Microsoft、デフォルトブラウザの変更を新しいドライバでブロック

画像提供：マイナビニュース

Bleeping Computerは4月7日(米国時間)、「New Windows driver blocks software from changing default web browser」において、新しいWindowsドライバ「UCPD.sys」によりサードパーティーのソフトウェアによるHTTP、HTTPS、.PDFのデフォルトアプリケーション設定の変更がブロックされると伝えた。このドライバは2月の更新プログラムKB5034763(Windows 10)またはKB5034765(Windows 11)によってインストールされるという。

○「UCPD.sys」でブロックされると何が起こるのか？

このドライバによるブロック機能は、ITコンサルタントのChristoph Kolbicz氏によって発見された。同氏は「SetUserFTA」および「SetDefaultBrowser」と呼ばれるツールを開発しており、これらツールはデフォルトブラウザの設定を変更できる。

Christoph Kolbicz氏が4月3日(現地時間)に公開したブログ「UserChoice Protection Driver – UCPD.sys – the kolbicz blog」によると、2月以降、同ツールを使用するユーザーからデフォルトブラウザを変更できないとの報告を受けたという。報告を受けて動作を確認したところ、レジストリへの書き込みがエラーで失敗することが判明。しかしながら、Windowsの設定からは問題なく変更できるため、さらなる調査を続行している。

同氏はさまざまな調査の結果、「UserChoice Protection Driver」と呼ばれる「UCPD.sys」が原因であることを突き止めた。そして、このドライバをリバースエンジニアリングし、プロセスのブラックリストとMicrosoftの署名付きバイナリのホワイトリスト、保護対象のレジストリキーの一覧がドライバに含まれていることを確認している。

○「UCPD.sys」によるブロックの影響と対策

このドライバはブラックリストに含まれるコマンドおよびアプリからのレジストリキーの変更をブロックし、さらにホワイトリストに含まれないアプリからの変更もブロックするとみられる。そのため、Microsoftによって署名された特定のアプリ以外からはHTTP、HTTPS、.PDFのデフォルトアプリケーションを変更することはできない。