Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
日本語
Entry № 610

LD_PRELOAD ハイジャック

LD_PRELOAD ハイジャック とは何ですか?

LD_PRELOAD ハイジャックLD_PRELOAD 環境変数または /etc/ld.so.preload を悪用し、動的リンクされたプロセスへ攻撃者コードを注入する Linux 持続化およびライブラリ ハイジャック手法。

LD_PRELOAD ハイジャック(MITRE ATT&CK T1574.006)は、Linux や多くの Unix 系で用いられる GNU 動的リンカを悪用します。攻撃者は単一プロセスやユーザー シェルに対し LD_PRELOAD を設定するか、/etc/ld.so.preload にパスを書き込むことで(システム全体)、ld.so が任意の共有オブジェクトを他のライブラリより先に読み込むよう強制します。悪意ある .so は readdir・open・accept・write などの libc シンボルをフックし、ファイルやプロセスを隠蔽し、資格情報を盗み、ユーザー モード ルートキットを維持できます。本手法は非 setuid バイナリに有効で、HiddenWasp や Symbiote などの Linux マルウェアで広く使われます。対策は AIDE・auditd による /etc/ld.so.preload の監視、root のみ書き込み許可、想定外の LD_PRELOAD の検知、静的リンクされたツールでの libc 検証です。

  1. 01

    /etc/ld.so.preload に /usr/lib/libsel.so を書き込み、全新規プロセスにユーザー モード ルートキットを読み込ませる。

  2. 02

    sshd に LD_PRELOAD を設定して PAM 認証をフックし資格情報を窃取する。

よくある質問

LD_PRELOAD ハイジャック とは何ですか?

LD_PRELOAD 環境変数または /etc/ld.so.preload を悪用し、動的リンクされたプロセスへ攻撃者コードを注入する Linux 持続化およびライブラリ ハイジャック手法。 サイバーセキュリティの 攻撃と脅威 カテゴリに属します。

LD_PRELOAD ハイジャック とはどういう意味ですか?

LD_PRELOAD 環境変数または /etc/ld.so.preload を悪用し、動的リンクされたプロセスへ攻撃者コードを注入する Linux 持続化およびライブラリ ハイジャック手法。

LD_PRELOAD ハイジャック はどのように機能しますか?

LD_PRELOAD ハイジャック(MITRE ATT&CK T1574.006)は、Linux や多くの Unix 系で用いられる GNU 動的リンカを悪用します。攻撃者は単一プロセスやユーザー シェルに対し LD_PRELOAD を設定するか、/etc/ld.so.preload にパスを書き込むことで(システム全体)、ld.so が任意の共有オブジェクトを他のライブラリより先に読み込むよう強制します。悪意ある .so は readdir・open・accept・write などの libc シンボルをフックし、ファイルやプロセスを隠蔽し、資格情報を盗み、ユーザー モード ルートキットを維持できます。本手法は非 setuid バイナリに有効で、HiddenWasp や Symbiote などの Linux マルウェアで広く使われます。対策は AIDE・auditd による /etc/ld.so.preload の監視、root のみ書き込み許可、想定外の LD_PRELOAD の検知、静的リンクされたツールでの libc 検証です。

LD_PRELOAD ハイジャック からどのように防御しますか?

LD_PRELOAD ハイジャック に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。

LD_PRELOAD ハイジャック の別名は何ですか?

一般的な別名: ld.so.preload 悪用, 共有ライブラリ ハイジャック。

関連用語

関連項目