Lenovo製PCに潜むAppLocker回避の脆弱性 標準ユーザーでも書き込み可能に：セキュリティニュースアラート

セキュリティ研究者が、Lenovo製PCのWindowsシステムフォルダにAppLocker回避に悪用可能な脆弱ファイルが存在すると報告した。ACL設定不備により標準ユーザーでも書き込みができ、悪用可能とされている。

[後藤大地，有限会社オングス]

　セキュリティ研究者のオッドヴァル・モー氏は2025年7月3日（現地時間）、自身のブログでLenovo製PCに標準搭載の「Windows」のシステムフォルダ内に、任意の認証済みユーザーによる書き込みが可能なファイル（C:\Windows\MFGSTAT.zip）が存在することを報告した。「AppLocker」の制限を回避する経路として悪用され得る重大なセキュリティの問題と指摘されている。

Lenovo製PCの「Windows」に脆弱なファイルが見つかる

　この問題の本質は「MFGSTAT.zip」に付与されているアクセス制御リスト（ACL）の設定不備にある。標準ユーザーにおいてもこのファイルへの書き込みおよび実行権限が与えられており、AppLockerの初期設定ではWindowsディレクトリ配下のファイルが実行可能になっていることから、これが回避手段として機能してしまう。

　この脆弱（ぜいじゃく）性はファイル自体を直接改変しなくとも、Windowsの機能の「Alternate Data Stream」（ADS）を利用して悪意ある実行ファイルをファイルのデータストリームとして埋め込み、「Microsoft Office」に同梱されている「appvlp.exe」などの正規実行ファイルを使ってコードを実行することで利用可能となる。

　モー氏は2019年に初めてこの問題に気が付いたという。当時は特定モデルの問題と認識していたが、2025年になって再確認した結果、他のLenovo端末にも同様のファイルが存在していることを確認した。Lenovoのセキュリティ対応チーム（PSIRT）に報告をしている。

　Lenovoは対応策として、該当ファイルを「PowerShell」やコマンドプロンプト、または、エクスプローラーから削除する方法を案内している。

• PowerShellの場合：　Remove-Item -Path "C:\Windows\MFGSTAT.zip" -Force
• コマンドプロンプトの場合：　del /A:H C:\Windows\MFGSTAT.zip
• Windowsファイルエクスプローラーの場合：　C:\Windowsに移動し、「表示」タブから「表示」→「隠しファイル」を表示させ、MFGSTAT.zipを右クリックして削除

　本件はシステムフォルダに存在する意図しない権限設定が、信頼されているアプリケーション制御機能の脆弱性となり得ることを示す例といえる。AppLockerのような制御機構を導入する際には、事前にファイルシステム全体の権限設定を精査することが望まれる。