Last Updated on 2025-04-17 14:47 by admin
サイバーセキュリティ企業Cymulateの研究者Ruben Enkaoua氏が、Windowsタスクスケジューリングサービスの中核コンポーネント「schtasks.exe」に4つの異なる脆弱性を発見した。この発見は2025年4月16日にThe Hacker Newsで報じられた。
これらの脆弱性は、ローカル攻撃者によって権限昇格を達成し、悪意のある活動の証拠を隠すためにログを消去するために悪用される可能性がある。具体的には以下の4つの脆弱性が確認されている
UACバイパス:バッチログオン認証方式を使用してスケジュールタスクを作成することで、ユーザーアカウント制御(UAC)プロンプトをバイパスし、ユーザーの承認なしに高権限(SYSTEM)コマンドを実行できる。
メタデータ改ざん:XMLファイルを使用したタスク登録時に、タスクのメタデータ(作成者情報など)を任意に改ざんできる。
タスクイベントログのオーバーフロー:XMLファイル内で文字「A」が3,500回繰り返されるような名前で作者を持つタスクを登録することで、タスクログの説明を上書きできる。
セキュリティログの上書き:上記の手法を拡張して「C:\Windows\System32\winevt\logs\Security.evtx」データベース全体を上書きすることが可能。
これらの脆弱性を悪用するには、攻撃者が他の手段でパスワードを取得する必要がある。例えば、SMBサーバーに対して認証した後にNTLMv2ハッシュを解読したり、CVE-2023-21726などの脆弱性を悪用したりする方法がある。
この問題の結果として、低権限ユーザーはschtasks.exeバイナリを利用し、既知のパスワードを持つ管理者、バックアップオペレーター、パフォーマンスログユーザーなどのグループのメンバーになりすまして、最大許可権限を取得することができる。
Microsoftのセキュリティ対応チーム(MSRC)は、これらの報告をいずれも脆弱性として認めていないとCymulateは報告している。
from:New Windows Task Scheduler Bugs Let Attackers Bypass UAC and Tamper with Logs
【編集部解説】
Windowsタスクスケジューラの脆弱性は、企業のセキュリティ担当者にとって見過ごせない重大な問題です。今回Cymulateの研究者が発見した4つの脆弱性は、単なるバグではなく、システム全体のセキュリティモデルに影響を与える構造的な問題と言えるでしょう。
特に注目すべきは、これらの脆弱性が「権限昇格」と「ログ消去」という攻撃者にとって非常に価値のある二つの能力を提供している点です。サイバー攻撃の流れを考えると、初期侵入後に攻撃者が最も必要とするのがこの二つの能力なのです。
UACバイパスの脆弱性は、Windowsのセキュリティモデルの根幹に関わる問題です。Microsoftは長年にわたりUACを改良してきましたが、今回の発見はその防御メカニズムに新たな抜け穴があることを示しています。特に「バッチログオン」という認証方式を使うことで、本来なら表示されるべき警告ダイアログを完全に回避できる点は深刻です。
メタデータ改ざんとログ操作の脆弱性も見逃せません。セキュリティの世界では「検知と対応」が重要視されていますが、攻撃の痕跡を消去できる能力は、この「検知」のプロセスを根本から無効化してしまいます。特に3,500文字もの「A」を繰り返すことでログを上書きできるという手法は、シンプルながらも効果的な攻撃手法と言えるでしょう。
これらの脆弱性が特に危険なのは、Windows環境における標準機能を悪用している点です。タスクスケジューラはほぼすべてのWindows環境で使用されており、多くの組織でシステム管理やバッチ処理に不可欠なツールとなっています。そのため、この脆弱性の影響範囲は非常に広いと考えられます。
また、これらの脆弱性を悪用するには攻撃者が何らかの方法でパスワードを入手している必要があるという前提条件はありますが、フィッシング攻撃やパスワードスプレー攻撃などの手法と組み合わせることで、現実的な脅威となり得ます。
興味深いのは、Microsoftがこれらの問題を脆弱性として認めていない点です。Cymulateの報告によれば、これらの問題はMicrosoftのセキュリティ対応チーム(MSRC)に報告されましたが、いずれも脆弱性としては認められなかったとのことです。これは、Microsoftがこれらの問題を「設計上の仕様」と捉えている可能性を示唆しています。
企業のセキュリティ担当者は、この状況を踏まえて独自の対策を講じる必要があるでしょう。具体的には、管理者アカウントの厳格な管理、多要素認証の導入、特権アクセス管理(PAM)ソリューションの活用などが考えられます。
また、セキュリティログの監視強化も重要です。今回の脆弱性ではログの改ざんが可能ですが、ログデータを別のセキュアなシステムにリアルタイムで転送する仕組みを導入することで、この問題を緩和できます。
長期的な視点では、Windowsのセキュリティモデル自体の見直しが必要かもしれません。特に権限昇格の問題は、Windowsの長年の課題であり、マイクロサービスアーキテクチャや最小権限の原則をより厳格に適用したセキュリティモデルへの移行が求められるかもしれません。
最後に、この事例は「防御側の視点」からセキュリティを考えることの重要性を再認識させてくれます。攻撃者は常に新しい方法を模索し、システムの想定外の使い方を探求しています。そのため、セキュリティ対策は「正しい使い方」だけでなく「悪用の可能性」も考慮して設計する必要があるのです。
【用語解説】
ユーザーアカウント制御(UAC):
Windowsのセキュリティ機能で、管理者権限が必要な操作を実行する際に確認ダイアログを表示するもの。
権限昇格(Privilege Escalation):
通常の一般ユーザー権限から管理者権限などの高い権限を不正に取得すること。
バッチログオン(Batch Logon):
スケジュールされたタスクの実行時に使用される認証方式の一つ。ユーザー名とパスワードを直接指定する方式で、対話的な確認なしに実行される。
タスクスケジューラ(Task Scheduler):
Windowsに搭載された、指定した時間や条件でプログラムやスクリプトを自動実行するための機能。家庭用のタイマー付き電化製品のようなもので、「何時になったら自動的に動作する」という設定ができる。
SYSTEM権限:
Windowsにおける最高レベルの権限。コンピュータのほぼすべての操作が可能になる。
NTLMv2ハッシュ:
Windowsネットワーク認証で使用されるパスワードハッシュの形式。パスワードそのものではなく、暗号化された形式でシステムに保存・使用される。
SMBサーバー:
ファイル共有やプリンタ共有などのためのWindowsのネットワークプロトコル。企業内でファイルを共有するための「共有フォルダ」を提供するサーバーである。
防御回避(Defense Evasion):
セキュリティ対策を回避するための技術。泥棒が防犯カメラの死角を利用したり、警報装置を無効化したりするようなものである。
Cymulate:
2016年に設立されたイスラエル発のサイバーセキュリティ企業。企業のセキュリティ対策の有効性を検証するためのプラットフォームを提供している。元イスラエル国防軍(IDF)の情報部隊のメンバーによって創設された。
【参考リンク】
Cymulate公式サイト(外部)
サイバーセキュリティ検証プラットフォームを提供する企業。BAS(侵害・攻撃シミュレーション)ソリューションを専門としている。
Cymulateのブログ記事(外部)
Windowsタスクスケジューラの脆弱性に関する詳細な技術情報と解説を提供している。
【編集部後記】
皆さんの会社や組織では、Windowsのタスクスケジューラをどのように活用されていますか?バックアップの自動実行や定期的なメンテナンス作業など、多くの場面で便利なこの機能が、今回のような脆弱性によってセキュリティリスクとなる可能性もあります。日常的に使用しているツールの「便利さ」と「安全性」のバランスについて、改めて考えてみるきっかけになれば幸いです。皆さんのセキュリティ対策の中で、特に工夫されている点があれば、ぜひSNSでシェアしていただけると嬉しいです。
【関連記事】
サイバーセキュリティニュースをinnovaTopiaでもっと読む
