プロセス・ハーパダーピング|サイバーセキュリティ.com

  1. ホーム /
  2. セキュリティ用語集 /
  3. プロセス・ハーパダーピング
             

プロセス・ハーパダーピング

プロセス・ハーパダーピング(Process Herpaderping)は、マルウェアがセキュリティソフトから検知されるのを回避するための手法の一つで、Windows OSにおけるプロセスの生成とファイルの実行に関する挙動のズレを利用しています。この手法では、マルウェアが正規のプロセスとして偽装され、セキュリティソフトのスキャン対象から外れるように工夫されます。

プロセス・ハーパダーピングは、プロセスが実行される際に、システム上でマルウェアのコードが別の正規ファイルとして見せかけられることを可能にします。これにより、ファイルの実体とは異なるコードが実行されていても、セキュリティソフトからは正規のプロセスとして認識され、悪意のあるコードを検出されにくくします。

プロセス・ハーパダーピングの仕組み

プロセス・ハーパダーピングは、以下のようなプロセスの生成とファイル実行の流れを利用して行われます。

  1. 正規のファイル名でのファイル作成 攻撃者は、マルウェアを含む実行ファイルを一時的に作成し、正規のファイル名を付与することで、セキュリティソフトに正規のプロセスであるかのように見せかけます。
  2. ファイル内容の変更 ファイルの内容を実行前に変更し、マルウェアのコードを挿入します。この操作により、見かけ上のファイル名やパスは正規のものですが、実際には悪意のあるコードが内部に含まれています。
  3. プロセスの起動 システムはファイルを正規の実行ファイルと認識してプロセスを起動します。セキュリティソフトがスキャンする際、正規のファイル名やパスが表示されているため、不審なプロセスと認識されにくくなります。
  4. 悪意のあるコードの実行 プロセスがメモリ内にロードされると、悪意のあるコードが実行されます。この時点で、セキュリティソフトはすでにプロセスを正規のものとして認識しているため、不正なコードを検出しにくくなります。

このように、プロセス・ハーパダーピングでは「ファイル名やパスを正規のものに見せかける一方で、内部コードを悪意のあるものに置き換える」という手法を取ります。これにより、セキュリティソフトのファイルスキャンを回避し、マルウェアを実行させることが可能になります。

プロセス・ハーパダーピングの目的とリスク

主な目的

  • 検知回避:正規ファイル名やプロセスパスを用いることで、セキュリティソフトが不審なプロセスとして検出しないようにします。これにより、悪意のあるコードの実行をセキュリティの監視から隠すことができます。
  • 持続的な攻撃:悪意のあるプロセスが検知されずに実行され続けるため、システムに長期間感染し、持続的なスパイ活動や情報収集を行うことが可能になります。

主なリスク

  • 情報漏洩:マルウェアが長期間システムに潜伏することで、ユーザーの機密情報や企業データが外部に流出するリスクが高まります。
  • システムの制御奪取:プロセス・ハーパダーピングを使ってシステムに不正に入り込み、管理者権限を奪取することで、システム全体の制御を悪用される可能性があります。
  • 拡散と感染:一度システム内に侵入したマルウェアが、他のプロセスやネットワークに感染を拡大し、組織全体に被害が広がる危険性もあります。
  • システムパフォーマンスの低下:悪意のあるプロセスがシステムリソースを消費することで、システムのパフォーマンスが低下し、正常な動作に支障が出ることがあります。

プロセス・ハーパダーピングへの対策

プロセス・ハーパダーピングは、従来のファイルベースのスキャンを回避する手法であるため、メモリ上の動作やプロセス挙動を監視する対策が有効です。

1. EDR(Endpoint Detection and Response)の導入

EDRツールはエンドポイントでのプロセスやスレッドの動作をリアルタイムで監視し、異常な挙動を検出するためのシステムです。EDRを使用することで、検知しにくいプロセス・ハーパダーピングによる攻撃を発見しやすくなります。

2. アンチウイルスのメモリスキャン機能の活用

メモリ内の挙動も監視できるアンチウイルスソフトを導入し、リアルタイムのメモリスキャンを行うことで、悪意のあるコードが実行中に検出されやすくなります。

3. 権限管理とアクセス制御の強化

不正なプロセスがシステムにアクセスできないよう、プロセスごとに権限管理を徹底し、システムの重要な部分へのアクセスを制限することが有効です。

4. 定期的な脆弱性パッチの適用

プロセス・ハーパダーピングはWindows OSの挙動の隙間を突いた手法であるため、定期的にWindows OSを更新し、脆弱性を修正することで、リスクを減らせます。

5. 挙動監視ツールの導入

異常なプロセス生成や不審な挙動がないかを常時監視するツールを導入し、実行ファイルの変更や異常なプロセス生成を監視することで、ハーパダーピングによる攻撃を早期に発見します。

まとめ

プロセス・ハーパダーピングは、Windowsのプロセス生成時の挙動のズレを悪用して、正規のプロセスに偽装しながら悪意のあるコードを実行する検知回避手法です。この技術を利用することで、セキュリティソフトによるファイルスキャンをすり抜け、システム内で悪意のあるコードが実行されるリスクが生じます。EDRやメモリスキャンの活用、権限管理やOSの定期更新など、従来の検出方法に加えてメモリや挙動監視の強化が重要です。

関連コラム(あわせて、以下の記事もよく読まれています)

製品・サービス(当該コラムの内容に関連する製品・サービスはこちら)


SNSでもご購読できます。