原神炎上騒動

通称「原神炎上騒動」とは、中国のゲーム開発会社miHoYoが自社製アプリに搭載していたアンチチートプログラムの不審な挙動、およびこのアンチチートプログラムがサイバー犯罪に利用されてしまったことによる、miHoYo製ゲームの安全性に対する懸念に由来する一連の事件の総称である。この事件の発端となったゲームにちなんでこの名がつけられている。

全ては2020年9月28日(つまりリリース直後)、当時miHoYoの最新作だった原神のアプリを終了・またはアンインストールしてもアンチチートプログラム「mhyprot2」が起動し続けたり、残ったままになるという謎の仕様が発見され、さらにほぼ同じ頃iOS版のクリップボードの取得がiOSそのもののアップデートによって露呈したことが、ユーザーに「スパイウェアではないか？」と疑われ、世界的な反発と混乱を招いたことが一連の騒動の始まりである。

最初の事件については様々な憶測が拡散し、一時は中国政府との関係まで噂されたが、いずれもはっきりしない憶測のまま沈静化した。

2022年8月24日、トレンドマイクロは「mhyprot2.sys」がウイルス対策ソフトウェアの無効化やランサムウェア攻撃に悪用されていると発表した。

その中で「mhyprot2.sysがあらゆるマルウェアに組み込まれる可能性があることを、セキュリティチームやシステムの管理者は念頭に置いておく必要があります」とあり、原神をインストールしていないPCに対しても影響を及ぼす可能性があるとして注意を呼びかけた。

更に第1回炎上時に作成されたプロセス操作プログラム「Mhyprot2DrvControl」がそのまま改変されて攻撃に使用されたことも判明し、HoYoverse(旧miHoYo)が「mhyprot2.sys」の改修をしていなかったと断じている。

実際にこれを悪用したBYOVD（OSのカーネル権限を奪取し、アンチウイルスやセキュリティ対策などを無効化する）攻撃が2023年以降も観測されており、セキュリティ関係者は注意が必要である。

mhyprot2.sysはデジタル署名された正当なモジュールであるため、現時点では下記のようにファイルそのものをブロックする以外に解決策はない。

https://jp.ign.com/genshin-impact/47299/news/pc

https://www.gamespark.jp/article/2020/10/01/102612.html

https://www.trendmicro.com/en_us/research/22/h/ransomware-actor-abuses-genshin-impact-anti-cheat-driver-to-kill-antivirus.html

https://gigazine.net/news/20220826-genshin-impact-anti-cheat-system-disable-antivirus/

https://asec.ahnlab.com/en/47088/

https://www.linkedin.com/pulse/breaking-down-genshin-impacts-ransomware-attack-scott-harper-lt36f