Windows Defender の「VulnerableDriver:WinNT/Winring0」警告を完全に解決する方法

はじめに

ASUS製マザーボードの管理ソフト「AI Suite 3」をアンインストールした後、PC起動のたびにWindows Defenderから以下のような警告が表示されるようになりました。

脅威がブロックされました
検出済み: VulnerableDriver:WinNT/Winring0
状態: 削除済み
このデバイスからの脅威はアプリケーションが削除されました。

この記事では、この問題の原因と私が実施した解決方法を、備忘録として残します。

環境

• OS: Windows 11 Pro 25H2
• マザーボード: ASUS PRIME B550M-A WIFI II
• アンインストールツール: GeekUninstaller
• 削除したソフトウェア: AI Suite 3

問題の概要

症状

• PC起動時に毎回Windows Defenderの警告が表示される
• 警告内容は「VulnerableDriver:WinNT/Winring0」
• 影響を受けた項目には C:\Windows\System\Temp\UDD*****.tmp のような一時ファイルが表示される
• ファイル名が毎回微妙に異なる（例：UDD5841.tmp、UDD587D.tmpなど）

発生タイミング

AI Suite 3をGeekUninstallerでアンインストールした直後から発生

原因の解明

VulnerableDriver:WinNT/Winring0 とは？

Winring0は、ハードウェアの低レベルアクセスを提供する古いドライバーです。以下のような用途で使用されていました：

• CPU温度の監視
• ファン速度の制御
• オーバークロック
• RGBライティング制御

しかし、このドライバーにはCVE-2020-14979として登録された重大な脆弱性があります。

脆弱性の内容

Winring0ドライバーは、悪意のあるプログラムに以下のような権限を与えてしまう可能性があります：

• カーネルレベルの権限取得
• セキュリティソフトの無効化
• 任意のメモリ領域への読み書き

このため、BYOVD攻撃（Bring Your Own Vulnerable Driver：脆弱なドライバーを持ち込む攻撃）に悪用されるリスクがあります。

影響を受けるソフトウェア

以下のようなソフトウェアがWinring0ドライバーを使用していることが知られています：

• ASUS AI Suite 3
• ASUS Armoury Crate
• MSI Afterburner
• HWiNFO
• Open Hardware Monitor
• EVGA Precision X1（旧版）
• その他、ハードウェア監視ツール

なぜ毎回警告が出るのか？

AI Suite 3をアンインストールしても、以下のものが残っていました：

1. タスクスケジューラに登録されたASUS関連のタスク
2. Windowsサービスとして登録されたASUSプロセス
3. レジストリに残った設定情報

これらが起動時にWinring0ドライバーを一時ファイルとして展開しようとし、Windows Defenderがそれを毎回ブロックしていたのです。

解決手順

ステップ1：AI Suite 3 Cleaner の実行

ASUS公式が提供する専用のクリーンアップツールを使用します。

1. ASUS公式サポートページにアクセス

   • 自分のマザーボードの型番で検索
   • 例：https://www.asus.com/jp/motherboards-components/motherboards/prime/prime-b550m-a-wifi-ii/

2. AI Suite 3 Cleaner をダウンロード

   • 「ドライバー & ユーティリティ」→「Utilities」セクション
   • ファイル名：UninstallAI3Tool_1.00.04.zip

3. 実行

   • ZIPファイルを解凍
   • RemoveAI3Files.exe を実行
   • 「Y」を押して確認
   • PC を再起動

⚠️ 注意: エラーメッセージが出ている状態で実行すると失敗する可能性があるため、タスクマネージャーでASUS関連のプロセスを終了してから実行してください。

ステップ2：Armoury Crate のアンインストール（該当する場合）

Armoury Crateがインストールされている場合は、こちらもアンインストールします。

1. 設定 → アプリ → インストールされているアプリ
2. 「Armoury Crate」を選択してアンインストール
3. PC を再起動

ステップ3：残存タスクの削除（Microsoft Autoruns使用）

Autorunsは、Windowsの起動時に自動実行されるプログラムを管理できるMicrosoft公式ツールです。

1. Autoruns のダウンロード

   • https://learn.microsoft.com/en-us/sysinternals/downloads/autoruns
   • または直接：https://download.sysinternals.com/files/Autoruns.zip

2. 実行

   • ZIPファイルを解凍
   • Autoruns64.exe を右クリック → 「管理者として実行」

3. ASUS関連タスクを無効化

   • 上部の「Filter」（フィルター）に「ASUS」と入力
   • 「Task Scheduler」タブで以下の項目を探してチェックを外す：
     • ASUS\AcPowerNotification
     • ASUS\ArmourySocketServer
     • ASUS\ASUSUpdateTaskMachineCore
     • ASUS\ASUSUpdateTaskMachineUA
     • ASUS\NoiseCancelingEngine
     • ASUS\P508PowerAgent_sdk

4. PC を再起動

ステップ4：残存サービスの確認と削除

PowerShellを管理者権限で開き、以下のコマンドを実行します。

# ASUS関連サービスの確認
sc.exe query | findstr "ASUS"

# 見つかったサービスの削除
sc.exe delete asComSvc
sc.exe delete asHmComSvc
sc.exe delete AsSysCtrlService
sc.exe delete ASUSFanControlService
sc.exe delete LightingService
sc.exe delete "ASUS Com Service"
sc.exe delete "ASUS AURA SYNC lighting service"

⚠️ 注意: 存在しないサービスを削除しようとするとエラーが出ますが、問題ありません。

ステップ5：最終確認と再起動

1. 再起動前の確認

   sc.exe query | findstr "ASUS"
   

   何も表示されなければOK

2. PC を再起動

3. 警告が出ないことを確認

解決結果

上記の手順を実施した結果、PC起動時のWindows Defender警告は完全に出なくなりました。

トラブルシューティング

それでも警告が出る場合

方法1：イベントビューアーで原因を特定

1. Win + R → eventvwr.msc と入力
2. 「Windowsログ」→「システム」
3. イベントID 3023 または 3033 を探す
4. どのプロセスがドライバーを読み込もうとしているか確認

方法2：デバイスマネージャーで残存ドライバーを削除

1. デバイスマネージャーを開く（Win + X → デバイスマネージャー）
2. 「表示」→「非表示のデバイスの表示」にチェック
3. ASUS、AsIO、WinRingなどの名前のドライバーを探す
4. 見つけたら右クリック → 「デバイスのアンインストール」
5. ✅ 「このデバイスのドライバーソフトウェアを削除する」にチェック

今後の対応策

1. ASUS製ソフトウェアの再インストール時の注意

• RGBライティングやファン制御が必要な場合は、最新版のArmoury Crateを使用する
• 最新版では、Winring0の代わりにより安全なドライバーが使用されている可能性がある

2. 代替ソフトウェアの検討

Winring0を使用しない代替ソフトウェア：

• ファン制御: Fan Control（https://github.com/Rem0o/FanControl.Releases）
• システムモニタリング: HWiNFO（最新版はWinring0を使用しない）
• RGBライティング: OpenRGB、SignalRGB など

3. BIOSで設定可能な機能の活用

以下の機能はBIOSで直接設定できます：

• ファン速度カーブ
• 電源管理
• オーバークロック設定

ASUSマザーボードのBIOSは、これらの設定に対応しているため、ソフトウェアを使わなくても十分に制御可能です。

4. Windows Defenderの脆弱なドライバーブロックリスト

Windows 11 22H2以降では、「Microsoft Vulnerable Driver Blocklist」がデフォルトで有効になっています。

確認方法:

1. Windows セキュリティ → デバイス セキュリティ
2. コア分離 → コア分離の詳細
3. 「Microsoft Vulnerable Driver Blocklist」がオンになっていることを確認

この機能により、既知の脆弱なドライバーが自動的にブロックされます。

まとめ

問題の本質

• AI Suite 3のアンインストールが不完全だった
• タスクスケジューラとWindowsサービスにASUS関連の項目が残っていた
• それらが起動時にWinring0ドライバーを読み込もうとしていた
• Windows Defenderが毎回それをブロックして警告を表示していた

解決のポイント

1. AI Suite 3 Cleaner で完全削除
2. Armoury Crate のアンインストール
3. Microsoft Autoruns でタスクスケジューラの残存項目を削除
4. PowerShellでWindowsサービスの残存項目を削除
5. 再起動

セキュリティ上の重要な教訓

• 古いドライバーには脆弱性が存在する可能性がある
• アンインストール後も残骸が残ることがある
• Windows Defenderの警告は無視せず、原因を調査すべき
• 最新のソフトウェアを使用することが重要

参考資料

• Microsoft: VulnerableDriver:WinNT/Winring0 Alert
• CVE-2020-14979 Details
• Microsoft Recommended Driver Block Rules
• Microsoft Sysinternals - Autoruns

おわりに

この問題は、一見するとマルウェアのように見えますが、実際にはASUS製ソフトウェアの不完全なアンインストールが原因でした。Windows Defenderが正常に脅威をブロックしていたため、実害はありませんでしたが、毎回警告が表示されるのは煩わしいものです。

同様の問題に遭遇した方の参考になれば幸いです。