ウイルス対策ソフトの欠陥を突いた“#AVGater”、「Windows Defender」には影響なし

公式ブログ“Windows Security blog”

　米Microsoft Corporationは13日（現地時間）、公式ブログ“Windows Security blog”で、「Windows Defender」のアンチウイルス機能は“#AVGater”の影響を受けないと発表した。“#AVGater”はセキュリティ研究家Florian Bogner氏が先日発表した攻撃手法で、トレンドマイクロやカスペルスキーをはじめとするウイルス対策ソフトの欠陥を突くことでWindowsを乗っ取れることが実証されていた。トレンドマイクロやカスペルスキーを含むセキュリティベンダー6社は、すでに修正プログラムをリリースしている。

　“#AVGater”の攻撃手法は、以下の通りだ。まずシステムをマルウェアに感染させる。するとウイルス対策ソフトがそれを検知して、マルウェアを隔離する。ウイルス対策ソフトには隔離したマルウェアを復元する機能が備わっていることが多いが、そのなかにはNTFSのジャンクション（シンボリックリンク）機能を利用して細工を施しておくと、元の場所ではなく“C:¥Windows”などのシステムフォルダーへ移動させることができるものがある。その欠陥を突けば、管理者権限がないユーザーでもシステムフォルダーを改竄できるというわけだ。OSを再起動すれば、細工の施されたシステムファイルが読み込まれ、そのまま実行されてしまう。

　Microsoftによると、これは比較的古い攻撃手法であるとのこと。「Windows Defender」のアンチウイルス機能はその仕様上、ユーザーレベルアカウントに隔離されたファイルの復元を許可していないため、攻撃を受ける恐れはないという。