セキュリティの
学び場

今回の解説ニュース

Windowsに緊急度の高い脆弱性が発見されていますが、実際のサイバー攻撃も確認されているということです。Windows 10も含めたほぼすべてのWindowsが影響を受けますので、できるだけ早く最新版にアップデートをしましょう。

今回の脆弱性は、悪意のある第三者にWindowsの管理者権限を奪取されてしまう可能性があります。影響を受けるWindowsは7～11とWindows Serverは2008～2022とされていますが、サポート切れのバージョンも影響を受ける可能性がありますので、使い続けている場合は注意が必要です。

また、この脆弱性を悪用する攻撃コードやマルウェアも確認されていますので、Windows Updateを実行してセキュリティ更新プログラムを適用することが早急に求められます。

管理者権限の奪取につながるUse-After-Freeの脆弱性

今回の脆弱性は、win32k.sysというWindowsのカーネルドライバに実装されている関数に、Use-After-Freeと呼ばれる脆弱性が存在しており、管理者権限の奪取につながっています。

カーネルとは

まず、今回の脆弱性が発見されたカーネルとは、Windowsを含めたOS上で、アプリケーションとハードウェアを結びつける重要な機能です。メモリやCPU、キーボード、マウスなどから行われるユーザの操作がOSのカーネルを通じてアプリケーションに渡されることで、ユーザが意図した動作がコンピュータ内で実行されます。例えば、スマホでアプリのアイコンをタップすると、iPhoneのOSであるiOSのカーネルを経由してアプリを立ち上がるわけです。カーネルに脆弱性があって、思った動作と違うことがスマホで実行されたら、すっごく困りますよね。今回の脆弱性は、Windowsでそのような被害が発生する可能性があるということになります。

Use-After-Freeとは

どんなプログラムでも実行されると、そのデータはメモリにあらかじめ確保された領域に読み込まれて、プログラムが終了すると確保された領域は解放されて、別のプログラムが使用できるようになります。

例えば、Voicyのアプリを起動して、セキュリティラジオの再生ボタンをタップすると、Voicyのアプリとセキュリティラジオの録音は、両方ともスマホのメモリに読み込まれて再生されます。そして、セキュリティラジオの再生が終わると、録音データが保存されているメモリの領域は解放されます。

次に、別の録音を再生すると、先ほど解放されたメモリの領域が意図せず再利用される場合があります。この際、録音データを不正なデータに置き換えた上で、セキュリティラジオの録音を再生できると、録音の代わりに不正なデータが実行されてしまう可能性があります。これが、Use-After-Free、つまりメモリの「解放した後に使う」脆弱性が悪用される方法です。

今回の脆弱性のように、管理者権限の奪取につながる攻撃をするためには、さらにヒープスプレー攻撃という方法を使う必要がありますが、説明はまた次回にしたいと思います。

すでに脆弱性が悪用されている場合の対策方法

すでに脆弱性が悪用されている場合、マルウェアや攻撃者に管理者権限を奪取されている可能性がありますので、専門家に調査を依頼するか、それが難しい場合は、Windowsを再インストールしなければならない可能性があります。

2021年10月にリリースされた本脆弱性のセキュリティ更新プログラムが何らかの理由で未適用であった状態でマルウェアやサイバー攻撃を受けてしまった場合、管理者権限を奪取されている可能性があります。管理者権限を奪取されていると、パソコンの中に保存されているデータを読み取られるだけではなく、パソコンの通信を盗聴されて、別のサーバやクラウドサービスへ侵入されてしまう可能性もあります。

セキュリティチェックで何らかのマルウェアが見つかったり、サイバー攻撃を受けたのではないかと心当たりがある場合は、専門家に調査を依頼することができます。ただし、その場合は多額の費用が発生することが考えられますので、過去のデータが消えても問題なければ、Windowsを再インストールしてしまうことも有効です。

その際に、アクセスしていたサーバのセキュリティチェックやクラウドサービスのパスワード変更も忘れずに行いましょう。今回のような脆弱性が発見されなくても、Windowsを含めたOSは可能な限り新しいバージョンを使用することがセキュリティの観点では求められます。

繰り返しになりますが、毎月第2水曜日か第3水曜日に提供されるマイクロソフトのセキュリティ更新プログラムは定期的に適用するようにしましょう。