ITmedia NEWS > セキュリティ >
セキュリティ・ホットトピックス

Windows Defenderのウイルススキャン迂回問題、セキュリティ企業が公表

» 2017年09月29日 07時30分 公開
[鈴木聖子ITmedia]

 セキュリティ企業CyberArkは2017年9月28日、MicrosoftのWindowsに実装されているセキュリティ機能「Windows Defender」をかわすことができてしまう問題を発見したと発表した。他のウイルス対策製品にも同じ問題が存在する可能性もあるとしている。

Windows Defenderをかわすことができる問題 CyberArkがWindows Defenderをかわすことができてしまう問題を発見

 CyberArkの研究チームは、Windows Defenderでファイルをスキャンするプロセスに不審な挙動を発見し、SMB共有を介したウイルススキャンのプロセスを調べたところ、今回の問題を発見した。

 同社のブログによると、ほとんどのウイルス対策製品では、ユーザーが実行可能ファイルを実行すると、カーネルコールバックによってその動作を検出してファイルをスキャンする。

 しかし実行可能ファイルが既にディスクに存在していた場合、ファイル作成の段階で既にスキャンされていることから、プロセス作成過程でのスキャンは実行されない。ところがSMB共有経由の実行可能ファイルを実行する場合、プロセス作成の過程でもファイルのスキャンが行われるという。

 CyberArkではこの仕組みを突いて、マルウェアにWindows Defenderを迂回させることができたと説明している。Windows Defenderをかわすためには、攻撃者がSMBプロトコルを実装して、Windows Defenderのリクエストを通常のリクエストと区別できる「疑似サーバ」を作成する必要がある。そうすることによってスキャンが失敗し、悪質なファイルを妨げられることなく実行させることが可能だという。

 MicrosoftはCyberArkの報告に対し、「これはセキュリティ問題ではなく、機能リクエストだと思われる」と返答しているという。

Windows Defenderをかわすことができてしまう問題 MicrosoftはCyberArkの報告に対し、「これはセキュリティ問題ではなく、機能リクエストだと思われる」と返答

Copyright © ITmedia, Inc. All Rights Reserved.