« 「Surface AiO」以外の隠し球は? 26日深夜の米Microsoft発表会 - 阿久津良和のWindows Weekly Report | トップページ | Officeに関してはOSが64ビットであっても32ビット版をインストールするのがよいとされている »

2016年10月31日 (月)

Windowsの設計に起因する攻撃手法「AtomBombing」、セキュリティ企業が発見

Windowsの仕組みを悪用し、セキュリティ対策をかわして不正なコードを仕込むことができてしまう新たな手法を発見したとして、セキュリティ企業enSiloの研究チームが10月27日のブログで情報を公開した。同社はこの攻撃手法を「AtomBombing」と命名している。


Windowsへの攻撃手法を明らかにしたenSilo
 enSiloによると、この問題はWindows 10を含む全バージョンに影響を及ぼす。コードの脆弱性を突くわけではなく、Windowsの設計に原因があることから、修正パッチでは対応できないという。

 攻撃者が悪用すれば、正規のプロセスに悪質なコードを仕込むことが可能になり、セキュリティ対策をかわしてユーザーに気付かれないままセンシティブな情報を入手することができてしまう恐れがあるとされる。

 AtomBombingの名称は、この攻撃がWindowsの「アトムテーブル」と呼ばれる仕組みを突いていることに起因する。アトムテーブルはアプリケーションでデータの保存やアクセスを可能にするためWindowsに実装されている仕組みで、アプリ間のデータ共有にも利用できる。

 enSiloが発見した攻撃手法では、このアトムテーブルに悪質なコードを書き込み、正規のプログラムによってテーブルからそのコードを取得させることが可能だという。不正なコードを含んだ正規のプログラムを操作して、任意のコードを実行させることもできるとしている。

 この手口を利用すれば、ウイルス対策ソフトウェアなどのエンドポイント侵入防止措置をかわすことも可能だと同社は解説する。だが、手口が分かればこうした製品によって攻撃を検出・防止することも可能になるとした。

 今回の発見についてセキュリティ企業のSANS Internet Storm Centerでは、「マルウェアがシステムに潜伏する手段がまた一つ見つかったに過ぎず、ユーザーが行動を変える必要は何もない」と指摘。マルウェア対策製品もいずれこの攻撃を防止できるようになるだろうと予想している。


「ユーザーが行動を変える必要はない」と解説するSANS

windows10 プロフェッショナル
windows10 エディション

« 「Surface AiO」以外の隠し球は? 26日深夜の米Microsoft発表会 - 阿久津良和のWindows Weekly Report | トップページ | Officeに関してはOSが64ビットであっても32ビット版をインストールするのがよいとされている »