　防御策はあるのか？

　EDR通信を遮断する既存の代表的な方法としては、「Windows Defender Firewall」のルール作成と、「Windows Filtering Platform」（WFP）のフィルター設定が挙げられる。Windows Defender Firewallは内部的にWFPを利用して通信制御をしており、管理者権限を持つユーザーは特定プロセスの通信を遮断するルールを作成できる。

　Zero Salariumによれば、今回の手法ではこの仕組みを悪用し、EDR関連プロセスの外向き通信を禁止することでテレメトリーや管理通信を停止させる。ただし、「Microsoft Defender」の中核プロセス「MsMpEng.exe」には保護機構が存在し、制限的なファイアウォールルールの適用は通常阻止されるという。

　今回使われたQoSによる帯域制御手法について細かく見ていこう。Windowsの「Policy-based QoS」では、アプリケーションやポート単位で送信帯域の上限を設定できる。同手法では、PowerShellの「New-NetQosPolicy」コマンドを利用してポリシーを作成し、対象プロセスの通信速度を制限した。

　検証では、実運用上設定可能な最小値は毎秒8bitだったという。一般的なアプリケーションはTLSによる暗号化通信を前提としており、TLSハンドシェイクだけでも数KBから10KB超のデータ交換が発生する。証明書チェーンの送受信が通信量の大半を占めるため、帯域が極端に低い環境では接続確立に必要なデータ交換が完了できない。

　TLSハンドシェイクの構成要素としては「Client Hello」「Server Hello」および鍵交換、証明書チェーン、接続確立確認用メッセージなどがある。多くのアプリケーションやサーバは数秒程度のタイムアウト設定を備えているため、通信速度が著しく低下すると接続失敗と判断される。その結果、パケットを直接遮断しなくても、EDRエージェントがサーバに送信する通信を事実上成立させない状態を作り出せるという。

　この考え方を実装したのがEDRChokerだ。ツールは一般的なEDRプロセス名の一覧を読み込み、それぞれに毎秒8bitの帯域制限を課すQoSポリシーを生成する。検証環境として「Elastic Defend」を使用し、ポリシー適用後にクライアントとサーバの接続が失われる様子が示されている。

　EDRChokerにはインストールモードと削除モードの2種類がある。インストールモードでは対象プロセス一覧を指定してQoSポリシーを作成する。削除モードでは追加したポリシーを除去する。各ポリシーにはプロセス名とランダムなGUIDが付与され、再起動後も設定は維持されるという。

　Zero SalariumはこうしたQoSによる帯域制御を使ったEDR回避手法への防御策として、端末のQoS設定を定期的に監査すること、PowerShell監査ログやWindowsイベントログでポリシー作成や帯域制限適用を追跡することを推奨した。この他、攻撃者が管理者権限を取得する前段階の挙動を監視することも重要だとしている。