インフラセキュリティの処方箋

第43回　2018年2月～いまも発見される，DLL読み込みに関する脆弱性～どう悪用されるのか？＆対処は？

Twitter リスト

2018年2月28日

宮本久仁男

インフラ, セキュリティ, 脆弱性, マルウェア, DLL, 対策

この記事を読むのに必要な時間：およそ 1.5 分

2月は，地味にじわじわくる脆弱性が複数発見されました。発見された脆弱性の中身を紐解くと，延々昔から発見されているものも多くあります。

今月はその中から，DLL読み込みに関する脆弱性を題材に取り上げます。

2月に公開された「DLL読み込みに関する脆弱性」の例

2018年2月は，「⁠DLL読み込みに関する脆弱性」（⁠以下，本文中は「本件脆弱性」と称します）がやたらと公開されました。

以下は，JVNにより公開された，本件脆弱性に関する報告一覧です。

「DLL読み込みに関する脆弱性」のCVSS評価

CVSSによる本件脆弱性の評価は，すべて以下のとおりです。

CVSS v3:基本値: 7.8

AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
ローカル脆弱性（AC:L⁠）⁠，難度は低い（AC:L⁠）⁠，ユーザによる操作は必要（UI：R）
影響は，操作ユーザの権限で及ぼす範囲に閉じる（S:U）
機密性（C⁠）⁠，完全性（I⁠）⁠，可用性（A)に対する影響は高（C:H/I:H/A:H）

CVSS v2:基本値: 6.8

AV:N/AC:M/Au:N/C:P/I:P/A:P
ネットワーク脆弱性（AC:N⁠）⁠，難度は中（AC:M⁠）⁠，認証は不要（Au:N）
機密性（C⁠）⁠，完全性（I⁠）⁠，可用性（A)に対する影響は部分的（C:P/I:P/A:P）

「DLL読み込みに関する脆弱性」がトリガする前提としくみ

本件脆弱性は，脆弱性のあるプログラムと悪意あるDLLが同じディレクトリに配置されている場合にトリガされる可能性があります。

図　本件脆弱性がトリガされる前提としくみ

図中①～②は本件脆弱性がトリガされる前提，③～⑤は本件脆弱性がトリガされるしくみです。

「DLL読み込みに関する脆弱性」の原因

最近発見される本件脆弱性は，多くの場合「プログラム実行時にあらかじめ読み込まれるDLLの存在」と「DLL検索の優先順位」に起因します。

以下の資料に，対策も含めてわかりやすく解説されています。

DLL 読み込みの問題を読み解く（JPCERT/CC 戸田氏）

本記事の図では「DLLをダウンロードしたディレクトリ」と「実行ファイルをダウンロードしたディレクトリ」が同じであり，かつそのディレクトリ上にある実行ファイルをそのまま実行する，という構図を想定しています。

「DLL読み込みに関する脆弱性」の対策

本件脆弱性は，ユーザ側で取れる自衛策と開発側で取るべき対策の2つが存在します。それぞれの対策は独立です。

ユーザ側で取れる自衛策

ユーザ側は，ダウンロードした実行ファイル類に，本件脆弱性が存在する可能性を考慮して，そのような実行ファイルを使う前に以下のような段階を踏むことで，本件脆弱性の影響を緩和することが可能です。

新しくディレクトリ／フォルダを作成する
新しく作成したディレクトリ／フォルダに，ダウンロードした実行ファイル類をコピー／移動する
新しく作成したディレクトリ配下の実行ファイルを実行する

すでに別のマルウェアなどにより，システムディレクトリなどに悪意あるDLLが配置されている場合は，この方法だけだと対処は難しいですが，多くの場合は上記のような対処は有効です。

開発側で取るべき対策

開発側が取るべき対策は，何通りかあります。

自己解凍ファイルなど，ダウンロードした実行ファイルをそのまま実行することを想定できる場合: 自己解凍ファイルが利用する実行ファイルについて，あらかじめ読み込まれるDLLを最小限にします。
開発側がプログラム実行のための環境を設定可能な場合: ダウンロードしたプログラムをそのまま実行するのではなく，インストールを経て実行できるようにします。
配布するインストーラが実行ファイルになる場合: インストーラ作成プログラムを，本件脆弱性について対処したものに変更し，インストーラを実行ファイルではなく，マイクロソフトインストーラ（MSI）形式のものにします。

参考資料

筆者が見る限り，JVNの以下の資料が，詳細かつわかりやすく本脆弱性について説明しています。

JVNTA#91240916：Windows アプリケーションによる DLL 読み込みやコマンド実行に関する問題

対策を検討される際には，上記の資料を一読されることをお勧めします。

インフラ, セキュリティ, 脆弱性, マルウェア, DLL, 対策

著者プロフィール

宮本久仁男（みやもとくにお）

某SIerに勤務する，どこにでもいる技術者。

OSやネットワーク技術に興味を持ち，その延長でセキュリティ技術にも興味を持って，いろんな調査や研究を手がけてます。

自分で思考を巡らしたり検証したり，というのももちろん好きで，あれこれやってます。もちろん他の人に迷惑はかけない範囲で……ですが。

博士（情報学），技術士（情報工学）。

URL：http://d.hatena.ne.jp/wakatono/

監訳書の1つ：実践Metasploit

バックナンバー

インフラセキュリティの処方箋

バックナンバー一覧

ピックアップ

LINE テクノロジー＆エンジニアリング大全: 「LINE DEVELOPER DAY 2020」より，注目すべきテクノロジー，エンジニアリングをピックアップし，詳説インタビューを実施しました。
プロダクト思考で開発が進む「みてね」の今とこれから～みてねの生みの親笠原健治氏，開発マネージャ酒井篤氏が考える，プロダクトとエンジニアリングの素敵な関係: 「家族アルバムみてね」を支えるエンジニアリングについて，開発体制やプロダクトの開発・運用，これからのビジョンについて伺いました。
自分の証明と持続的な学びがこれからのDX人材の鍵を握る～A-BANKが考えるDX人材バンクの在り方とは？: 2020年11月にスタートしたA-BANKの人材バンク。評価・育成・紹介の一体型人材紹介から見える，これからの人材エコシステムに迫ります。
APIゲートウェイとサービスメッシュの違い: APIゲートウェイとサービスメッシュの，それぞれの概要とユースケースを紹介し，いずれを使用するかの判断の指針となるチートシートを提供しています。
LightningChart® Traderによるテクニカル分析と証券取引アプリケーションの開発: 証券取引アプリケーションの開発プロセスを大幅に簡素化するLightningChart® Traderのビルドイン機能について紹介します。
コードの安全性・安定性を高める開発サイクル～テスト管理の効率を上げ，脆弱性診断を自動で行う～: 本連載では，連載「業務を改善する情報共有の仕掛け」を受けつつ，安全性・安定性を加えた開発サイクルについて考えていきます。

その他の連載

CSS3アニメーションでつくるインターフェイス表現: CSS3によるアニメーション表現を紹介していきます。その中でも，幅広い読者に応用してもらえるだろうインターフェイスを主なお題とします。
MySQL道普請便り: 本連載では，MySQLを使ったアプリ開発・運用に関するノウハウをご紹介していきます。
Ubuntu Weekly Recipe: Ubuntuの強力なデスクトップ機能を活用するための，いろいろなレシピをお届けします。
JavaScriptセキュリティの基礎知識: JavaScriptに関するセキュリティ上の問題はどこで発生し，どうすれば防ぐことができるのか？について解説していきます。
Javaでなぜ問題が起きるのか〜システムをきちんと運用するための基礎知識: システムは「作って終わり」ではなく，運用の中でさまざまな問題が発生します。問題の発生に備えて事前にどのような対応をしておくべきなのか，問題発生時に何をしなければならないのか，ポイントを解説していきます。
きたみりゅうじの聞かせて珍プレー: ソフトウェア開発の現場で体験したトホホな失敗，思わずうなる珍プレーをきたみりゅうじ氏が四コママンガで紹介。みなさんからの投稿もお待ちしてます！
玩式草子─ソフトウェアとたわむれる日々: Plamo Linuxのメンテナンスの傍ら，Linuxやオープンソースソフトと日々を過ごす著者が，その魅力とつきあい方を，エッセイ風味でお届けします。
はまちちゃんとわかばちゃんのREADER'S FORUM―読者のページ: WEB+DB PRESS特別編集部員，さわやか笑顔のスーパーハカーはまちちゃんとネット大好き14歳わかばちゃんが，毎号，読者の皆さんから寄せられたおたよりを紹介します。皆さんの日頃の悩みにも答えちゃいますよ。