「Windows」アップデートの悪用で企業ネットワーク侵害の恐れ--研究者

Zack Whittaker (ZDNET.com) 翻訳校正: 編集部

2015-08-07 11:12

 「Windows」のアップデートで配信されるパッチにマルウェアが含まれていないと言い切れるだろうか。

 英セキュリティ企業Contextは米国時間8月5日、ラスベガスで開催されたセキュリティカンファレンス「Black Hat」で、ハッカーがWindowsのアップデートの仕組みにある弱点を悪用して企業ネットワークに侵入するのをデモしてみせた。

 攻撃はシンプルだ。企業ネットワーク上のPCは多くの場合、ネットワークにあるWindows Server Update Services(WSUS)サーバを経由してアップデートされる。しかし、このアップデートサーバの設定が安全ではないように実装されると、「ローカル権限昇格を悪用されネットワークへの攻撃」が可能になるという。

 Black Hatでの説明の前に米ZDNetが確認したレポートによると、「アップデートプロセスでは、署名され確認されたアップデートパッケージがダウンロードされ、システムにインストールされる。Microsoftの署名付きの既存のバイナリを転用することで、攻撃者が悪意あるアップデートを注入して任意のコマンドを実行できることを証明することに成功した」という。

 研究者らは低いアクセス権限を利用して偽のアップデートを設定し、これがネットワーク上にあるマシンに自動的にダウンロードされ設定されるようにした。

 SSL(Secure Socket Layer)などのウェブ暗号化技術を利用していないWSUSサーバは、攻撃者がマルウェアを含んだアップデートを注入する中間者攻撃に脆弱だ。

 研究者の1人であるPaul Stone氏は、暗号化を強制していないアップデートサーバは、「管理者が企業ネットワーク全体を一気に危険にさらしてしまうリスク」を生じさせていると警告している。

 「懸念の1つが、USBデバイスを挿したところドライバの中に脆弱性があり、これが不正な目的で利用されるというパターンだ」と同氏は述べている。


提供:Context

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. ビジネスアプリケーション

    生成 AI を活用した革新的な事例 62 選 課題と解決方法を一挙紹介

  2. セキュリティ

    新入社員に教えるべき情報セキュリティの基礎知識--企業全体を守るための基本ルールを徹底解説

  3. セキュリティ

    KADOKAWAらの事例に学ぶ、2024年サイバー攻撃の傾向と対策

  4. セキュリティ

    【マンガで解説】なぜ中小企業でも最新のセキュリティ対策を強化しなければいけないのか?

  5. ビジネスアプリケーション

    調査結果が示す、通信業界の「生成 AI 活用」インパクト--成果を達成する 4 つのユースケース

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]