原神炎上騒動

げんしんえんじょうそうどう

原神の炎上のうち、mhyprot2.sysにまつわる騒動炎上騒動のまとめ。

第1回炎上

原神のアプリを終了・またはアンインストールしてもアンチチートプログラム「mhyprot2」が起動し続けたり、残ったままになる仕様と、iOS版のグリップボードの取得がiOSそのもののアップデートによって露出したことが、ユーザーに「スパイウェアではないか？」と疑われ、反発を招いた一連の騒動。

運営のmiHoYoはこれらについて「個人情報の安全性を脅かすと誤認させてしまった」として謝罪。

アップデートによりこれらの問題を修正。アンチチートプログラムについても起動・終了条件を緩和し、削除を容易に可能とした。

このプログラムは2年後にまた悪さをすることになる。mhyprot2.sysの脆弱性が報告されていたが修正していなかったことが判明している。

2022年8月24日、トレンドマイクロは「mhyprot2.sys」がウイルス対策ソフトウェアの無効化やランサムウェア攻撃に悪用されていると発表した。

その中で「mhyprot2.sysがあらゆるマルウェアに組み込まれる可能性があることを、セキュリティチームやシステムの管理者は念頭に置いておく必要があります」とあり、原神をインストールしていないPCに対しても影響を及ぼす可能性があるとして注意を呼びかけた。

更に第1回炎上時に作成されたプロセス操作プログラム「Mhyprot2DrvControl」がそのまま改変されて攻撃に使用されたことも判明し、HoYoverse(旧miHoYo)が「mhyprot2.sys」の改修をしていなかったと断じている。

実際にこれを悪用したBYOVD（OSのカーネル権限を奪取し、アンチウイルスやセキュリティ対策などを無効化する）攻撃が2023年現在も観測されており、セキュリティ関係者は注意が必要である。

mhyprot2.sysはデジタル署名された正当なモジュールであるため、現時点では下記のようにファイルそのものをブロックする以外に解決策はない。

これらの問題に対してmiHoYoはmhyprot2.sysに代わるmhyprot3.sysを導入した。

しかし、mhyprot3.sysはSERVICE_NAMEがmhyprot2のままだという報告があり、実際に脆弱性が修正されたかは不明。今後の調査が待たれる。

一方Microsoftはmhyprot2.sysとmhyprot3.sys及びその類似ファイル（mhyprotect.sysなど）を全て脆弱なドライバーのブロックリストに設定した。

これはセキュリティに問題がある既知のドライバーに制限をかけるWindowsのセキュリティ対策機能である。原神のアンチチートプログラムは文字通り安全ではないと見なされたのである。

これをオンにした状態で原神をプレイすると、環境にもよるがブルースクリーンなどのエラーが発生しやすくなることが報告されている。もちろん無効にすれば問題なく遊べるのだが、言うまでもなくセキュリティ的にはよろしくないため、注意が必要。