COM ハイジャック.

Windows のコンポーネント オブジェクト モデルの CLSID 解決を攻撃者コードへ転送し、ホスト プロセスがオブジェクトをインスタンス化するたびに実行させる持続化手法。 サイバーセキュリティの 攻撃と脅威 カテゴリに属します。

Windows のコンポーネント オブジェクト モデルの CLSID 解決を攻撃者コードへ転送し、ホスト プロセスがオブジェクトをインスタンス化するたびに実行させる持続化手法。

COM ハイジャック(MITRE ATT&CK T1546.015)は、Windows のコンポーネント オブジェクト モデル登録機構を悪用します。各 COM オブジェクトは HKLM または HKCU の CLSID で識別されますが、ユーザー単位の HKCU\Software\Classes\CLSID が HKLM より先に検索されるため、一般ユーザーでも高頻度に呼び出される CLSID に対して悪意ある InProcServer32 を登録でき、エクスプローラー、Office、タスクスケジューラなどから DLL やスクリプトレットを読み込ませることができます。トリガーが正規の CoCreateInstance API であるため発覚しにくく、再起動後も持続します。検出には HKCU の新規 CLSID、ユーザー書き込み可能領域の未署名 DLL、explorer.exe の異常子プロセスが有効で、AppLocker/WDAC、Sysmon のレジストリ監視、機密キーへの書き込み制限が防御策となります。

COM ハイジャック に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。

一般的な別名: コンポーネント オブジェクト モデル ハイジャック, CLSID ハイジャック。