Vista 向けマルウェアの『Blue Pill』、Black Hat に再登場

コンピューター セキュリティに関する専門性の高い年次カンファレンス『Black Hat』に、昨年に続きセキュリティ研究者の Joanna Rutkowska 氏が登場して『Windows Vista』を攻撃する新しい方法を詳しく説明し、集まった大勢の参加者の注目を浴びた。

Rutkowska 氏は、Vista がまだ正式にリリースされていなかった昨年の Black Hat の席上で画期的なプレゼンテーションを行ない、『Blue Pill』と名づけた仮想化ルートキットで Vista 搭載マシンを乗っ取れることを実演で証明し、Vista の脆弱性を暴露した。

今年、同氏は新しい Blue Pill、さらに複数の Vista 乗っ取り手法を携えて会場に現れた。

Rutkowska 氏は満場の聴衆に向かい、大胆にも「Vista のカーネル保護と、なぜそれが機能しないかということについて説明する」と宣言した。

続けて、管理者権限を持つユーザーであっても署名のないカーネルモードのコードをシステムにロードすることはできないとした Microsoft の Vista に関するドキュメントを読み上げ、いたずらっぽく微笑んでみせた。

「欠陥を持ち、問題の原因となりうるサードパーティ製のドライバは何千、何万も出回っている」と Rutkowska 氏は語った。

Rutkowska 氏は2つのビデオドライバを例に挙げて説明を続けた。同氏によると、ATI のビデオドライバ『Catalyst』および NVIDIAの『nTune Driver』は、Vista のカーネル保護を回避するための攻撃経路になり得る欠陥を持っているという。

Rutkowska 氏は、前年の Black Hat で初めて発表した仮想化ルートキット、Blue Pill についても触れた。この1年で Blue Pill の「効き目」が多少薄れてきたので、Rutkowska 氏は5月に新しい Blue Pill をゼロから設計し直したとのことだ。

新 Blue Pill は、疑似仮想化レイヤーを利用し、Vista を支配する軽量型のハイパーバイザを提供する。Blue Pill の検出と除去は可能だとするいくつかの研究も出されているが、Rutkowska 氏は非常に専門的な技術的議論を展開してこれに反論した。

Rutkowska 氏は「仮想化を無効にするということは、『ネットワークの攻撃を防ぐためにネットワークカードを無効にしろ』というようなものだ」と述べ、不適な笑みを見せた。

新しくなった Blue Pill は、仮想マルウェアマシンの中でネストすることもできるため、1つないし複数の Blue Pill をマルウェアの中に2重に仕込むことも可能だ。これにより、検出や除去がさらに難しくなったという。