ja %E3%83%A6%E3%83%BC%E3%82%B6%E3%83%BC%E3%82%A4%E3%83%B3%E3%82%BF%E3%83%BC%E3%83%95%E3%82%A7%E3%82%A4%E3%82%B9%E7%89%B9%E6%A8%A9%E3%81%AE%E5%88%86%E9%9B%A2

Windows > Windowsのセキュリティ機能 > ユーザーインターフェイス特権の分離

ユーザーインターフェイス特権の分離 (英語: User Interface Privilege Isolation, UIPI)^[1] とはWindows Vista/Windows Server 2008で追加された技術で、シャッターアタック（英語版）（Shatter Attack、壊滅的攻撃）を防ぐものである。これは必須整合性コントロールを使用することで、低い整合性レベル (IL) のプロセスから高い整合性レベル (IL) へのメッセージの送信を妨げる（ごく限られたUIメッセージのセットを除く）^[2]。ウィンドウメッセージは処理のアクションをユーザーに伝えるために設計されている。しかし、それらはプロセスのコンテキスト受信の中で任意のコードを実行させるためによく悪用される。この手法によって、悪意のある低ILプロセスは高ILプロセスのコンテキストで非正規の権限昇格で構成された任意のコードを実行させる。コード実行のいくつかのベクタやデータインジェクションへのアクセスを制限することで、UIPIはこれらの種類の攻撃を低減することができる。^[3]

UIPIセキュリティの回避

UIPIおよび必須整合性コントロールは、より一般的にはセキュリティ境界ではなくセキュリティ機能である。UIアクセシビリティ・アプリケーションはマニフェストファイルのuiAccess値をTRUEにセットすることでUIPIを回避することができる。しかし、このフラグがWindows UIPIによって履行されるためには、アプリケーションがProgram FilesまたはWindowsディレクトリーにインストールされていて、かつ有効なコード署名機関によって署名されている必要がある。これらの場所へアプリケーションをインストールするには、高整合性レベルにプロセスを昇格して動作させるために管理者権限を持つユーザーを必要とする。

つまり、マルウェアがUIPIを回避できる場所に侵入するためには以下の条件が必要になる。

ベリサインや他の信頼済みコード署名機関によって発行された有効なコード署名証明書を使用する。
管理者権限を持つユーザーに対して攻撃を実施する。
ユーザーにUACプロンプトで管理者権限の使用を許可するよう促す。

脚注

^ “Windows Vista および Windows Server 2008 アプリケーション互換性解説書:”. マイクロソフト. 2016年7月3日閲覧。
^ “The Windows Vista and Windows Server 2008 Developer Story: Windows Vista Application Development Requirements for User Account Control (UAC)”. マイクロソフト (April 2007). 2007年12月7日閲覧。
^ Edgar Barbosa. “Windows Vista UIPI”. COSEINC. 2011年10月22日閲覧。

[1] “Windows Vista および Windows Server 2008 アプリケーション互換性解説書:”. マイクロソフト. 2016年7月3日閲覧。

[msdn-2] “The Windows Vista and Windows Server 2008 Developer Story: Windows Vista Application Development Requirements for User Account Control (UAC)”. マイクロソフト (April 2007). 2007年12月7日閲覧。

[coseinc-3] Edgar Barbosa. “Windows Vista UIPI”. COSEINC. 2011年10月22日閲覧。

[1]

[2]

[3]