セキュリティ回避

マルウェア

セキュリティの盲点:WOW64を悪用した攻撃とは?

皆さんのパソコンは、32ビット版と64ビット版のどちらでしょうか? 近年販売されているパソコンの多くは64ビット版ですが、少し前のパソコンでは32ビット版も広く普及していました。そのため、過去に開発されたプログラムの中には32ビット版のものも少なくありません。 では、64ビット版のパソコンで32ビット版のプログラムは動作するのでしょうか? 実は、そのままでは動作しません。32ビット版のプログラムは32ビット版のWindowsで動作するように作られており、64ビット版のWindowsとは構造が異なるためです。 そこで登場するのが「WOW64」です。WOW64は、32ビット版のプログラムを64ビット版のWindows上で動作させるための互換性機能です。イメージとしては、異なる言語を翻訳する翻訳機のような役割を果たします。WOW64は、32ビット版のプログラムが使用するファイルやレジストリへのアクセスを、64ビット版のWindowsに対応するように変換します。また、32ビット版のプログラムのために、擬似的な32ビット版のWindows環境を提供します。 WOW64のおかげで、利用者は古いプログラムを新しい64ビット版のパソコンでもそのまま使い続けることができます。互換性を維持することで、安心して新しい環境に移行できるようになっています。
マルウェア

セキュリティ対策の盲点:MZヘッダを使ったマルウェアの巧妙な隠蔽

- ファイルの中に潜む歴史 皆さんが日常的に使用しているWindowsパソコンで、ファイルをダブルクリックして開く際、裏側ではファイルの種類を判別する仕組みが働いています。文書ファイルや画像ファイル、実行ファイルなど、ファイルの種類に応じて適切な処理が行われますが、この判別にはファイル名に付く拡張子だけでなく、ファイルの中身も参照されることがあります。 特に、プログラムを実行する際に使用される実行ファイルには、その動作の基盤となる重要な情報が含まれています。 興味深いことに、最新のWindowsパソコンで使用されている実行ファイルの中に、実は、一昔前のDOS時代の名残が残っていることがあります。その名残の一つが「MZヘッダ」と呼ばれる部分です。 「MZヘッダ」は、ファイルの先頭に配置され、Windowsがそのファイルを実行ファイルであると認識するための一つの目印として機能しています。これは、WindowsがDOS時代のプログラムとの互換性を保つように設計されたことに由来します。 このように、一見すると最新の技術で構成されているように見えるWindowsパソコンの内部にも、過去の技術との繋がりを見ることができます。これは、技術の進化が必ずしも過去の技術を完全に置き換えるのではなく、互換性を保ちながら段階的に進んでいくことを示す好例と言えるでしょう。
サイバー犯罪

見過ごされがち!? LOLBinを使った巧妙な攻撃とその対策

- LOLBinとはLOLBinとは、「Living Off the Land Binary」の略称で、直訳すると「その場にあるバイナリで生き延びる」という意味です。これは、OSなどに標準で搭載されている正規のプログラムを悪用した攻撃手法であるLiving Off the Land攻撃(LotL攻撃)において、攻撃者が悪意を持って使用するプログラムのことを指します。これらのプログラムは、システムの管理や運用など本来の目的のために開発されたものであり、Windows OSのPowerShellやLinux OSのBashなどが代表的な例です。攻撃者はこれらのプログラムを悪用することで、セキュリティ対策ソフトによる検知を回避し、システムへの侵入や権限の昇格、情報の窃取などを企みます。正規のプログラムが悪用されるため、セキュリティ対策ソフトはこれらのプログラム自体をブロックすることができません。そのため、LOLBin攻撃に対する防御は容易ではありません。しかし、LOLBin攻撃からシステムを守るためには、いくつかの対策を講じることが重要です。まず、システムの脆弱性を解消し、常に最新の状態に保つことが重要です。また、不必要なプログラムは無効化し、使用できるプログラムを必要最小限に抑えることで、攻撃のリスクを軽減できます。さらに、アプリケーションの動作を監視し、不審な挙動を検知した場合には、速やかに対応することが重要です。LOLBin攻撃は、高度な技術を持たない攻撃者でも比較的容易に実行できる可能性があります。そのため、企業や組織は、LOLBin攻撃に対する脅威を認識し、適切な対策を講じることが重要です。
マルウェア

見過ごされる脅威:プロセス・ハーパダーピングとは?

- 巧妙化する攻撃手法近年、インターネット上の脅威は複雑化し、悪意のある攻撃手法も巧妙化しています。従来のセキュリティ対策が通用せず、被害を受けるケースも少なくありません。そこで今回は、従来の防御網をすり抜ける新たな攻撃手法として、「プロセス・ハーパダーピング」について解説します。従来の攻撃では、標的となるシステムの脆弱性を直接突く方法が主流でした。しかし、セキュリティ対策ソフトの進化により、脆弱性を悪用した攻撃は検知されやすくなりました。そこで登場したのが、「プロセス・ハーパダーピング」です。この攻撃は、正規のプログラムを悪用する点が特徴です。システムに元々備わっている、もしくは安全が確認されたプログラムであっても、その動作を攻撃者の意図通りに操作することで、悪意のある行為を実行させてしまいます。具体的には、プログラムが使用するメモリ領域を細工したり、処理の順番を改変したりすることで、本来とは異なる動作を引き起こします。一見すると正規のプログラムが動作しているように見えるため、セキュリティ対策ソフトでも見破るのが困難です。この攻撃から身を守るためには、従来型のセキュリティ対策に加え、多層的な防御が必要です。例えば、プログラムの動作を監視し、不正な挙動を検知するシステムや、プログラムが使用するデータの改ざんを検知する仕組みを導入することで、被害を最小限に抑えられます。インターネットの利用が当たり前になった現代、セキュリティ対策は私たち一人ひとりにとって重要な課題です。常に最新の情報を入手し、適切な対策を講じるように心がけましょう。
マルウェア

見えない脅威:プロセス・ドッペルゲンジングとは

- 巧妙化するサイバー攻撃近年、インターネット利用の広がりに伴い、企業や個人が所有する重要な情報への不正アクセスを狙ったサイバー攻撃が急増しています。特に近年では、その手口は巧妙化しており、従来のセキュリティ対策だけでは、攻撃を見つけることすら難しく、被害を防ぐことがますます困難になっています。従来の攻撃では、コンピューターウイルスのように、不正なプログラムを送り込み、使用者や企業の情報を盗み出すといった方法が多く見られました。しかし、セキュリティ技術の進歩に伴い、このような攻撃は容易に検知・防御できるようになってきました。そこで、攻撃者は、セキュリティ対策製品の弱点や、システムの設計上の欠陥を突いたり、本来は正当な機能であるにも関わらず、悪用して攻撃を仕掛けてきたりするなど、より高度な技術や知識を駆使するようになってきています。このような状況下においては、最新の攻撃の手口やその特徴を理解し、従来の対策に加えて、多層的な防御体制を構築することが重要です。例えば、ファイアウォールやウイルス対策ソフトといった基本的な対策に加え、侵入検知システムや、不正アクセス防止システムなどを導入し、多角的に防御することで、被害を最小限に抑えることが可能になります。