多くのOSには「セーフモード」という動作モードが備わっている。新しいデバイスやアプリケーションをインストールした後にOSが起動できなくなるなどシステムに何らかの不具合が発生したとき、原因を見つけたり不具合を解消したりするための動作モードである。
Windowsのセーフモードでは、システムの起動に必要最低限のプログラムしか実行しない(図1)。サードパーティーのデバイスドライバーやアプリケーションはほぼ実行されなくなるため、新しいデバイスやアプリケーションが原因でWindowsが起動しなくなった場合でも、セーフモードを使えば起動する可能性が高い。
このため、Windowsの利用者にとってセーフモードは有用な動作モードである。半面、このセーフモードは悪用される恐れがある。セーフモードで起動するとウイルス対策ソフトなどのセキュリティーソフトも実行されなくなるからだ。実際、セーフモードを悪用するマルウエアが複数確認されている。
今回は1年ほど前に見つかったランサムウエア▼を例に、セーフモードを悪用する仕組みを見ていこう。
ウイルス対策ソフトが機能しない
前述のように、セーフモードではセキュリティーソフトは実行されないといわれている。実際のところどうなのだろうか。日本国内で販売される主要なウイルス対策ソフト5製品で試してみた。
Windowsパソコンにウイルス対策ソフトをインストールして、2020年11月中旬時点で最新の状態にした。この状態でWindowsをセーフモードで起動した際、ウイルス対策ソフトが自動実行されるかどうかを検証した。
検証の結果、5製品中4製品が自動実行されなかった(図2)。1製品のみが自動実行されたが、ウイルス対策ソフトとしてほとんど機能しなかった。マルウエアの検知や駆除に必要な機能のほとんどが停止したままだった。
続いて、セーフモードで起動した後にスタートメニューなどから手動でウイルス対策ソフトを実行して、正常に動作するかどうかを検証した。
その結果、5製品のうち2製品は起動しなかった。残る3製品は起動したものの、リアルタイム検知機能は動作しなかった。ユーザーインターフェースを開いて手動検知を実行すると、2製品はスキャンを開始したが、1製品は動作しなかった。
以上のように、どのウイルス対策ソフトもセーフモードでは正常に動作しなかった。ただこれは当然の結果だろう。そもそもセーフモードは緊急時の障害復旧に使う動作モードなので、ウイルス対策ソフトといえども動作してしまっては意味がない。セーフモードは障害復旧に不可欠だが、一方で守りが手薄になる危険な動作モードなのだ。
