EDRを欺く新たな攻撃手法「パスマスカレーディング」が登場 その仕組みを解説：セキュリティニュースアラート

Zero SalariumはEDR製品による検知を回避する新たな攻撃手法「Path Masquerading」（パスマスカレーディング）について報告した。この技術はWindows Defenderのプロセスを偽装してEDRの監視を回避するという。

[後藤大地，有限会社オングス]

　Zero Salariumは2025年1月20日（現地時間）、EDR（Endpoint Detection and Response）製品による検知を回避する新たな攻撃手法「Path Masquerading」（パスマスカレーディング）について伝えた。標準ユーザーアカウントでペイロードのパスをAntimalware Service Executableのパスに似せて偽装するマスカレード攻撃の技術が紹介されている。

EDRによる監視をなぜ回避できるのか？　新攻撃について技術解説

　EDRはシステムのプロセス作成イベントを監視し、悪意のある挙動を検出する。特に実行ファイルのパスやコマンドラインの情報は、EDRによる検出の判断材料となる。そのため攻撃者は疑わしいプロセスを隠蔽（いんぺい）する手法を模索している。

　Zero SalariumはEDRの監視を回避するためにパスマスカレーディング技術を使った攻撃の有効性を検証した。この手法を使うことで、マルウェアの実行ファイルを「Windows Defender」の「MsMpEng.exe」などの正規のアンチウイルスプロセスに見せかけることが可能とされている。

　通常、「Windows」のシステムフォルダ（例：C:\Program Files\Windows Defender\）は管理者権限がなければ書き込みができない。しかしZero Salariumによると、Unicodeの特殊なスペース文字（U+2000 En Quad、U+2001 Em Quad、U+2002 En Spaceなど）を利用すれば「C:\Program Files」に見える別のディレクトリを作成できるという。例えば「C:\Program Files」の代わりに「C:\Program[U+2000: En Quad]Files」を作成し、そこに「Windows Defender」フォルダをコピーすることで、同じフォルダに見えるが実際には異なる場所で悪意のあるプログラムを実行できるとしている。

　この攻撃が成功するとEDRのログ上では「C:\Program Files\Windows Defender\MsMpEng.exe」と類似したパスとして認識されるため、セキュリティアナリストが脅威を見逃す可能性がある。また調査の遅延や誤った方向への誘導といった影響も考えられる。

　パスマスカレーディングの対策としては以下の方法が有効とされている。

• Unicodeスペースを含むパスを監視するルールを追加
• ログビューアーを改良し、特殊文字を可視化
• C:\直下のフォルダ作成を制限

　Zero Salariumは攻撃者がEDRを回避するために常に新しい技術を模索していると警告しており、管理者はパスマスカレーディングのような回避手法を理解し、防御策を強化する必要があると強調している。