ADS|サイバーセキュリティ.com

  1. ホーム /
  2. セキュリティ用語集 /
  3. ADS
             

ADS

ADS(Alternate Data Streams) は、WindowsのNTFS(New Technology File System)でサポートされるファイルシステム機能の一つで、主たるデータストリーム(ファイルデータのメイン部分)とは別に、追加情報(別のデータストリーム)をファイルやフォルダに付加できる仕組みです。これにより、ファイルに見えない形で別の情報を隠して保存することが可能です。

元々ADSは、互換性維持のためにNTFSで導入され、他のファイルシステムとの互換性を保つことが目的でした。しかし、隠れたデータストリームにアクセスするには特殊なコマンドが必要であるため、セキュリティ上のリスクがあるとされ、マルウェアや不正プログラムによる隠れたデータ保存にも利用されることがあります。

ADSの特徴と機能

ADSは、NTFSの機能を利用してデータをファイルやディレクトリのメインデータストリーム以外の場所に格納できるため、一般的なユーザーには見えない形でデータを保存することができます。以下は、ADSの主な特徴と機能です。

1. ファイルに追加情報を付加可能

ファイルのメインストリームとは別のデータストリームを追加することで、ファイルの属性やメタデータとしての利用が可能です。たとえば、ファイルのプロパティ情報、サムネイル、キャッシュ情報を付加することができます。

2. データを非表示で保持できる

ADSは、ファイルエクスプローラーなどの一般的なファイル閲覧ツールからは見えないため、データが表面上は表示されず、隠された状態で保持されます。この機能があるため、マルウェアが自己のコードやデータを隠す目的で利用するケースもあります。

3. 複数のデータストリームを持つことができる

ファイルやフォルダには複数のデータストリームを付加できるため、メインデータとは異なる情報を複数保持することが可能です。たとえば、画像ファイルにメタ情報やバージョン情報を含めるなど、ファイル拡張子やメインデータと異なる情報を格納できます。

4. 特定のコマンドやツールでのみアクセス可能

ADSにアクセスするには、Windowsのコマンドプロンプトや専用のファイルシステム管理ツールが必要です。一般的なファイル操作では表示されないため、隠れたデータとして利用される場合もあります。

ADSの使用方法

ADSを利用するには、Windowsのコマンドプロンプトでコマンドを使ってデータストリームを追加したり、読み込んだりします。以下は、基本的な使用方法です。

1. データストリームの作成

ファイルに新たなデータストリームを追加するには、「:ストリーム名」を使用します。例えば、sample.txt というファイルに secret というデータストリームを追加する場合は次のようにします。

echo "隠しメッセージ" > sample.txt:secret

このコマンドは、sample.txt に「隠しメッセージ」という内容を含む secret というストリームを作成します。このデータは通常のファイル閲覧では表示されません。

2. データストリームの表示

データストリームの内容を表示するには、以下のようにmoreコマンドを使用します。

more < sample.txt:secret

これにより、sample.txt に含まれる secret データストリームの内容が表示されます。

3. データストリームの削除

データストリームを削除するには、ファイルそのものを削除する必要があります。NTFSでは個別のデータストリームを直接削除できないため、ファイル全体を削除することでデータストリームも同時に削除されます。

del sample.txt

ADSの利点とリスク

ADSには便利な利用方法がある一方で、セキュリティ上のリスクも伴います。

利点

  • メタデータの追加: ファイルのバージョン管理や追加情報の管理に役立ち、データとその付加情報を一緒に管理できます。
  • 非表示の情報管理: ファイルに非表示のデータを付加できるため、ユーザーに見せる必要のないシステム情報の保存に利用可能です。

リスク

  • マルウェアによる悪用: ADSは見えない場所にデータを隠せるため、マルウェアが自らのコードを隠し、検出を回避する手段として悪用されるリスクがあります。
  • フォレンジックでの解析難度: 隠されたデータストリームは通常のファイル閲覧ツールからは見えないため、フォレンジック調査でも見逃される可能性があり、犯罪の証拠隠滅にも使われることがあります。

セキュリティ対策と管理

ADSを安全に利用し、不正利用を防ぐための対策も重要です。

1. セキュリティソフトでのスキャン

最新のセキュリティソフトウェアは、ADSをスキャンしてマルウェアや疑わしいデータの存在を検出する機能が備わっているものもあります。定期的にスキャンを実行し、怪しいストリームがないか確認することが有効です。

2. システム監査とログの確認

システム監査やアクセスログを確認し、通常とは異なるファイルアクセスやストリーム操作が行われていないか確認します。不審なファイル操作やアクセスが記録されていた場合は、早急に対応を検討することが重要です。

3. 専用ツールによる検査

ADSに含まれるデータストリームの有無を確認するための専用ツールやスクリプトを使用して、定期的にファイルシステムを監査することが有効です。たとえば、「Streams」(Sysinternals社提供)といったツールは、ファイルに含まれるデータストリームを一覧表示できるため、不審なストリームを早期に発見できます。

まとめ

ADS(Alternate Data Streams)は、NTFSのファイルシステムでサポートされている隠れたデータストリームの仕組みで、ファイルやフォルダに追加情報を非表示で保存することが可能です。もともとは互換性やメタデータ保存のために設計された機能ですが、悪用されることでセキュリティリスクも発生し得ます。

利用者は、ADSがもたらす利便性とリスクを理解した上で、適切に管理し、セキュリティ対策を実施する必要があります。特に、不審なデータストリームの監視や定期的なシステムスキャンを行い、セキュリティリスクを未然に防ぐことが重要です。

関連コラム(あわせて、以下の記事もよく読まれています)

製品・サービス(当該コラムの内容に関連する製品・サービスはこちら)


SNSでもご購読できます。