EDRを回避する新手法を確認 Windows標準のUIテストフレームワークを悪用：セキュリティニュースアラート

Akamai TechnologiesはWindowsの「UI Automation」フレームワークを悪用する新たな攻撃手法を発見した。EDRを回避しフィッシングサイトへのリダイレクトやメッセージアプリの不正操作が可能とされている。

[後藤大地，有限会社オングス]

　Akamai Technologiesは2024年12月11日（現地時間）、「Windows」のアクセシビリティ品質テストフレームワーク「Microsoft UI Automation」（以下、UI Automation）を悪用する新たな攻撃を発見したと発表した。

　同社のセキュリティ研究者であるトマー・ペレド氏が調査を実施した結果、この攻撃を使えばEDR（Endpoint Detection and Response）製品による検知を回避できる可能性があることが明らかにされている。

EDR製品などの検知を回避できる攻撃手法が見つかる　その仕組みとは？

　UI Automationはユーザーの利便性を高めるために「Windows XP」の時代に導入された機能であり、他のアプリケーションのUIを操作する仕組みを提供している。しかし、この機能を攻撃者が悪用すると機密データの収集やWebブラウザのフィッシングサイトへのリダイレクト、メッセージアプリの不正操作などが可能になるとされている。

　Akamai Technologiesによると、この攻撃手法はEDRを含む多くのセキュリティツールによって検出されないという。同社のテスト結果では複数のEDR製品がこの攻撃を見逃すことが確認された。この攻撃が通常のアプリケーションの操作として見られるため、不正行為と認識されないことが原因とされている。

　この攻撃手法はWindows XP以降の全てのバージョンのWindowsで実行可能だ。特定のプログラムをユーザーに実行させることで悪用される。攻撃者はUIを通じてWebブラウザを操作し、ユーザーをフィッシングサイトに誘導できる。また、メッセージアプリ内の会話を読み取ったり、不正なテキストを送りつけたりすることも可能とされている。Akamai Technologiesは実際に「Slack」内での会話の読み取りに成功したと報告している。

　同社は今回の調査結果を踏まえ、UI Automationフレームワークの潜在的なリスクについて注意を促している。企業や管理者は該当するDLLファイルの挙動や不審なプロセスを監視するとともに、悪用を早期に検出することが望まれる。