代替データストリーム|サイバーセキュリティ.com

  1. ホーム /
  2. セキュリティ用語集 /
  3. 代替データストリーム
             

代替データストリーム

代替データストリーム(Alternate Data Stream, ADS)とは、MicrosoftのNTFS(New Technology File System)におけるファイルシステムの機能で、メインのファイルデータに追加のデータストリームを関連付けることができる仕組みです。この機能により、ファイルに対して複数のデータストリームを持たせ、通常のエクスプローラー上では見えない形で追加情報を格納することが可能です。

元々は互換性のために導入された機能で、主にファイルのメタデータやセキュリティに関連する情報を管理するために使用されます。しかし、特定のセキュリティツールでは検出が困難であり、この特性を悪用してウイルスやマルウェアが隠しファイルとして利用するケースもあるため、セキュリティ面での対策が重要視されています。

代替データストリームの特徴

1. 複数のストリームの格納が可能

NTFSファイルシステム上で、1つのファイルに対して複数のデータストリームを追加できます。これにより、メインのデータ以外にも付随情報(例:作成者情報、説明テキスト、バージョン情報など)をファイルに紐づけることが可能です。例えば、ファイル名「example.txt」に対して「example.txt」という代替データストリームを追加することで、見えない形で追加情報を保持できます。

2. ファイルサイズには反映されない

代替データストリームに格納されたデータは、通常のファイルサイズとしては反映されません。そのため、エクスプローラーや標準的なファイルプロパティでは、ストリーム内のデータサイズが認識されないため、ファイルが占める実際の容量と一致しない場合があります。この特性により、セキュリティソフトやバックアップツールの対応が必要です。

3. 非表示のデータ保存が可能

代替データストリームに保存されたデータは、通常のファイル閲覧では表示されず、コマンドラインなど特別な手段でのみ確認できます。このため、ユーザーには気づかれずに情報をファイルに紐づけて格納できる点が大きな特徴です。

代替データストリームの利用方法

代替データストリームは、主にメタデータの管理やファイルに付随する情報の非表示の管理などに利用されています。例えば、以下のような場面で活用されています。

  • ファイルの付随情報の保存:作成者情報、ドキュメントの説明、アプリケーション特有の設定などを、ファイル自体に含めずに関連付けるために使用されます。
  • セキュリティラベルの追加:ファイルのアクセス権限や検証情報を非表示で追加し、ファイルの機密性を管理する用途に活用されています。
  • アプリケーションのキャッシュデータ:特定のアプリケーションが、一時データやキャッシュデータとして代替データストリームを活用することで、ファイル構造を複雑にしないまま情報を保存する場合があります。

セキュリティリスク

代替データストリームは便利な機能ですが、その不可視性からセキュリティリスクも内在しています。特に、以下のようなリスクが懸念されています。

1. マルウェアの隠蔽

代替データストリームはファイルサイズに影響を与えず、通常のエクスプローラー画面でも見えないため、悪意のあるプログラムが検出を逃れるための手段として利用するケースが多々あります。例えば、ウイルスやスパイウェアが代替データストリームに自己を格納し、ユーザーやセキュリティソフトに検知されにくくする攻撃手法があります。

2. 情報漏洩のリスク

代替データストリームに含まれるデータは、通常のファイル操作で簡単に閲覧できないため、重要な情報が無意識に保存され、他のユーザーに気づかれないまま流出する可能性があります。特に、ファイル共有やクラウドへのアップロード時には、見えない情報が外部に漏洩するリスクがあるため注意が必要です。

3. バックアップと復元の課題

一部のバックアップツールでは、代替データストリームの内容を含めずにファイルをバックアップしてしまうことがあります。その結果、復元時にメインのデータだけが戻され、付随する重要な情報が失われる可能性があるため、バックアップポリシーや使用するツールの対応状況の確認が求められます。

代替データストリームの確認と削除方法

代替データストリームの確認や削除は、Windowsのコマンドラインから行うことが可能です。以下に一般的な確認方法を紹介します。

  • 代替データストリームの確認dir /r コマンドを使用すると、ファイルに関連付けられた代替データストリームを一覧表示できます。 
    dir /r example.txt
  • 代替データストリームの削除:PowerShellコマンドを利用することで、代替データストリームを削除することが可能です。以下のコマンドを実行すると、特定のストリームを削除できます。 
    Remove-Item "example.txt:stream1"

代替データストリームの活用と注意点

代替データストリームは、メタデータやセキュリティ情報の保存などに便利な機能ですが、扱いには注意が必要です。特に、情報漏洩リスクやセキュリティインシデントを防ぐため、ファイルのメタデータ管理ポリシーの中で代替データストリームの利用をルール化することが推奨されます。さらに、バックアップやセキュリティツールが代替データストリームを適切に処理できるかを確認し、ファイル管理におけるリスクを最小限にすることが重要です。

まとめ

代替データストリームとは、ファイルに付随するメタデータや追加情報を非表示で保存できるNTFSの機能です。便利な一方で、情報漏洩やマルウェアの隠れ場所として利用されるリスクがあるため、セキュリティ対策や運用ポリシーが求められます。定期的な確認や適切な管理を行い、安全にファイル情報を取り扱うことが大切です。

関連コラム(あわせて、以下の記事もよく読まれています)

製品・サービス(当該コラムの内容に関連する製品・サービスはこちら)


SNSでもご購読できます。