えっ、マジ！？Microsoftの便利ツールに危険なゼロデイ脆弱性！

Microsoftの超便利ツール「Sysinternals」に、なんとゼロデイ脆弱性が見つかりました。しかも、90日以上前に報告されていたのに、いまだに修正されていないんです。

この脆弱性を悪用されると、攻撃者はDLLインジェクションという手法で不正なコードを実行できるとか。つまり、知らないうちにウイルスやマルウェアを仕込まれる可能性があるんです。

「え、じゃあどうすればいいの？」と不安になったあなた。大丈夫、ちゃんと対策方法もお伝えします！

Sysinternalsツールが狙われる！その危険な理由とは？
実際にどうやって攻撃されるのか？ヤバすぎる手口
対策はあるの？今すぐできるセキュリティ対策3選！

Sysinternalsツールが狙われる！その危険な理由とは？

Sysinternalsツールは、IT管理者や開発者にとって便利な神ツールですが、実はとんでもない弱点がありました。今回見つかった「ゼロデイ脆弱性」は、まだ修正されていないセキュリティの穴で、悪意のある攻撃者が悪用するチャンスになっています。

特にヤバいのが「DLLインジェクション」という手法。簡単に言うと、正規のツールに偽の部品（DLL）を紛れ込ませて、こっそり悪さをする技です。Sysinternalsツールの仕様として、まず現在のフォルダやネットワーク上のフォルダを優先してDLLを探してしまうというクセがあり、これを利用されると攻撃者は簡単に不正コードを実行できるんです。

例えば、企業のPCでよく使われる「Bginfo」というツールをネットワークフォルダに置いて運用している場合、攻撃者がそこに悪意のあるDLLを仕込んでしまえば、一気にシステムが乗っ取られる可能性があります。ユーザーが普通にツールを起動するだけで、見えないところで悪いコードが実行されるわけですね。

問題なのは、この脆弱性が90日以上前にMicrosoftに報告されていたのに、いまだに修正されていないことです。Microsoftは「これは致命的な問題ではなく、ユーザーの運用方法で防げる」と判断し、今のところ放置状態。でも、普通にネットワーク経由でツールを使うことってありますよね？「使い方が悪い」と言われても困ります。

このままでは安心してSysinternalsツールを使えませんが、パニックになる必要はありません。実際にどんな攻撃が可能なのかを知れば、適切な対策も見えてきます。次の章では、この脆弱性を悪用した具体的な攻撃手口を紹介します。

実際にどうやって攻撃されるのか？ヤバすぎる手口

Sysinternalsツールの脆弱性を悪用すると、攻撃者は非常に簡単にターゲットのPCを操れるようになります。仕組みをざっくり説明すると、「いつものコーヒーにこっそり変な薬を混ぜる」ようなもの。気づかないうちに飲んでしまい、気づいた頃には手遅れ…という恐ろしい状況です。

例えば、「Bginfo」というツールを使うとき、通常はWindowsが安全な場所から必要なDLLを読み込むはずです。でも、攻撃者はこれを逆手に取り、「このフォルダにDLLがあるなら、こっちを優先して読み込もう」というSysinternalsのクセを利用します。結果、ツールが実行された瞬間、偽物のDLLが読み込まれ、不正なコードが動いてしまうんです。

実際の攻撃シナリオを見てみましょう。まず、攻撃者は「cryptbase.dll」や「TextShaping.dll」といったDLLを偽装し、悪意のあるコードを仕込んだファイルを作成します。そして、それを企業の共有フォルダにこっそり配置。Sysinternalsツールがそこから起動すると、攻撃者が用意した悪意のあるDLLがロードされ、気づかないうちにマルウェアが展開されるわけです。

「でも、一般ユーザーの権限だったら大丈夫でしょ？」と思うかもしれませんが、それがそうでもないんです。SysinternalsツールはIT管理者がよく使うので、管理者権限で実行されるケースが多いんです。もし攻撃者がこの仕組みを利用すれば、管理者権限を持つPCにマルウェアを仕込んで、企業全体に広げることも可能になります。

研究者によると、特に「Bginfo」を使った攻撃が実証されており、悪意のあるDLLをネットワークフォルダに仕込んでおくだけで、複数のPCが簡単に感染することが確認されています。知らない間にバックドアが仕掛けられ、攻撃者がリモートからシステムを操作できるようになってしまうんです。

では、この恐ろしい問題に対して、どうやって自分のPCや企業のシステムを守ればいいのでしょうか？次の章で、今すぐできる対策を紹介します。

対策はあるの？今すぐできるセキュリティ対策3選！

「そんな危ないツール、もう使えないじゃん！」と思うかもしれませんが、安心してください。しっかりと対策をすれば、Sysinternalsツールを安全に使い続けることができます。今すぐできる対策を3つ紹介するので、ぜひ試してみてください！

1. ネットワーク上で直接実行しない！ローカルにコピーしてから使おう

Sysinternalsツールをネットワークフォルダに置いたまま実行している場合は、必ずローカルフォルダにコピーしてから使いましょう。こうすることで、攻撃者が仕込んだ悪意のあるDLLを読み込んでしまうリスクを減らせます。

2. DLLの整合性をチェックする！信頼できるファイルか確認しよう

セキュリティツールを使って、Sysinternalsツールが読み込むDLLが本物かどうかチェックしましょう。信頼できるソフトを活用すれば、怪しいDLLのロードをブロックできます。

3. 環境を監査する！どのツールが影響を受けるか把握しよう

研究者が提供している「影響を受けるツールのリスト」を活用し、自分の環境が安全かどうかをチェックしましょう。特に「Process Explorer」「Autoruns」「Bginfo」などのツールをよく使う場合は注意が必要です。

Microsoftがこの問題を修正するまで、ユーザー自身で対策を取るしかありません。でも、正しい知識を持ち、適切な対策をすれば、大きな被害を防ぐことができます。

「Sysinternalsツールは便利だからやめられない！」という人は、ぜひこれらの対策を取り入れて、安全に使い続けてくださいね！

Source：Cyber Security News