Windows 11に搭載される「仮想化ベースのセキュリティ(VBS)」と「ハイパーバイザー保護コード整合性(HVCI)」に重大な脆弱性が発見された。この欠陥を悪用すれば、攻撃者は従来のセキュリティ機能を回避し、カーネルモードで任意コードを実行可能になる。
研究者は、VMwareを用いた環境でこれを実証し、特権昇格やセキュリティ機能の無効化を実現する手法を確認した。この問題は、最新OSにおける高度な保護機能でも完全には防げない攻撃技術の進化を浮き彫りにしている。
Microsoftは一部の脆弱性に対応するパッチを提供したが、管理者権限を持つユーザーへのリスクは依然として残る。影響を受けるのはWindows 11 21H2以降のバージョンやWindows Server製品で、データ保護を重視するユーザーにとって警鐘となる事例だ。
Windows 11のセキュリティ機能を突破する手法とは
セキュリティ研究者が指摘した脆弱性は、Windows 11に標準搭載される「仮想化ベースのセキュリティ(VBS)」と「ハイパーバイザー保護コード整合性(HVCI)」を中心に構成されている。この2つの機能は未署名コードの実行や未承認ドライバーの使用を制限する役割を果たすが、特定の攻撃手法を用いることでこれを回避できることが実証された。
任意ポインタ逆参照を利用することで、従来の保護メカニズムをトリガーさせずにカーネルメモリを操作可能となる。特に、トークン特権の昇格やエンドポイント検出と応答(EDR)のカーネルコールバック無効化、保護プロセスレベル(PPL)の操作といった具体的な攻撃が挙げられる。
この攻撃手法は、コード挿入を伴わない「データのみの攻撃」を特徴とし、セキュリティ機能を欺く巧妙さを持つ。研究者たちはVMwareを活用した実証実験を通じ、VBS環境における攻撃の実現性を確認した。この事実は、特権を悪用する攻撃が従来のセキュリティ制御を容易に回避し得る点を強調している。こうした手法の進化は、セキュリティ業界における新たな課題を提示するものである。
Microsoftの対応と残された課題
Microsoftは影響を受ける脆弱性に対して修正パッチを提供している。しかしながら、これらの対策が万能ではない点は注目に値する。同社はWindows 11 24H2においてカーネルアドレス漏洩を修正したものの、管理者権限を持つユーザーが悪用する可能性のあるリスクは残されている。
さらに、影響はWindows 11の最新バージョンに限らず、Windows Server 2016以降のプラットフォームにも及ぶことが確認されている。この範囲の広さは、企業や開発者にとって特に懸念材料となる。MicrosoftはVBSやHVCIの継続的な強化を表明しているが、それだけではセキュリティの全体的な向上には不十分であることが今回の事例で浮き彫りになった。
このような脆弱性の発見は、セキュリティ対策が単一の技術や機能に依存する危険性を示している。近年の攻撃は日々進化を遂げており、包括的かつ多層的な防御戦略が必要不可欠である。企業がオペレーティングシステムのセキュリティ機能に頼るだけでなく、外部の保護ソリューションを組み合わせる重要性が再認識されるべきである。
高度なセキュリティ機能を乗り越える攻撃の進化
今回の脆弱性に関する発見は、攻撃者が防御を回避するための手法が高度化していることを物語る。Windows 11のような最新のOSでも、創造的な攻撃手法によって保護機能が突破される可能性がある。これは、セキュリティ対策の設計思想そのものを問い直す契機となるだろう。
特に、従来の脆弱性攻撃が実行可能コードの挿入を伴うことが多かったのに対し、今回の「データのみの攻撃」はそれを必要としない点が新しい。こうした手法は、未署名コードの実行を防ぐHVCIすら回避できるため、今後の攻撃への対応がより難しくなることを示唆している。
セキュリティ研究者は、近代的なOSが直面する課題を強調しながら、脆弱性の発見と報告がさらなる対策の進展につながると指摘している。このような調査結果は、ユーザーと開発者がシステムのセキュリティ機能に対して過信しないよう警告を与えるものだ。今回の事例は、最先端技術のもとでも常に進化する攻撃に対抗する必要性を強く示している。