WDACポリシーを逆手に取ってEDRを無力化 新たな攻撃手法を研究者が指摘：セキュリティニュースアラート

セキュリティ研究者らは「Windows Defender Application Control」（WDAC）を悪用する新たな攻撃手法を報告した。WDACポリシーを逆手に取って、全てのエンドポイントのセキュリティツールを無効化することが可能だとされている。

[後藤大地，有限会社オングス]

　セキュリティ研究者のジョナサン・ビエール氏とローガン・ゴインズ氏は2024年12月20日（現地時間）、アプリケーション制御機能「Windows Defender Application Control」（以下、WDAC）を悪用することで、EDR（Endpoint Detection and Response）製品を無力化する新たな攻撃手法について警告した。

　WDACは「Windows 10」以降および「Windows Server 2016」以降で導入され実行可能なコードを厳格に制御するセキュリティ機能だ。今回、WDACの機能を逆手に取ることで、EDRをはじめとしたセキュリティツールの動作を停止されてしまうことが明らかになった。

WDACを悪用してEDRを停止させる？　一連の攻撃手順と緩和法を解説

　攻撃の基本的な流れは、まず攻撃者が管理者権限で特別に作成したWDACポリシーをエンドポイントに配置する。次にマシンが再起動されると新たなWDACポリシーが適用されEDRセンサーやその他の防御ツールが起動できなくなり、監視を回避しながらネットワーク内での活動を拡大できる。

　特に「Active Directory」ドメイン全体に対する攻撃ではグループポリシーオブジェクト（GPO）を利用してWDACポリシーを展開し、全てのエンドポイントのセキュリティツールを無効化することが可能とされている。

　報告では、この攻撃手法の実効性を示すPoC（概念実証）として「Krueger」という.NETベースのツールが取り上げられている。Kruegerは攻撃者がリモートデバイスの管理者権限を取得している場合、特殊なWDACポリシーをシステムディレクトリに配置してデバイスを再起動することでEDRセンサーを停止させるツールとされている。

　この攻撃は迅速かつ効果的に実行される特性を持つため検出が難しいとされており、次のような緩和策が提案されている。

• WDACポリシーの監視：　特定のファイルパスに配置されたポリシーをプロアクティブにスキャンし、整合性を確認する
• 署名付きドライバーの制御：　Microsoftによる認証プログラムWHQL（Windows Hardware Quality Labs）署名ドライバーに依存しないポリシーを作成し、特定のEDRソリューションを明示的に許可する
• 管理者権限の制限：　WDACポリシーを適用するために必要な管理者権限へのアクセスを厳密に制御する

　WDACの悪用は既存のEDRの弱点を突いた新たな脅威となる。攻撃者がこの技術を使うことでより広範な侵害が実行される可能性がある。組織は研究者が公開した攻撃手法への対策を講じ、セキュリティインフラの強化に取り組むことが望まれる。