Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
日本語
Entry № 515

IFEO インジェクション

IFEO インジェクション とは何ですか?

IFEO インジェクションWindows レジストリの Image File Execution Options キーを悪用し、対象実行ファイルの起動時に攻撃者コードを実行させる持続化および権限昇格手法。

IFEO インジェクション(MITRE ATT&CK T1546.012)は、HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options を悪用します。本来はデバッグ用で、実行ファイル名に Debugger 値を設定すると、Windows はその実行ファイル起動時に元のバイナリを引数としてデバッガを起動します。攻撃者は sethc.exe・utilman.exe・taskmgr.exe など頻用される実行ファイルのデバッガとしてペイロードを登録し持続化したり、GlobalFlag と SilentProcessExit サブキーを併用して対象プロセス終了時にコードを起動させます。管理者権限が必要ですが効果が高く、見落とされがちです。対策は Sysmon イベント 13 による IFEO 書き込み監視、AppLocker による制限、未署名バイナリを指す Debugger 値のアラートです。

  1. 01

    sethc.exe に Debugger を設定し、ロック画面で Shift を 5 回押すと SYSTEM 権限シェルが起動するようにする。

  2. 02

    lsass.exe に SilentProcessExit を設定し、終了時に資格情報をダンプする。

よくある質問

IFEO インジェクション とは何ですか?

Windows レジストリの Image File Execution Options キーを悪用し、対象実行ファイルの起動時に攻撃者コードを実行させる持続化および権限昇格手法。 サイバーセキュリティの 攻撃と脅威 カテゴリに属します。

IFEO インジェクション とはどういう意味ですか?

Windows レジストリの Image File Execution Options キーを悪用し、対象実行ファイルの起動時に攻撃者コードを実行させる持続化および権限昇格手法。

IFEO インジェクション はどのように機能しますか?

IFEO インジェクション(MITRE ATT&CK T1546.012)は、HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options を悪用します。本来はデバッグ用で、実行ファイル名に Debugger 値を設定すると、Windows はその実行ファイル起動時に元のバイナリを引数としてデバッガを起動します。攻撃者は sethc.exe・utilman.exe・taskmgr.exe など頻用される実行ファイルのデバッガとしてペイロードを登録し持続化したり、GlobalFlag と SilentProcessExit サブキーを併用して対象プロセス終了時にコードを起動させます。管理者権限が必要ですが効果が高く、見落とされがちです。対策は Sysmon イベント 13 による IFEO 書き込み監視、AppLocker による制限、未署名バイナリを指す Debugger 値のアラートです。

IFEO インジェクション からどのように防御しますか?

IFEO インジェクション に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。

IFEO インジェクション の別名は何ですか?

一般的な別名: Image File Execution Options の悪用, デバッガ ハイジャック, SilentProcessExit 持続化。

関連用語