DLLサーチオーダーハイジャッキング|サイバーセキュリティ.com

  1. ホーム /
  2. セキュリティ用語集 /
  3. DLLサーチオーダーハイジャッキング
             

DLLサーチオーダーハイジャッキング

DLLサーチオーダーハイジャッキング(DLL Search Order Hijacking)は、WindowsのアプリケーションがDLL(動的リンクライブラリ)をロードする際の検索順序の特性を悪用し、不正なDLLを実行する攻撃手法です。この手法は、特定のアプリケーションが必要とするDLLをロードする際に、不正なDLLファイルを優先的に読み込ませることで、マルウェアのコードを実行させるものです。DLLサーチオーダーハイジャッキングは、正規のアプリケーションを利用して攻撃を仕掛けるため、セキュリティソフトの検知を回避しやすく、悪意ある活動を隠すのに効果的です。

この攻撃が成立するのは、WindowsがDLLをロードする際に特定のディレクトリ検索順序に従うという特性を持っているためです。攻撃者は、この順序を利用して、不正なDLLを正規のものとして読み込ませることができます。

DLLサーチオーダーハイジャッキングの仕組み

DLLサーチオーダーハイジャッキングの基本的な仕組みは、アプリケーションがDLLをロードする際の検索順序を悪用することです。以下にその手法を説明します。

DLLの検索順序

WindowsがDLLをロードする際、通常は次のような順序でDLLを検索します: 1. 実行ファイルのディレクトリ。 2. システムディレクトリ(通常、`C:\Windows\System32`)。 3. 16ビットシステムディレクトリ(通常、`C:\Windows\System`)。 4. Windowsディレクトリ(通常、`C:\Windows`)。 5. カレントディレクトリ。 6. 環境変数 `PATH` に指定されたディレクトリ。
この検索順序により、攻撃者は実行ファイルのディレクトリやカレントディレクトリに不正なDLLを配置することで、優先的にそのDLLが読み込まれるようにできます。

攻撃のプロセス

1. 不正なDLLの作成: 攻撃者は、正規のDLLと同じ名前を持つ不正なDLLを作成します。このDLLには、攻撃者が意図する悪意あるコードが含まれています。 2. 不正なDLLの配置: そのDLLをターゲットアプリケーションが最初に検索するディレクトリに配置します。多くの場合、これはアプリケーションの実行ディレクトリやカレントディレクトリです。 3. アプリケーションの起動: ターゲットアプリケーションが起動されると、DLLをロードしようとする際に不正なDLLを見つけ、これを読み込んでしまいます。その結果、攻撃者のコードが実行されます。

DLLサーチオーダーハイジャッキングの影響

この攻撃手法による影響は深刻であり、システムに対する持続的な攻撃や高度なマルウェアの活動を可能にするため、特に警戒が必要です。

悪意あるコードの実行

DLLサーチオーダーハイジャッキングを利用すると、攻撃者はターゲットアプリケーションが動作している間、悪意あるコードをシステム上で実行できます。これにより、バックドアの作成や情報の窃取、システムの完全な制御が可能になります。

検知の回避

正規のアプリケーションを利用して攻撃が行われるため、通常のセキュリティソフトウェアや検知システムでは異常を見つけにくく、攻撃の隠蔽が容易になります。

持続的な侵害のリスク

一度攻撃が成功すると、アプリケーションが起動するたびに不正なDLLが読み込まれるため、攻撃者がシステム内で持続的に活動することが可能になります。

DLLサーチオーダーハイジャッキングの防御対策

この攻撃を防ぐためには、いくつかの対策が有効です。以下に具体的な防御策を示します。

最新のセキュリティパッチの適用

オペレーティングシステムやアプリケーションに定期的にセキュリティパッチを適用することで、既知の脆弱性を悪用されるリスクを減少させることが可能です。

DLL検索順序の制御

Windowsでは、アプリケーションがDLLをロードする際の検索順序を制御するための設定があります。例えば、`SetDefaultDllDirectories` APIを使用して、DLLの検索パスを制限し、信頼できない場所からDLLがロードされるのを防ぐことができます。

アプリケーションのセキュアな構成

アプリケーションの構成を見直し、不必要なカレントディレクトリやユーザーディレクトリからDLLをロードしないように設定することが重要です。また、必要に応じて、特定のディレクトリのみにアクセスを制限することで攻撃リスクを減らすことができます。

ファイルシステムの権限管理

不正なDLLが配置されることを防ぐために、ファイルシステムやディレクトリの権限を適切に管理します。管理者権限を持つユーザー以外が重要なディレクトリにファイルを作成できないようにすることで、攻撃を防止します。

セキュリティツールの導入

高度な検知機能を持つセキュリティソフトウェアを導入し、不審なDLLのロードやシステム挙動を監視することで、攻撃を早期に検出し、対処することができます。

まとめ

DLLサーチオーダーハイジャッキングは、WindowsのDLL検索順序を悪用することで、不正なDLLを優先的にロードさせ、悪意あるコードを実行する攻撃手法です。攻撃者は正規のアプリケーションを利用するため、検知が難しく、システムに深刻な影響を与える可能性があります。対策としては、セキュリティパッチの適用、検索順序の制御、権限管理の徹底が有効です。これらの対策を講じることで、システムのセキュリティを強化し、攻撃を未然に防ぐことができます。

関連コラム(あわせて、以下の記事もよく読まれています)

製品・サービス(当該コラムの内容に関連する製品・サービスはこちら)

SNSでもご購読できます。