DLL ハイジャック.

Windows の DLL 検索順序を悪用し、正規プログラムに本来とは異なる攻撃者制御のライブラリを読み込ませる攻撃。 サイバーセキュリティの 攻撃と脅威 カテゴリに属します。

Windows の DLL 検索順序を悪用し、正規プログラムに本来とは異なる攻撃者制御のライブラリを読み込ませる攻撃。

DLL ハイジャック(MITRE ATT&CK T1574.001)は、Windows が動的リンクライブラリを解決する仕組みを悪用します。アプリケーションが完全パスを指定せず DLL を名前で要求すると、ローダーは予測可能な順序で複数のディレクトリを探索します。攻撃者が優先度の高い場所(アプリケーション フォルダー、書き込み可能な PATH エントリ、side-by-side フォルダーなど)に悪意ある DLL を配置できれば、署名済みで信頼されたプロセスのコンテキストでコードが実行されます。本手法は実行と持続化を同時に達成し、多くのアプリケーション許可リストを回避します。対策は、完全修飾パスの使用、SafeDllSearchMode、WDAC/AppLocker、Sysmon イベント 7 によるイメージロード監視、脆弱なインストーラーのパッチ適用です。

DLL ハイジャック に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。

一般的な別名: DLL 検索順序ハイジャック, DLL プリロード。