DLLサイドローディングについて

近年のサイバー攻撃の傾向として、アンチウイルスソフトに検知されにくい方法で、OSやアプリケーションの標準機能などを利用したステルス型のウイルスを仕掛ける手法が急増しています。PC内のメモリにひっそりと常駐したり、ファイルが検査されるときに一時的に感染前のファイルサイズを返し、検査後に改めて再感染するなど、OSの一部のようにふるまい、長期にわたり潜伏します。

DLLサイドローディングは元々はWindows OSで使われるDLL ( Dynamic Link Library ) の読み込み順序の仕組みを悪用したサイバー攻撃の一種です。脅威アクターによっては、バックドアを仕掛けたり、権限の奪取などの悪意あるプログラムをロードさせます。 一般的にWindowsなどのOSは、アプリケーション実行時に動的に必要となる部品 ( ライブラリ ) をロードする仕組みがあります。この動的に読み込まれるプログラム群は、Windows環境ではDLLと呼ばれます。 これらの中からWindowsは、アプリケーション実行時にDLLのロード順に決まったディレクトリを優先的に探しに行きます。

脅威アクターは、この特性を使って、優先されるディレクトリに正規のDLLと同じ名前の不正なDLLを配置します。DLLサイドローディングは「永続化」「検知回避」「権限昇格」などを目的として、APT攻撃に活用されます。APT攻撃とは、特定の標的に対して長期にわたって巧妙に情報を窃取する高度なサイバー攻撃です。「Advanced ( 最先端の、高度な )　Persistent ( 持続的、粘り強い )　Threat ( 脅威 ) 」の頭文字をとった攻撃方法で、「高度標的型攻撃」という呼び方もします。

バックドアやRATをしかけることで情報窃取や遠隔操作をする、攻撃の踏み台にするなど、継続して侵入を繰り返すことができます。RATには「キーロガー」という別のマルウェアが組み込まれていることもあります。「キーロガー」とは、ユーザーがキーボードで入力した情報が記録されるソフトウェアもしくはハードウェアのことです。「キーロガー」が組み込まれたRATは、個人情報や金融情報を窃取したうえでのなりすましの被害に発展する大変危険なAPT攻撃です。

DLLサイドローディング対策

DLLサイドローディングは、ユーザーのOSの動的リンクライブラリ ( DLL ) ファイルのディレクトリに目的を遂げるためのファイルを置くだけで、目立たず永続的にAPT攻撃を仕掛けることが可能になります。古いソフトウェアやアプリケーションの脆弱性によってDLLファイルの偽ファイルを置くことが可能となり、バックドアが仕掛けられたり、権限昇格に利用されるなどの目的が静かに果たされてしまいます。

DLLサイドローディング対策としては、使用しているOSやアプリケーションを常に最新の状態に保つことで脆弱性が低減し、ゼロデイ攻撃のリスクも避けられます。ベンダーが提供する修正プログラムやパッチでセキュリティホールを塞ぐことが何よりの対策となります。 進化した脅威に対応できるアンチウイルスソフトを導入し、システムの挙動を監視すること、アクセス権限を厳しく管理すること、また正規のDLLファイルにデジタル署名を適用し、署名なしのファイルを読み込まないようにするなど考えられる対策はいくつかあります。ただ、一番基本的で有効な対策は、システムの脆弱性を作らないことなので、OSのアップデートは欠かさず行うようにしましょう。

• 脅威アクター ( Threat Actor ) … ネットワーク、コンピュータシステム、PC内のデータに対して悪意のある攻撃をしかけ、損害を与える個人や組織。
• RAT ( Remote Access Trojan ) … リモートアクセス型トロイの木馬。 感染したPCを遠隔で不正に操作・制御します。ファイルの操作、カメラやマイクの遠隔操作など、感染したPCのほぼ全てを遠隔操作することが可能になります。