PCをゼロデイ脆弱性だらけにする新手のWindows攻撃とは：793rd Lap

PC管理の中でも特に面倒なのが脆弱性管理だ。対処したはずの脆弱性が再現されてしまう新たな攻撃手口が発見された。

[キーマンズネット]

　OSを最新の状態に保つために重要な「Windows Update」。情シスにとってはアップデート管理は面倒な仕事かもしれないが、脆弱（ぜいじゃく）性を悪用するサイバー攻撃の被害者にならないためにも、常に最新のWindows Updateを適用しておくことが重要だ。

　対処したはずの既知の脆弱性を復活させてしまう、厄介なサイバー攻撃の手口が明らかになった。一体、どんな方法で？

　その新たな攻撃手法は「Windows Downdate」と呼ばれ、Windows Updateを「なかったこと」にしてしまうというもの。いわば「ダウングレード攻撃」だ。攻撃を受けると、パッチを適用したはずのWindowsマシンが何千もの脆弱性を抱えた状態にロールバックされ、ゼロデイ脆弱性を抱えた状態になる。

　2024年8月3〜8日にラスベガスで開催されたセキュリティカンファレンス「Black Hat USA 2024」でWindows Downdateの存在が明かされた。セキュリティ対策企業SafeBreachのセキュリティ研究者であるアーロン・レヴィ氏が講演で詳細を語り、2024年8月7日、セキュリティ系情報サイト「BleepingComputer」がこの件を掲載したことで広く知れわたった。記事によるとダウングレード攻撃の対象は「Windows 10」「Windows 11」「Windows Server」だ。

　まず攻撃者はターゲットデバイスのWindows Updateプロセスを侵害し、OSコンポーネントをアップデートファイルと見せかけてダウングレードさせる。するとシステムはWindows Updateが適用される前の状態にロールバックされ、脆弱性が再現されてしまう。しかも、Windows Updateはもちろん回復ツールやスキャンツールも「正しくアップデートされた」と認識し、ロールバックを検知するのは困難だという。

　この攻撃は2023年に登場したマルウェア「BlackLotus UEFIブートキット」がきっかけとなった。BlackLotusはUEFI（Unified Extensible Firmware Interface）で動作するルートキットで、Windowsのブートマネジャーをダウングレードすることでセキュアなブートを回避し、システムを乗っ取るというもの。Windowsのセキュリティ機能「BitLocker」や「HVCI（hypervisor-protected code integrity）」「Windows Defender」、アカウント制御などを無効にすることで第三者が好き勝手できてしまう。

　Microsoftは2023年4月にBlackLotusの脅威を明らかにし、対策を施した。しかし、レヴィ氏は「セキュアブートのダウングレード手法が他のコンポーネントのダウングレードにも使えるのではないか」と考え、調査した。

　すると発見されたのが、Windows Updateのプロセスに存在するゼロデイ脆弱性だった。レヴィ氏は、これを悪用することでWindows Updateを制御し、ダウングレード攻撃が可能になることを明かした。さらに、UEFIロックが実行されている仮想化ベースのセキュリティ（VBS）環境でも有効であることも分かった。

　レヴィ氏は2024年2月に、この攻撃手法の存在をMicrosoftに報告した。Microsoftに対応までの猶予を与え、その間は研究結果の公表は控えた。そしてBlack Hat USA 2024で、Microsoftがこの攻撃をWindows Updateスタックの権限昇格の脆弱性「CVE-2024-38202」と、Windowsセキュアカーネルモードの権限昇格の脆弱性「CVE-2024-21302」として認定したことが明かされた。

　BleepingComputerの記事が公開された後、Microsoftの広報担当者は声明を発表した。「SafeBreachがこの脆弱性を特定し責任をもって報告してくれたことに感謝する。当社はこれらのリスクから保護するための緩和策を開発し、業務の中断を最小限に抑えながら顧客保護に努める」とのことだ。

　なんとも厄介なダウングレード攻撃。すぐさま悪用されることはないだろうが、Windows Updateの信頼度を維持するためにもMicrosoftは、引き続き対策を練ってほしいものだ。

上司X：　Windows Updateの機能を悪用するダウングレード攻撃、Windows Downdateの存在が明らかになった、という話だよ。

ブラックピット：　Windows Updateがなかったことになるとは恐ろしい話ですよ。

上司X：　しかもダウングレードされたユーザーはそのことを察することができないというからね。

ブラックピット：　でも、あくまでもセキュリティ対策企業の調査で明らかになっただけですよね？

上司X：　そういうことだ。研究で明らかになった攻撃手法の一つということだね。Microsoftも有用な調査結果と受け止めているようだし。

ブラックピット：　サイバー犯罪者たちに悪用される前に明るみに出て良かった良かった……ということですかね。

上司X：　Windows Downdateの発見から報告、発表までに半年間空いていたということらしいから、そこまで即時対応するほどの問題ではなかったということなんじゃないかな。

ブラックピット：　そうかもしれませんけど、レヴィさんの調査では実行可能な攻撃なんですよね？　半年間も放置されていたと思えばモヤモヤしますね。あ、またWindows Updateが来てるっ！

上司X：　まあ、普通にアップデートしなさいよ。今の時点だとWindows Updateしない方が危険だと思うよ。Microsoftだっていずれ修正すると言っているんだし、ここはまあわれわれユーザーは静かに様子見だと思うよ。

ブラックピット（本名非公開）

年齢：36歳（独身）
所属：某企業SE（入社6年目）

昔レーサーに憧れ、夢見ていたが断念した経歴を持つ（中学生の時にゲームセンターのレーシングゲームで全国1位を取り、なんとなく自分ならイケる気がしてしまった）。愛車は黒のスカイライン。憧れはGTR。車とF1観戦が趣味。笑いはもっぱらシュールなネタが好き。

上司X（本名なぜか非公開）

年齢：46歳
所属：某企業システム部長（かなりのITベテラン）

中学生のときに秋葉原のBit-INN（ビットイン）で見たTK-80に魅せられITの世界に入る。以来ITひと筋。もともと車が趣味だったが、ブラックピットの影響で、つい最近F1にはまる。愛車はGTR（でも中古らしい）。人懐っこく、面倒見が良い性格。