Windowsは、今でも世界で最も人気のあるOSの一つです。世界中で何十億台ものコンピュータに搭載され、Windowsはコンピュータの代名詞となっています。マイクロソフトとウィンドウズの支配は、彼らを常に標的にしています。Windows 10は、これまでで最も安全なOSですが、まだ多くの脆弱性を抱えています。

DoubleAgent攻撃は、Windowsのすべてのバージョンを乗っ取ることができるため、その過程でアンチウイルスプログラムを無効化することができるのです。また、マイクロソフトのEdgeはハッカーの大きな標的になっています。Internet Explorerと同じレベルというわけではないが、それでも心配になるレベルである。

マイクロソフトの製品は、今でも頻繁に悪用されています。windows 10のセキュリティが向上したとはいえ、大きなターゲットであることに変わりはありません。何が起きたのか、なぜ起きたのかを考えてみましょう。

二重薬剤

2017年3月、Cybellumのセキュリティ研究者は、新たなWindowsのゼロデイ脆弱性の発見を発表しました。イスラエルの研究チームは、DoubleAgentと呼ばれる攻撃が「ウイルス対策ソフトを直接攻撃し、制御を乗っ取ることができる」ことを確認し、DoubleAgentがXPからwindows 10までのすべてのバージョンのWindowsにある比較的知られていない機能を悪用していることを明らかにしました。

DoubleAgentは、アプリケーションのエラーを発見し修正するために使用される実行時検証ツールであるMicrosoft Application Viewerを活用しています。研究者は、攻撃者が標準のバリデータをカスタムのバリデータに置き換えることを可能にする文書化されていない機能を発見しました。カスタムバリデーターが設置されると、攻撃者は「任意のDLLを任意のプロセスに注入する」ことが可能になります。これは「被害者のプロセス起動」中の非常に早い段階で発生し、攻撃者は自らを守ることができないプロセスを完全に制御することができるようになります

アプリケーションビューワは、エラーのチェックと修正を行うことで、アプリケーションの安全性を高めることを目的としています。皮肉なことに、それは逆に二重スパイの名を欲しいままにしている。

使用するウイルス対策ソフトについて

ウイルス対策ソフトへの攻撃を制御できるようにすることが重要です。アンチウイルスやアンチマルウェアの攻撃を無効化するのはよくあることですが、完全に逆転させるのは目から鱗です。DoubleAgentを使用することで、悪意のある参加者は、以下のことが可能になります。

1. アンチウイルスをマルウェアに変える - アンチウイルスソフトウェアは、コンピュータ上で特権的な位置づけで動作します。信頼性の高い操作なので、アンチウィルスはすべてを見ることができ、何でもできるのです。その結果、どんな悪意ある活動も正当なものとみなされ、攻撃者はあらゆるセキュリティ対策を迂回することができるのです。
2. アンチウィルスの動作を変更する - 攻撃者は、ホワイトリスト、ブラックリスト、オープンポート、ファイアウォールを変更するなどの権利を持っています。バックドアは、アンチウィルスソフトを無効にすることで簡単にインストールすることができます。
3. 破壊 - 悪意のある参加者は、攻撃の理由に応じて、単にシステムを破壊することができます。ローカルストレージは、特定の操作を停止させるアンチウィルスソフトウェアがない場合、暗号化またはフォーマットされる可能性があります。

また、アンチウイルスソフトを経由してシステム全体に無制限にアクセスすることで、個人情報や機密情報が盗まれる可能性があります。

今度は何？

Cybellumは、DoubleAgentを保護できる唯一のアンチウイルス製品は、このような攻撃を軽減するために特別に設計されたカーネルレベルの保護技術であるWindows Protected Processメカニズムを使用する唯一のアンチウイルス製品であるWindows Defenderであると確信しています。

それどころか、AvastのCTOであるOndrej Vlcek氏は、Cybellumが昨年、同社に脆弱性を警告したと述べている。ノートン・セキュリティ社もZDNetの取材に対し、「調査の結果、概念実証攻撃による脆弱性は見つからなかった（ただし、Cybellum社が自社製品を攻撃するビデオを作成した）」と、同様の見解を述べている。

にもかかわらず、彼らは追加の検出とブロックの技術を実装しています。

マイクロソフトエッジ by pwn2own

Pwn2Ownは、セキュリティカンファレンス「CanSecWest」で毎年開催されているハッキング大会で、2017年の大会では10周年を迎え、賞金総額100万ドルという巨額の賞金が獲得されました。対象は年によって変わりますが、通常、ブラウザやその他一般的に使用されているソフトウェアが混在しています。

エッジは、旧バージョンのインターネットエクスプローラーの脆弱性を利用しないよう、主にゼロから作成されています。マイクロソフトは、ChromeやFirefoxと直接競合するブラウザを必要としていました。ある面では成功しています。その他の分野では、まだ遅れをとっています。

2017年のPwn2Ownイベントにおいて、Microsoft Edgeは「5回以上」ハッキングされました。良い知らせが欲しいですか？これらのハッキングは、高度な技術を持つプロのハッカーによって行われたものです。あるハッキングは「360 Security」のチームが行ったもので、Microsoft Edgeのヒープオーバーフローの脆弱性、実際のWindowsカーネルの型の混乱、VM Workstationの未初期化バッファを悪用して仮想マシンからの脱出を図ったものです。

つまり、3回に分けて高度なハッキング攻撃を行い、ホストOSへのアクセスを完了させたのです。彼らの努力の結果、105,000米ドルを得ることができました。

他のハッカーは

また、Microsoft Edgeを標的としたハッキングが他に4件成功しています。Pwn2OwnがMicrosoft Edgeに焦点を当てたことは、目を見張るものがあり、懸念材料となりました。マイクロソフトは、IEがまねく古い不安の多くを排除するために、新しいブラウザを一から作り上げました。残念ながら、Microsoft Edgeも同じように敏感なようです。

一方、Google Chromeはハッキング不可能です。

なぜマイクロソフトなのか、なぜウィンドウズなのか。

マイクロソフトは本当に非難されているのだろうか？

私見では、今のマイクロソフトの株価はほぼイーブンです。コンピュータ業界は、脆弱性が見つかるたびにマイクロソフト社を非難したがる。これは当たり前のことです。マイクロソフトは、最大のシェアを誇る企業として、ホームユーザー、ビジネスユーザー、エンタープライズユーザーにかかわらず、ハッキングやサイバー犯罪からユーザーを守る大きな責任を負っています。

しかし、期待していた通り、Windowsは堅牢です。CybellumのDoubleAgentのゼロデイ発見が示すように、常に予期せぬ攻撃ベクトルが発見されるのを待っているのです。 Windowsはオフソースです。マイクロソフトは当然のことながら、ソースコードについて秘密主義です。どんな適切なソフトウェアにも固有の問題があります。バグ、エクスプロイト、ゼロデイ脆弱性の多発は、この状況を端的に表しています。

マイクロソフトのWindowsは今でも人気があります。アクセスしやすく、多くの人に親しまれ、何百万台ものコンピュータにプレインストールされようとしているのです。マイクロソフトはセキュリティの必要性を十分に認識しており、Windows 10はこれまでのWindowsと比較してはるかに安全性が向上しています。Microsoft Edgeは、ゆっくりとではありますが、正しい方向に向かっています。しかし、今回パッチが適用されたゼロデイ・エクスプロイトのようなニュース性のある脆弱性は、今後もサイバーセキュリティの世界では理解しやすいパニックを引き起こすだろう。

Windows 10のセキュリティが向上したとはいえ、適格なアンチウイルスアプリケーションまたは完全なオンラインセキュリティスイートを実行する必要があります。

Windowsは安心して使えますか？Windowsのセキュリティを高めるには？マイクロソフトはユーザーを守るために十分なことをしているのだろうか？以下、感想をお聞かせください。

画像引用元：a-Image via Shutterstock.com ウェブサイト