PR

制限ユーザーでログオンしていても
システム権限が乗っ取られることがある

 Windowsのセキュリティ・ホールの中でも,深刻度が最も大きいのは「リモートからコードが実行される」というぜい弱性である。特にOSの機能に,外部からコードが実行されるぜい弱性が存在すると,攻撃者にマシンを乗っ取られてしまう。その結果,ウイルスやワームなどを送り込まれることがある。

 制限ユーザーでログオンしているからといって安心はできない。中には,ログオンしているユーザーの権限に関係なく感染するものがある。例えば,「Blaster」は,ユーザーがたとえ制限ユーザーとしてログオンしていても,システムを改変してしまう。なぜこのように,ログオンしているユーザーの権限に関係なく活動できるのだろうか。

△ 図をクリックすると拡大されます
図14●攻撃ツールを使ってシステム権限で動くプロセスを乗っ取った
 それは,Blasterが,システム権限で動作しているOSの機能のぜい弱性を突いて,そのプロセスを乗っ取るからだ。Windowsでは,システムにも専用の「System」というユーザー・アカウントが与えられている。このアカウントでは対話的ログオンはできない。

 だが,Systemアカウントの権限で動作するプロセスを乗っ取れば,Systemアカウントの権限で活動できてしまう。Systemアカウントには,Administratorと同様にシステム・ファイルへのフル・コントロールが許可されているので,システムを改変することができてしまう。

 図14は,実際にSystemアカウントの権限で動くプロセスを外部から乗っ取り,現在ログオンしているユーザー名を表示する「whoami」コマンドを実行した画面である。Systemアカウントとしてログオンしていることが示されている。

△ 図をクリックすると拡大されます
図15●自己増殖型ワームの一般的な動き
 先ほど説明したように,Systemアカウントを乗っ取ってしまえば,その後は何でもできる。例えばBlasterは,Windowsが標準で備えるFTPクライアントを利用してワーム本体をネットワークからダウンロードし,Windowsの起動時にそれを自動実行するようレジストリを書き換える(図15)。Systemアカウントの権限が奪取されたために,ハードディスクの任意のフォルダにファイルを書き込め,レジストリを改変できてしまうのである。

 またSystemアカウントは,「Documents and Settings」フォルダの下にある各ユーザーのプロファイル情報に対してフル・コントロールのアクセス権を与えられている。従って悪意のあるユーザーにSystemアカウントを乗っ取られると,重要なファイルを盗まれたり削除されたりする危険性がある。

 このように,Systemアカウントの権限で動作するOSの機能に,外部からコードを実行されるぜい弱性があると,自分のPCを悪意のあるユーザーに自由にコントロールされてしまう。普段,制限ユーザーでログオンしていても,マイクロソフトが深刻度を「緊急」としたぜい弱性は,可能な限り速やかに修正パッチを適用すべきである。