インフラセキュリティの処方箋

第43回　2018年2月～いまも発見される，DLL読み込みに関する脆弱性～どう悪用されるのか？＆対処は？

Twitter リスト

2018年2月28日

宮本久仁男

インフラ, セキュリティ, 脆弱性, マルウェア, DLL, 対策

この記事を読むのに必要な時間：およそ 1.5 分

2月は，地味にじわじわくる脆弱性が複数発見されました。発見された脆弱性の中身を紐解くと，延々昔から発見されているものも多くあります。

今月はその中から，DLL読み込みに関する脆弱性を題材に取り上げます。

2月に公開された「DLL読み込みに関する脆弱性」の例

2018年2月は，「⁠DLL読み込みに関する脆弱性」（⁠以下，本文中は「本件脆弱性」と称します）がやたらと公開されました。

以下は，JVNにより公開された，本件脆弱性に関する報告一覧です。

「DLL読み込みに関する脆弱性」のCVSS評価

CVSSによる本件脆弱性の評価は，すべて以下のとおりです。

CVSS v3:基本値: 7.8

AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
ローカル脆弱性（AC:L⁠）⁠，難度は低い（AC:L⁠）⁠，ユーザによる操作は必要（UI：R）
影響は，操作ユーザの権限で及ぼす範囲に閉じる（S:U）
機密性（C⁠）⁠，完全性（I⁠）⁠，可用性（A)に対する影響は高（C:H/I:H/A:H）

CVSS v2:基本値: 6.8

AV:N/AC:M/Au:N/C:P/I:P/A:P
ネットワーク脆弱性（AC:N⁠）⁠，難度は中（AC:M⁠）⁠，認証は不要（Au:N）
機密性（C⁠）⁠，完全性（I⁠）⁠，可用性（A)に対する影響は部分的（C:P/I:P/A:P）

「DLL読み込みに関する脆弱性」がトリガする前提としくみ

本件脆弱性は，脆弱性のあるプログラムと悪意あるDLLが同じディレクトリに配置されている場合にトリガされる可能性があります。

図　本件脆弱性がトリガされる前提としくみ

図中①～②は本件脆弱性がトリガされる前提，③～⑤は本件脆弱性がトリガされるしくみです。

「DLL読み込みに関する脆弱性」の原因

最近発見される本件脆弱性は，多くの場合「プログラム実行時にあらかじめ読み込まれるDLLの存在」と「DLL検索の優先順位」に起因します。

以下の資料に，対策も含めてわかりやすく解説されています。

DLL 読み込みの問題を読み解く（JPCERT/CC 戸田氏）

本記事の図では「DLLをダウンロードしたディレクトリ」と「実行ファイルをダウンロードしたディレクトリ」が同じであり，かつそのディレクトリ上にある実行ファイルをそのまま実行する，という構図を想定しています。

「DLL読み込みに関する脆弱性」の対策

本件脆弱性は，ユーザ側で取れる自衛策と開発側で取るべき対策の2つが存在します。それぞれの対策は独立です。

ユーザ側で取れる自衛策

ユーザ側は，ダウンロードした実行ファイル類に，本件脆弱性が存在する可能性を考慮して，そのような実行ファイルを使う前に以下のような段階を踏むことで，本件脆弱性の影響を緩和することが可能です。

新しくディレクトリ／フォルダを作成する
新しく作成したディレクトリ／フォルダに，ダウンロードした実行ファイル類をコピー／移動する
新しく作成したディレクトリ配下の実行ファイルを実行する

すでに別のマルウェアなどにより，システムディレクトリなどに悪意あるDLLが配置されている場合は，この方法だけだと対処は難しいですが，多くの場合は上記のような対処は有効です。

開発側で取るべき対策

開発側が取るべき対策は，何通りかあります。

自己解凍ファイルなど，ダウンロードした実行ファイルをそのまま実行することを想定できる場合: 自己解凍ファイルが利用する実行ファイルについて，あらかじめ読み込まれるDLLを最小限にします。
開発側がプログラム実行のための環境を設定可能な場合: ダウンロードしたプログラムをそのまま実行するのではなく，インストールを経て実行できるようにします。
配布するインストーラが実行ファイルになる場合: インストーラ作成プログラムを，本件脆弱性について対処したものに変更し，インストーラを実行ファイルではなく，マイクロソフトインストーラ（MSI）形式のものにします。

参考資料

筆者が見る限り，JVNの以下の資料が，詳細かつわかりやすく本脆弱性について説明しています。

JVNTA#91240916：Windows アプリケーションによる DLL 読み込みやコマンド実行に関する問題

対策を検討される際には，上記の資料を一読されることをお勧めします。

インフラ, セキュリティ, 脆弱性, マルウェア, DLL, 対策

著者プロフィール

宮本久仁男（みやもとくにお）

某SIerに勤務する，どこにでもいる技術者。

OSやネットワーク技術に興味を持ち，その延長でセキュリティ技術にも興味を持って，いろんな調査や研究を手がけてます。

自分で思考を巡らしたり検証したり，というのももちろん好きで，あれこれやってます。もちろん他の人に迷惑はかけない範囲で……ですが。

博士（情報学），技術士（情報工学）。

URL：http://d.hatena.ne.jp/wakatono/

監訳書の1つ：実践Metasploit

バックナンバー

インフラセキュリティの処方箋

バックナンバー一覧

ピックアップ

ヒューマンリソシアのGITサービスが目指す，時代にアジャストするエンジニアチームの作り方: アフターコロナにおけるエンジニアチームの作り方，グローバルな視点でのエンジニア獲得と開発とコミュニケーションの在り方について取り上げます。
LINE テクノロジー＆エンジニアリング大全: 「LINE DEVELOPER DAY 2020」より，注目すべきテクノロジー，エンジニアリングをピックアップし，詳説インタビューを実施しました。
プロダクト思考で開発が進む「みてね」の今とこれから～みてねの生みの親笠原健治氏，開発マネージャ酒井篤氏が考える，プロダクトとエンジニアリングの素敵な関係: 「家族アルバムみてね」を支えるエンジニアリングについて，開発体制やプロダクトの開発・運用，これからのビジョンについて伺いました。
自分の証明と持続的な学びがこれからのDX人材の鍵を握る～A-BANKが考えるDX人材バンクの在り方とは？: 2020年11月にスタートしたA-BANKの人材バンク。評価・育成・紹介の一体型人材紹介から見える，これからの人材エコシステムに迫ります。
APIゲートウェイとサービスメッシュの違い: APIゲートウェイとサービスメッシュの，それぞれの概要とユースケースを紹介し，いずれを使用するかの判断の指針となるチートシートを提供しています。

その他の連載

LINE テクノロジー＆エンジニアリング大全: 2020年開催「LINE DEVELOPER DAY 2020」より，注目プロダクト，テクノロジー，エンジニアリングをピックアップし，インタビューを実施しました。
MySQL道普請便り: 本連載では，MySQLを使ったアプリ開発・運用に関するノウハウをご紹介していきます。
Ubuntu Weekly Recipe: Ubuntuの強力なデスクトップ機能を活用するための，いろいろなレシピをお届けします。
はまちちゃんとわかばちゃんのREADER'S FORUM―読者のページ: WEB+DB PRESS特別編集部員，さわやか笑顔のスーパーハカーはまちちゃんとネット大好き14歳わかばちゃんが，毎号，読者の皆さんから寄せられたおたよりを紹介します。皆さんの日頃の悩みにも答えちゃいますよ。
OSSデータベース取り取り時報: 本連載では，いろいろな種類のOSSデータベースに関する各月の出来事をお伝えいたします。
いま，見ておきたいウェブサイト: この連載では，国内外の最新のウェブサイトを隔週更新で取り上げ，これら最新サイトの特徴や素晴らしい部分を，さまざまな角度から解説していきます。
続・玩式草子 ―戯れせんとや生まれけん―: 「玩式草子」とは，Plamo Linuxのメンテナーを務める筆者が，Linuxやオープンソースソフトウェアと過ごす日々をエッセイ風味で綴った連載。100回を期に「続・玩式草子」として新たなスタートを切ることとなりました。
漫画から学ぶマネジメント: 本連載では，筆者がいままで読んで気づきを得た漫画から，どういった場面をどうマネジメントに重ねて理解したかが伝わるような内容で執筆していきます。