Windows上のアンチウイルスソフトをマルウェアに変えるゼロデイ脆弱性

Liam Tung (ZDNET.com) 翻訳校正: 編集部

2017-03-23 11:26

 「Windows」に標準搭載されている実行時検証ツールを悪用し、ウイルス対策ソフトウェアをマルウェアに変える新たな攻撃手法「DoubleAgent」がセキュリティ研究者らによって発見された。

 イスラエルに拠点を置くセキュリティ企業Cybellumは現地時間3月22日、同社ウェブサイト上でDoubleAgentについての詳細を明らかにした。Cybellumによると、DoubleAgentはAvast SoftwareとAVG Technologies、Avira、Bitdefender、Trend Micro、Comodo、ESET、F-Secure、Kaspersky Lab、Malwarebytes、McAfee、Panda Security、Quick Heal Technologies、Symantecの製品に影響を与え得ることを確認したという。Cybellumは、他のウイルス対策ソフトウェア製品も同様に脆弱である可能性が高いと述べている。

 この攻撃は、「Microsoft Application Verifier」を悪用するものとなっている。Application Verifierは、サードパーティーが開発したWindowsアプリケーションのバグを発見し、セキュリティを強化するための実行時検証ツールであり、「Windows XP」から「Windows 10」までのバージョンに標準搭載されている。

 Cybellumのウェブページには「われわれの研究者らはApplication Verifierの文書化されていない機能を発見した。この機能を利用することで攻撃者は、標準搭載されている検証機能を自らでカスタマイズしたものに置き換えられるようになる」と記されている。

 また同ページには、「この能力を悪用すれば、どのようなアプリケーションにも、カスタマイズした検証機能を注入できる。こういった検証機能がいったん注入されると、そのアプリケーションは攻撃者の意のままに制御されるようになる」とも記されている。

 問題の根はMicrosoft側にあるのではなく、ウイルス対策ソフトウェアのベンダー側にある。いずれにしても、影響のあるウイルス対策ソフトウェア製品を使用している組織は、この攻撃による被害を被る可能性がある。

 実際のところこの問題は、すべてのソフトウェアに影響を及ぼす可能性があるものの、Cybellumはウイルス対策ソフトウェアに焦点を当てている。というのもこういった製品は、高い権限で実行され、信頼が置けると考えられているためだ。

 このためCybellumは、ウイルス対策ソフトウェアが乗っ取られた場合、組織が使用しているその他のセキュリティ製品まで無力化されると警告している。

 同社の共同設立者兼最高技術責任者(CTO)Michael Engstler氏は同社ウェブサイトの別のページで、DoubleAgentによって、任意のプロセスに対してダイナミックリンクライブラリ(DLL)を注入できるようになると説明している。また、注入されたDLLは再起動の後も有効なものとして残り続け、プログラムのアンインストールや再インストールを実施しても除去できないという。

 Engstler氏がBleeping Computerに語ったところによると、現時点でこの問題に対処できているセキュリティベンダーはMalwarebytesとAVG、Trend Microだけだという。また同氏は、この攻撃に対する脆弱性を抱えているのはすべてのソフトウェアだが、マルウェアに対する防御をつかさどる位置付けにあるという理由で、ウイルス対策ソフトウェアに焦点を当てたとコメントしている。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    警察把握分だけで年間4000件発生、IPA10大脅威の常連「標的型攻撃」を正しく知る用語集

  2. セキュリティ

    まずは“交渉術”を磨くこと!情報セキュリティ担当者の使命を果たすための必須事項とは

  3. セキュリティ

    「2024年版脅威ハンティングレポート」より—アジアでサイバー攻撃の標的になりやすい業界とは?

  4. ビジネスアプリケーション

    Microsoft 365で全てを完結しない選択、サイボウズが提示するGaroonとの連携による効果

  5. セキュリティ

    生成AIを利用した標的型攻撃とはどのようなものなのか?実態を明らかにして効果的な対策を考える

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]