DLLハイジャッキング|サイバーセキュリティ.com

  1. ホーム /
  2. セキュリティ用語集 /
  3. DLLハイジャッキング
             

DLLハイジャッキング

DLLハイジャッキング(DLL Hijacking)は、WindowsのアプリケーションがDLL(動的リンクライブラリ)をロードする際に、意図した正規のDLLファイルではなく、攻撃者が用意した不正なDLLを読み込ませることで、システム上で悪意あるコードを実行させる攻撃手法です。この攻撃は、アプリケーションがDLLをロードする際に検索するパスの特性や順序を悪用して行われます。

通常、Windowsアプリケーションは特定のDLLを必要とし、そのDLLを既定の検索順序に従ってロードします。攻撃者はこの特性を利用し、正規のDLLが存在するはずのディレクトリに、不正なDLLを配置します。これにより、アプリケーションは誤って攻撃者の用意したDLLをロードし、悪意あるコードが実行されることになります。

DLLハイジャッキングの仕組み

DLLハイジャッキングが行われる基本的な仕組みは次の通りです。

アプリケーションのDLL検索順序の利用

WindowsがDLLをロードする際、次のような順序で検索を行います: 1. 実行ファイルのディレクトリ。 2. システムディレクトリ(通常は `C:\Windows\System32`)。 3. 16ビットシステムディレクトリ(通常は `C:\Windows\System`)。 4. Windowsディレクトリ(通常は `C:\Windows`)。 5. カレントディレクトリ。 6. 環境変数 `PATH` に指定されたディレクトリ。
攻撃者は、これらの検索順序を利用して、アプリケーションが最初に不正なDLLを見つけるようにします。特に、実行ファイルのディレクトリやカレントディレクトリに不正なDLLを置くことで、正規のDLLよりも先にロードされるように仕向けることが一般的です。

不正なDLLファイルの作成と配置

攻撃者は、ターゲットとなるアプリケーションが必要とする正規のDLLと同じ名前を持つ不正なDLLを作成します。この不正なDLLには、攻撃者が実行したいコードが含まれています。次に、攻撃者はこの不正なDLLをアプリケーションが検索する優先順位の高い場所に配置します。例えば、実行ファイルと同じディレクトリやカレントディレクトリに配置します。

アプリケーションの起動と不正なDLLのロード

アプリケーションが起動すると、通常通りにDLLをロードしようとしますが、最初に見つかる不正なDLLをロードしてしまうため、結果として攻撃者のコードが実行されることになります。このようにして、システム内でマルウェアが展開されたり、バックドアが設置されたりするリスクがあります。

DLLハイジャッキングの影響

DLLハイジャッキングは、システムやアプリケーションにさまざまな悪影響を及ぼす可能性があります。

悪意あるコードの実行

DLLハイジャッキングを利用すると、攻撃者は正規のプロセス内で悪意あるコードを実行できます。これにより、バックドアの設置や情報の窃取、遠隔操作などのさまざまな不正活動が可能になります。

検知の回避

この攻撃手法は、正規のアプリケーションによって実行されるため、セキュリティソフトウェアによる検知を回避することができます。通常のプロセスと同じプロセス空間内で動作するため、マルウェアの存在が発覚しにくいです。

継続的な攻撃の基盤の確立

一度不正なDLLがロードされると、アプリケーションが起動するたびに再度ロードされるため、攻撃者はシステム内で継続的に活動することが可能です。これにより、攻撃が長期にわたって続けられる可能性があります。

DLLハイジャッキングの防御対策

DLLハイジャッキングを防ぐためには、いくつかの効果的な対策があります。

アプリケーションのセキュリティアップデート

使用しているアプリケーションやオペレーティングシステムを最新のバージョンに保つことが重要です。これにより、既知の脆弱性が修正され、攻撃が成功する可能性を減らせます。

DLLのロードパスを制御する

Windowsでは、DLLのロードパスを制御するための設定を行うことができます。例えば、`SetDefaultDllDirectories` APIを使用して信頼できるディレクトリからのみDLLをロードするよう設定することで、不正なDLLがロードされるリスクを減らせます。

権限管理の強化

ファイルシステムやディレクトリのアクセス権限を適切に管理することで、攻撃者が不正なDLLを配置するのを防ぐことができます。特に、管理者権限を持たないユーザーが重要なディレクトリにアクセスできないようにすることが重要です。

アプリケーションの信頼性確認

DLLをロードする際に、デジタル署名の有無を確認するように設定することも効果的です。これにより、署名されていないDLLがロードされるのを防止できます。

セキュリティツールの活用

高度な検知機能を持つセキュリティツールを導入して、システムの動作を監視し、不審なDLLのロードを早期に検出することができます。

まとめ

DLLハイジャッキングは、WindowsのアプリケーションがDLLをロードする際の特性を悪用して、不正なDLLを実行させる攻撃手法です。この手法は正規のアプリケーションを利用するため、検知が難しく、悪意あるコードをシステム内で実行させる手段として効果的です。対策としては、ソフトウェアのアップデートや権限管理の徹底、DLLロードパスの制御が重要です。これにより、システムのセキュリティを向上させ、攻撃から保護することが可能です。

関連コラム(あわせて、以下の記事もよく読まれています)

製品・サービス(当該コラムの内容に関連する製品・サービスはこちら)


SNSでもご購読できます。