Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
日本語
Entry № 054

AppInit_DLLs

AppInit_DLLs とは何ですか?

AppInit_DLLsuser32.dll をリンクするすべてのユーザー モード プロセスに指定 DLL を読み込ませるレジストリ値を悪用する、レガシーな Windows 持続化手法。

AppInit_DLLs の悪用(MITRE ATT&CK T1546.010)は、HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs(および WOW6432Node 側)を対象とします。LoadAppInit_DLLs が 1 のとき、user32.dll のローダーは AppInit_DLLs に列挙された DLL を user32.dll をリンクするすべてのプロセス(ほぼすべての対話型アプリ)にマップします。1 回のレジストリ書き込みで攻撃者は広範な実行と持続化を獲得します。Windows 8 以降では Secure Boot により無効化され、DLL が署名済みで要件が緩和されている場合のみ動作しますが、レガシーや設定不備のホストでは依然として観測されます。対策は Secure Boot 維持、署名済み DLL の要求、Autoruns でのベースライン化、Sysmon レジストリ イベントでの変更監視です。

  1. 01

    Windows 7 サーバーで AppInit_DLLs に悪意ある DLL パスを追加し、全プロセス横断でキー入力を記録する。

  2. 02

    Secure Boot を無効化した環境で AppInit_DLLs を併用しユーザー モード ルートキットを展開する。

よくある質問

AppInit_DLLs とは何ですか?

user32.dll をリンクするすべてのユーザー モード プロセスに指定 DLL を読み込ませるレジストリ値を悪用する、レガシーな Windows 持続化手法。 サイバーセキュリティの 攻撃と脅威 カテゴリに属します。

AppInit_DLLs とはどういう意味ですか?

user32.dll をリンクするすべてのユーザー モード プロセスに指定 DLL を読み込ませるレジストリ値を悪用する、レガシーな Windows 持続化手法。

AppInit_DLLs はどのように機能しますか?

AppInit_DLLs の悪用(MITRE ATT&CK T1546.010)は、HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs(および WOW6432Node 側)を対象とします。LoadAppInit_DLLs が 1 のとき、user32.dll のローダーは AppInit_DLLs に列挙された DLL を user32.dll をリンクするすべてのプロセス(ほぼすべての対話型アプリ)にマップします。1 回のレジストリ書き込みで攻撃者は広範な実行と持続化を獲得します。Windows 8 以降では Secure Boot により無効化され、DLL が署名済みで要件が緩和されている場合のみ動作しますが、レガシーや設定不備のホストでは依然として観測されます。対策は Secure Boot 維持、署名済み DLL の要求、Autoruns でのベースライン化、Sysmon レジストリ イベントでの変更監視です。

AppInit_DLLs からどのように防御しますか?

AppInit_DLLs に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。

AppInit_DLLs の別名は何ですか?

一般的な別名: AppInit DLL インジェクション, user32 AppInit 持続化。

関連用語