Windowsのセキュリティ機能「WDAC」をすり抜けるブラウザベース攻撃が登場：セキュリティニュースアラート

IBMのX-ForceはElectronの脆弱性を利用し、WDACを回避する攻撃手法を実証した。シェルコードをWebブラウザプロセス内で実行することでEDR製品の検知を回避できることが分かっている。

[後藤大地，有限会社オングス]

　IBMの脅威インテリジェンスチーム「X-Force」は2025年5月14日（現地時間）、「Windows」のセキュリティ機能「Windows Defender Application Control」（以下、WDAC）の回避手法に関する新たな調査結果を発表した。

　WDACは信頼したアプリケーションのみの実行を許可するホワイトリスト方式を採用し、悪意あるコードの実行を防止するための重要なセキュリティ機能とされている。特に高いセキュリティ基準が求められる環境で使われることが多く、企業や政府機関などでも広く活用されている。

Windows Defender Application Controlを回避する攻撃モデルの詳細

　調査では、「Electron」アプリケーションに組み込まれたNode.jsモジュールやJavaScriptエンジン「V8」の既知の脆弱（ぜいじゃく）性を悪用することでWDACの制限を回避し、任意のネイティブコードを実行する方法を実証している。

　調査チームは脆弱なElectronアプリケーションを使い、そこに悪意のあるmain.jsを挿入。V8エンジンの脆弱性を突くことで、通常WDACの制御下では実行が制限されるようなネイティブコード（シェルコード）の実行を実証している。

　この手法の特筆すべき点はシェルコードをWebブラウザプロセスの文脈で実行できることにある。EDR（Endpoint Detection and Response）製品が通常なら不審と判定するような動作であっても、Webブラウザプロセス内で実行されることで正当な動作と誤認され検知できない可能性がある。

　X-ForceはまずElectronで利用されるV8のバージョンと既知の脆弱性を照合し、Microsoftが署名した脆弱なバージョンの「Visual Studio Code」など、攻撃に適したアプリケーションを選定。次にNode.jsベースのコマンド＆コントロールフレームワーク「Loki C2」と連携させることで、実際の業務環境を模した条件下でコードの実行を再現している。

　Electronでは現在、アプリケーション起動時にファイルの整合性を検証する「Integrity Verification」機能が試験的に導入されており、これが有効化されていれば本手法は無効化される。しかしこの機能はまだ広く普及しておらず、多くの既存アプリケーションでは依然として今回の攻撃手法が通用する可能性がある。

　X-Forceはアプリケーション開発者に対し、Electronの整合性確認機能の有効化を含むセキュリティ対策の強化を呼びかけている。さらに信頼したアプリケーションの脆弱性を突くBYOV戦術の重要性を再認識する必要があると指摘している。