見えない脅威:プロセス・ドッペルゲンジングとは
セキュリティを知りたい
「プロセス・ドッペルゲンジング」って、何だか怖い名前ですね…。一体どんなものなんですか?
セキュリティ研究家
確かに、物騒な名前ですよね(笑)簡単に言うと、パソコンの中身の一部をこっそり書き換えてしまう攻撃手法の一つです。しかも、書き換えたことがバレにくいように、巧妙なトリックを使っているんですよ。
セキュリティを知りたい
こっそり書き換えるって、たとえばどんな風にですか?
セキュリティ研究家
例えば、あなたがいつも使っているアプリがあるとします。この攻撃を受けると、アプリを開いた時に、裏でこっそり悪意のあるプログラムが動くように細工されてしまうんです。しかも、アプリ自体は見た目は何も変わっていないので、気づかずに使ってしまう危険性があります。
プロセス・ドッペルゲンジングとは。
安全性を高めるための知恵として、「プロセス・ドッペルゲンジング」について説明します。これは、動作中のプログラムにこっそり別のプログラムを紛れ込ませる「プロセス・インジェクション」という技の一つで、プログラムを不正に書き換えてしまう技術です。悪意を持った者や、セキュリティのテストをする人が、安全装置に気づかれずに悪さをするために使います。
彼らは、本来はファイルを安全に扱うための「トランザクションNTFS」という機能を悪用します。そして、安全装置に見つかることなく、記憶領域上に作られた悪意のあるプログラム(ドッペルゲンガー・プロセス)を動かします。
本来のファイルに対する不正な書き込みは、「トランザクションNTFS」の巻き戻し機能によってなかったことにされてしまいます。そのため、記憶領域上にだけ悪意のあるプログラムが残ることになります。
「トランザクションNTFS」は「Windows Vista」から導入され、「Windows8」以降は推奨されなくなりましたが、「Windows10」でも使えてしまいます。
この機能は、安全装置が見張っていないことが多いので、不正なプログラムを見つけるのが難しくなります。
「プロセス・ドッペルゲンジング」を見つけるには、記録されているファイルと記憶されているファイルを比較したり、「トランザクションNTFS」に関する動作を見張る必要があります。
「プロセス・ドッペルゲンジング」は、「BlackhatEurope2017」という場で発表されました。
巧妙化するサイバー攻撃
– 巧妙化するサイバー攻撃近年、インターネット利用の広がりに伴い、企業や個人が所有する重要な情報への不正アクセスを狙ったサイバー攻撃が急増しています。特に近年では、その手口は巧妙化しており、従来のセキュリティ対策だけでは、攻撃を見つけることすら難しく、被害を防ぐことがますます困難になっています。従来の攻撃では、コンピューターウイルスのように、不正なプログラムを送り込み、使用者や企業の情報を盗み出すといった方法が多く見られました。しかし、セキュリティ技術の進歩に伴い、このような攻撃は容易に検知・防御できるようになってきました。そこで、攻撃者は、セキュリティ対策製品の弱点や、システムの設計上の欠陥を突いたり、本来は正当な機能であるにも関わらず、悪用して攻撃を仕掛けてきたりするなど、より高度な技術や知識を駆使するようになってきています。このような状況下においては、最新の攻撃の手口やその特徴を理解し、従来の対策に加えて、多層的な防御体制を構築することが重要です。例えば、ファイアウォールやウイルス対策ソフトといった基本的な対策に加え、侵入検知システムや、不正アクセス防止システムなどを導入し、多角的に防御することで、被害を最小限に抑えることが可能になります。
| 従来のサイバー攻撃 | 近年のサイバー攻撃 |
|---|---|
| 不正なプログラムを送り込み、情報盗取を行う (例: コンピューターウイルス) | セキュリティ対策製品の弱点やシステムの設計上の欠陥を突く 正当な機能を悪用する 高度な技術や知識を駆使する |
| 比較的容易に検知・防御が可能 | 発見・防御が困難 |
プロセス・ドッペルゲンジングとは
– プロセス・ドッペルゲンジングとは
-# プロセス・ドッペルゲンジングとは
プロセス・ドッペルゲンジングは、2017年に発見された比較的新しい攻撃手法であり、その巧妙さから、多くのセキュリティ専門家に衝撃を与えました。
この攻撃は、悪意のあるプログラムを、正規のプログラムに紛れ込ませて実行させる、プロセス・インジェクションと呼ばれる攻撃の一種です。
セキュリティソフトは、怪しいプログラムが単独で実行されると検知できますが、正規のプログラムに紛れ込んで実行されると、検知が難しくなります。プロセス・ドッペルゲンジングは、まさにこのセキュリティソフトの盲点を突いた攻撃なのです。
プロセス・ドッペルゲンジングの特徴は、Windowsに標準搭載されている「トランザクションNTFS」という機能を悪用している点にあります。
トランザクションNTFSは、ファイル操作の安全性を確保するための機能です。例えば、途中で処理が中断されても、ファイルが壊れた状態にならないようにする役割を担っています。プロセス・ドッペルゲンジングは、このトランザクションNTFSの仕組みを悪用し、悪意のあるプログラムをメモリ上にのみ展開します。
通常、プログラムはコンピュータの記憶装置に保存されますが、メモリ上にのみ展開されるため、記憶装置には一切の痕跡が残りません。セキュリティソフトは、記憶装置上の怪しいプログラムを検知するため、プロセス・ドッペルゲンジングのような攻撃を検知することは非常に困難です。
| 従来のサイバー攻撃 | 近年のサイバー攻撃 |
|---|---|
| 不正なプログラムを送り込み、情報盗取を行う (例: コンピューターウイルス) | セキュリティ対策製品の弱点やシステムの設計上の欠陥を突く 正当な機能を悪用する 高度な技術や知識を駆使する |
| 比較的容易に検知・防御が可能 | 発見・防御が困難 |
攻撃の手口
– 攻撃の手口
攻撃者は巧妙な手段を使って、私たちの大切な情報を狙っています。プロセス・ドッペルゲンジング攻撃も、その狡猾な手口の一つです。
まず攻撃者は、まるで泥棒が家に侵入するように、標的となるコンピュータシステムに侵入します。そして、そのシステム内に、悪意のあるプログラムを仕込んだファイルを作成します。これは、泥棒が盗みを働くための道具をこっそり持ち込むようなものです。
次に攻撃者は、「TxF」という特別な機能を悪用し、この悪意のあるファイルを、元々システムに存在する安全なファイルに見せかけてしまいます。これは、偽物の絵画の下に本物の名画を隠すようなもので、見かけでは悪意のあるプログラムだと全く分かりません。
具体的には、「TxF」が持つ「トランザクション」という機能を使います。この機能は、複数の処理をまとめて実行したり、途中で取り消したりできます。攻撃者はこの機能を巧みに操り、安全なファイルに悪意のあるプログラムを書き込んだ後、その書き込み操作自体をなかったことにしてしまいます。
結果として、コンピュータの記録上はファイルに変更が加えられたように見えますが、実際には、悪意のあるプログラムはコンピュータのメモリ上だけにこっそりと潜んでいる状態になります。そして、攻撃者はこのメモリ上に隠された悪意のあるプログラムを実行することで、システムへの侵入を完了させ、目的を達成します。
このように、プロセス・ドッペルゲンジング攻撃は、高度な技術を駆使した、非常に巧妙な攻撃手法と言えるでしょう。
| 従来のサイバー攻撃 | 近年のサイバー攻撃 |
|---|---|
| 不正なプログラムを送り込み、情報盗取を行う (例: コンピューターウイルス) | セキュリティ対策製品の弱点やシステムの設計上の欠陥を突く 正当な機能を悪用する 高度な技術や知識を駆使する |
| 比較的容易に検知・防御が可能 | 発見・防御が困難 |
検知の難しさ
– 検知の難しさプロセス・ドッペルゲンジングは、巧妙に正規の仕組みを悪用するため、既存のセキュリティ対策では見つけることが非常に困難です。まず、この攻撃はファイルシステム上に変更を加えません。一般的なウイルス対策ソフトは、怪しいファイルがないか、ファイルの変更履歴を調べることで危険を察知します。しかし、プロセス・ドッペルゲンジングはファイルそのものを改変するのではなく、メモリ上だけで動作するため、ファイルを探査するタイプのセキュリティ対策では発見できません。さらに、悪意のある動作は、正規のプログラムにこっそりと埋め込まれ、あたかも正規のプログラムの一部として実行されます。そのため、怪しいプログラムが動いているかどうかを監視するタイプのセキュリティ対策でも、見つけることは困難です。正規のプログラムのふりをしているため、不正な侵入者と判断することも容易ではありません。そして、プロセス・ドッペルゲンジングは、Windowsシステムに標準搭載されているTxFという機能を悪用します。これは、本来はシステムを安全かつ効率的に動作させるための機能ですが、攻撃者はこの仕組みを逆手に取り、不正な活動を隠蔽します。そのため、システム標準の機能が悪用されていることを検知するのは容易ではありません。このように、プロセス・ドッペルゲンジングは、その特性上、従来のセキュリティ対策では検知が極めて難しい攻撃手法と言えます。
| 攻撃手法の特徴 | 既存セキュリティ対策の回避方法 |
|---|---|
| ファイルシステム上に変更を加えない | ファイルを探査するタイプのウイルス対策ソフトでは発見できない |
| 悪意のある動作が正規のプログラムに埋め込まれている | 怪しいプログラムの動作を監視するタイプのセキュリティ対策でも発見困難 |
| Windowsシステム標準のTxF機能を悪用 | システム標準の機能が悪用されていることを検知することが難しい |
対策
– 対策
プロセス・ドッペルゲンジングは、高度な技術が使われた攻撃手法ですが、適切な対策を講じることで、その脅威を減らすことができます。
まず、常に最新の状態を保つことが重要です。コンピューターに使われている基本ソフトや、日々利用するソフトウェアは、常に最新のものに更新し、開発元から提供されるセキュリティ対策のプログラムを適用しましょう。これは、攻撃手法への対策としてだけでなく、既知の脆弱性を悪用した攻撃を防ぐ上でも非常に大切です。
また、セキュリティ対策のソフトウェアやシステムを導入することも有効です。特に、プロセス・ドッペルゲンジングのような攻撃を検知できるものを選びましょう。例えば、コンピューターの記憶装置を詳細に調べる機能や、ファイルの読み書きを監視する機能を持ったものが有効です。
さらに、セキュリティに関する知識を深め、日頃から気を付ける習慣を身につけることも重要です。不審なファイルやメールの添付ファイルは開かない、怪しいウェブサイトにはアクセスしないなど、基本的な対策を徹底しましょう。企業においては、従業員に対してセキュリティ教育を実施し、セキュリティ意識を高めることが重要です。
| 対策 | 詳細 |
|---|---|
| 常に最新の状態を保つ | – コンピューターの基本ソフトやソフトウェアを最新の状態に更新する – 開発元から提供されるセキュリティ対策プログラムを適用する |
| セキュリティ対策ソフトウェア・システムの導入 | – プロセス・ドッペルゲンジングのような攻撃を検知できるものを選ぶ – コンピューターの記憶装置を詳細に調べる機能や、ファイルの読み書きを監視する機能を持ったものが有効 |
| セキュリティに関する知識を深め、日頃から気を付ける習慣を身につける | – 不審なファイルやメールの添付ファイルは開かない – 怪しいウェブサイトにはアクセスしない – 企業においては、従業員に対してセキュリティ教育を実施し、セキュリティ意識を高める |