DKOM(Direct Kernel Object Manipulation)|サイバーセキュリティ.com

  1. ホーム /
  2. セキュリティ用語集 /
  3. DKOM(Direct Kernel Object Manipulation)
             

DKOM(Direct Kernel Object Manipulation)

DKOM(Direct Kernel Object Manipulation)は、マルウェアや攻撃者がWindowsオペレーティングシステムのカーネル内で直接オブジェクトを操作することで、システムを不正に操作する技術です。DKOMは、特にカーネルモードのメモリ構造に対する直接的な変更を行うため、プロセスやスレッド、ハンドル、ドライバなどのシステムの重要なオブジェクトに影響を与えます。このような攻撃手法は、プロセスの隠蔽、特権の昇格、不正な動作の隠蔽などに利用されることが多く、特に高度なマルウェアによる攻撃でよく見られます。

DKOMを用いる攻撃は、従来のセキュリティツールでの検知が困難な場合が多く、検出を回避するための手法として利用されます。システムのカーネルを操作するため、非常に高度なスキルを要する一方、成功した場合には強力な不正操作が可能になるため、セキュリティの脅威として注目されています。

DKOMの仕組み

DKOMの仕組みは、カーネルメモリ内のオブジェクトを直接変更することにあります。以下は、DKOMがどのように機能するかの基本的な説明です。

カーネルオブジェクトの操作

Windowsオペレーティングシステムでは、プロセスやスレッド、メモリブロックなどのシステムリソースは、カーネル内のデータ構造として管理されています。これらのデータ構造は通常、システムの整合性を保つために管理されていますが、DKOM攻撃では、攻撃者がこれらのオブジェクトを直接操作します。例えば、特定のプロセスを「見えない」状態にするために、プロセスリストから削除するなどの操作が行われることがあります。

プロセスの隠蔽

DKOMを使用して、攻撃者はプロセスリストやタスクマネージャーに表示されないように特定のプロセスを隠すことができます。これにより、マルウェアが検出されにくくなり、持続的な活動が可能となります。このような操作は、通常のプロセス管理機構をバイパスして行われるため、従来のセキュリティツールでは検知が難しいことが多いです。

特権の昇格

DKOMを使ってカーネルオブジェクトを変更することで、攻撃者は特権昇格を実現することも可能です。例えば、通常のユーザーアカウントのセッションに管理者権限を付与することで、システム全体の制御を取得することができます。

DKOMの使用例

DKOMはさまざまな形で悪用されることがあります。以下はその主な使用例です。

ルートキットによるプロセス隠蔽

ルートキットは、システム内で不正な活動を行う際に自らを隠すために、DKOMを使用することが多いです。プロセスやスレッドをカーネルメモリ内で隠すことで、ルートキットは通常の検出手法から逃れることができます。

ハンドルの改ざん

攻撃者がDKOMを使用してハンドルを改ざんすることで、特定のリソースへのアクセスを取得したり、不正な操作を行うことが可能になります。これにより、特定のファイルやメモリ領域に対する制御を取得することができます。

セキュリティツールの無効化

DKOMを利用してセキュリティソフトウェアの動作を停止させたり、検出機能を無効化することができます。これにより、マルウェアが検知されにくくなり、システム内での持続的な活動が可能となります。

DKOMの防御と対策

DKOM攻撃に対抗するためには、さまざまな対策が必要です。以下はその一部です。

カーネルメモリの保護

Windowsの最新バージョンでは、カーネルメモリの保護機能が強化されており、ドライバーの署名やデバイスガードの導入によって、カーネルレベルの改ざんを防ぐ取り組みが行われています。これにより、DKOM攻撃のリスクを減らすことが可能です。

ルートキット検出ツールの利用

DKOMを使用したルートキットの検出には、特定の検出ツールを利用することが有効です。これらのツールは、カーネルメモリ内の不正な変更を検知するために、通常のプロセススキャンを超えた機能を提供します。

セキュリティパッチの適用

OSやドライバに存在する脆弱性が悪用されることが多いため、定期的なセキュリティパッチの適用が重要です。これにより、既知の脆弱性を悪用したDKOM攻撃を防ぐことができます。

監視とログの分析

システム内の不審な動作を検知するために、カーネルメモリやプロセスの挙動を監視することが重要です。不審な動作や予期しないプロセスの消失などが確認された場合には、即座に対処を行う体制を整えることが推奨されます。

まとめ

DKOM(Direct Kernel Object Manipulation)は、カーネル内のオブジェクトを直接操作することで、プロセスの隠蔽や特権昇格、不正な操作を実現する攻撃手法です。高度なマルウェアによって悪用されることが多く、従来の検出手法では見つけにくい特徴があります。しかし、OSのカーネル保護機能の強化やセキュリティツールの利用によって、防御の強化が進められています。システム管理者やセキュリティ専門家は、これらの対策を講じることで、DKOM攻撃からシステムを守ることが求められます。

関連コラム(あわせて、以下の記事もよく読まれています)

製品・サービス(当該コラムの内容に関連する製品・サービスはこちら)


SNSでもご購読できます。