最近,Windows Vistaのセキュリティに影響を与える2つの事実が明らかになった。1つはWGA(Windows Genuine Advantage)にまつわる問題で,正規版ではないのにWindows Vistaに対して正規版だと認識させられるコードがリリースされた。このコードは,サード・パーティ製ドライバを使用して,Windows Vistaのセキュリティをかいくぐっている。
表面的にはセキュリティとは関係なさそうだが,実際にはセキュリティの問題である。まず最初に,ある中小企業がWindows Vistaへの移行コストを削減しようとする場面を想像してみよう。この企業は新しいソフトウエアとハードウエアの組み合わせをいろいろ検討して,できるだけ価格を抑えようとあちこちを物色して回るかもしれない。その結果,WGAに誤認識させるためのドライバをインストールした,Windows Vistaの海賊版を販売する業者から購入してしまうかもしれない。
この手のあくどい業者なら,既存のセキュリティ・ソフトでは検出できないようにしたボットネットやルートキット,キー・ロガーなどのプログラムを,販売するマシンにインストールしておくことも朝飯前だろう。このようなことができるのも,ドライバを利用してマルウエアのプロセスを保護しておけば,別のプロセスからのプロセスに対する検査はほとんど無意味になるからである。プロセス・メモリ空間を検査できなければ,その内部に存在するマルウエアを検出するのは不可能だ。
また先日,Alex Ionescu氏という人物が「D-Pin Purr 1.0」という名前のPoC(proof-of-concept)ツールをリリースした。このツールはWindows Vistaの32ビット版でのみ動作し,プロセスを保護したり保護解除したりできるドライバを使っている。Ionescu氏は,「プロセスを保護することも,逆にあらゆるコード整合性チェックやサンドボックス(プロセスを保護するセキュリティ機能)を回避してプロセスの保護を解除するのも,お手の物だ」と語っている。つまり,多くのセキュリティ・ソフト・ベンダーが「自社のソフトが動かなくなる」と非難したWindows Vistaのプロセス保護機能を,Ionescu氏は回避できると言っているのだ。
このツールが実際に意図した通りに動作する場合(筆者はこのツールをテストしていないが,動作するかどうかは疑わしい),確かに「悪意を持つ人間」が類似ツールを作成してボットネットやルートキット,キーロガーなどのコードを「防御」できるだろう。
Windows Vistaでは,ドライバをインストールするには昇格した権限が必要とされる場合があるので,ドライバを使ったセキュリティ機能の回避が与える影響は,限定的ではあると考えられる。しかし歴史がが証明しているように,侵入者は常に複数のぜい弱性を組み合わせたソーシャル・エンジニアリングに取り組んでおり,最終的にはドライバのインストールに成功する可能性がある。
Ionescu氏が開発したツールについては,彼のブログで詳しく説明されている。このブログにはD-Pin Purrをダウンロードするリンクも貼られている。
