Windowsのセキュリティ技術「VBSエンクレーブ」を悪用 新たなマルウェアが登場：セキュリティニュースアラート

Akamai Technologiesは、VBSエンクレーブを悪用した新たなマルウェアの可能性について発表した。この技術はセキュリティの強化を目的としているが、攻撃者にとっても魅力的な手法となることが指摘されている。

[後藤大地，有限会社オングス]

　Akamai Technologiesは2025年2月25日（現地時間）、VBSエンクレーブを悪用した新たなマルウェアの可能性について発表した。

　VBSエンクレーブとは「Windows」の仮想化ベースのセキュリティ（VBS）機能の一部として提供されている技術で、特定のプロセス領域を隔離し、他のプロセスやカーネルすらアクセスできないようにすることでコードやデータを高度に保護する。この技術はセキュリティの向上を目的としているが、攻撃者にとっても魅力的な手法となることが分かった。

VBSエンクレーブを利用した高度なマルウェア攻撃を検証

　Akamai Technologiesの調査によると、VBSエンクレーブを悪用したマルウェア（エンクレーブマルウェア）には以下の特徴があるという。

• メモリの不可視性：　エンクレーブ内部のメモリ領域はVTL0に属するプロセスやEDR（Endpoint Detection and Response）ツールから不可視であり、通常のメモリ監視手法では検出が困難になる
• APIコールの隠蔽（いんぺい）：　EDRは通常、システムライブラリーにフックを設置することでAPIの呼び出しを監視するが、VBSエンクレーブ内からのAPIコールはVTL1のライブラリ（vertdll.dll）を経由するため、検出されにくい

　VBSエンクレーブ内でマルウェアを実行する方法として次の手法が考えられる。

1. OSの脆弱（ぜいじゃく）性を利用：　CVE-2024-49706はMicrosoftによって修正されたが、過去には未署名のモジュールをエンクレーブにロードできる脆弱性が存在した。このような脆弱性を利用すれば、攻撃者は署名なしでエンクレーブにマルウェアを展開できる
2. 正規の署名を取得：　MicrosoftはTrusted Signingプラットフォームを通じて、サードパーティーによるエンクレーブモジュールの署名を許可している。この仕組みを悪用し、攻撃者が正規の署名を入手すれば、エンクレーブ内にマルウェアを潜伏させることが可能となる
3. デバッグ可能なエンクレーブモジュールの悪用：　デバッグモードでコンパイルされたエンクレーブモジュールは、メモリ保護を変更することが可能であり、攻撃者がシェルコードを埋め込んでVTL1で実行する手段として利用される可能性がある
4. 脆弱なエンクレーブの持ち込み（BYOVE）：　BYOVD（Bring Your Own Vulnerable Driver）の概念を応用した攻撃手法であり、正規エンクレーブモジュールの脆弱性（CVE-2023-36880）を利用して、攻撃者が独自のコードを実行する

　さらにVTL1を利用した新たなメモリ回避手法「Mirage」が提示されている。MirageはVTL1のエンクレーブ領域にシェルコードを一時的に保存し、実行する際にVTL0へ転送することで、EDRの検出を回避する手法とされている。Mirageに関する概念実証（PoC）は「GitHub」に公開されている。

　現在、VBSエンクレーブを使用するアプリケーションは限られているため、異常なエンクレーブの使用を検出することが有効な対策とされている。具体的な検出方法としてエンクレーブ関連APIの監視やエンクレーブDLLのロード検出が挙げられている。APIが予期しないプロセスで使用されている場合、DLLが通常のエンクレーブを使用しないプロセスによってロードされた場合に不審な活動の兆候とみなせる。

　VBSエンクレーブは本来はセキュリティ強化を目的とした技術であるが、攻撃者にとっても魅力的なツールとなる可能性がある。実際の攻撃事例は確認されていないものの、高度な脅威アクターがこの技術を悪用する可能性は十分に考えられる。セキュリティ専門家や企業はVBSエンクレーブの正当な使用と悪用の可能性を慎重に監視し、適切な対策を講じることが求められている。