Windowsに新しいアプリをインストールしようとするたびにポップアップ表示される警告をご存知ですか?アプリがちょっと怪しいと感じてインストールをためらってしまうあの警告です。そう、その警告は見破られました…しかも、最近のセキュリティ調査によると、少なくとも6年前から見破られていたそうです。
Windows Smart App Control (Windows 11 での名称) または Windows SmartScreen (Windows 8 および Windows 10 での名称) は、認識されないソースからダウンロードされた実行可能ファイルに慣れてしまった場合に、追加の防御壁を設けるように設計されています。
しかし、Elastic Security Labs は、回避策が驚くほど簡単で、標準のチェックなしで悪意のあるアプリを実行できることを発見しました。
最も簡単な方法は「LNKストンピング」と呼ばれるもので、Windowsの組み込みセキュリティシステムによってファイルに付与される「Mark of the Web」識別子を回避するものです。JavaScriptファイルやMSIファイルに無効なコード署名を作成したり、実行ファイルのパスにドットまたはスペースを1つ追加するだけでチェックを回避したりすることも可能です。これは、ほとんどのユーザーには気づかれないようなファイル管理のシェルゲームのようなものですが、ハッカーなどの悪意のある人物であれば、小さなスクリプトで簡単に実装できます。
Elastic Security Labsは、レピュテーションハイジャック、レピュテーションシーディング、レピュテーション改ざんなど、SmartScreenとSmart App Controlを回避する複数の方法を発見しました。技術的な解説と例(美しいアニメーションGIFも!)はこのページに掲載されています。研究者らは、これらの回避策が潜在的に危険なファイルに存在するかどうかをチェックするためのオープンソースツールを開発しました。
BleepingComputerによると、これらのSmartScreenの脆弱性は少なくとも2018年から存在していたようです。これは残念なことですが、Microsoftはこの種の脅威を発見すると、真剣に受け止める傾向があります。例えば、4月のWindowsアップデートでは、Mark of the Webシステムの脆弱性がいくつか修正されました。
続きを読む: Windows に組み込まれたセキュリティは一般ユーザーにとって十分でしょうか?
著者: Michael Crider、PCWorld スタッフライター
マイケルはテクノロジージャーナリズムのベテランとして10年のキャリアを持ち、AppleからZTEまであらゆるテクノロジーをカバーしています。PCWorldではキーボードマニアとして活躍し、常に新しいキーボードをレビューに使用し、仕事以外では新しいメカニカルキーボードを組み立てたり、デスクトップの「バトルステーション」を拡張したりしています。これまでにAndroid Police、Digital Trends、Wired、Lifehacker、How-To Geekなどで記事を執筆し、CESやMobile World Congressなどのイベントをライブで取材してきました。ペンシルベニア州在住のマイケルは、次のカヤック旅行を心待ちにしています。
