脆弱性情報サイト「JVN」は2017年5月25日、DLLハイジャックの脆弱性を持つWindowsのプログラムが多数見つかっているという注意喚起を公表した。

DLLハイジャックの脆弱性を持つWindowsアプリケーションが急増中と、JVNが注意喚起。URLは、https://jvn.jp/ta/JVNTA91240916/。
DLLハイジャックの脆弱性を持つWindowsアプリケーションが急増中と、JVNが注意喚起。URLは、https://jvn.jp/ta/JVNTA91240916/。
(出所:JVN)
[画像のクリックで拡大表示]

 DLLハイジャックとは、ユーザーがプログラムを実行したときに、攻撃者が用意したDLLファイルを読み込ませてウイルス感染などを行う攻撃。DLLファイルは、プログラムの部品のようなもの。一般に、複数のプログラムが共通で利用する機能をDLLファイルで用意する。

 DLLファイルはシステムフォルダーなどに置き、さまざまなプログラムがそのシステムフォルダーからDLLファイルを読み込む。

 ところがWindowsは、プログラムの実行ファイルと同じフォルダーに、読み込もうとするDLLファイルと同名のファイルがあると、そのファイルを優先して読み込む仕様になっている。攻撃者が用意した不正なDLLファイルが実行ファイルと同じフォルダーに置かれると、その不正DLLファイルを読み込んでしまう可能性がある。

 JVNの注意喚起によると、この脆弱性を持つインストーラープログラムが複数見つかっているという。インターネットからダウンロードしたファイルは、通常ダウンロードフォルダーに保存されるため、細工されたDLLファイルが紛れ込みやすい。インストーラーと同じフォルダーに不審なファイルがないかをプログラム実行前に確認するか、新規でフォルダーを作成してその中でプログラムを実行する、などの対策が必要だとしている。

 JVNが公表したDLLハイジャックの脆弱性は2016年は7件のみだったが、2017年は既に11件と急増している。ただし、「JVNが2016年以降に公表した脆弱性を悪用した攻撃例を1件も把握していない。プログラムの脆弱性を探すハッカーの興味が、この脆弱性に向いただけではないか」(脆弱性診断などを行うラックの山崎圭吾氏)と指摘する声もある。

■変更履歴
当初、「DLLインジェクション攻撃」という言葉を使っていましたが、外部から指摘を受け「DLLハイジャック」のほうが適切であると判断したため、該当箇所を「DLLハイジャック」に変更しました。 [2017/06/14 11:55]