ClickOnce テクノロジーの新たな悪用
本記事では、Microsoft の ClickOnce テクノロジーを悪用した新たな攻撃手法について解説します。この攻撃は、正規のデジタル署名を悪用してマルウェアを配布するもので、従来のセキュリティ対策を回避する高度な手口が使われています。CrowdStrike の分析チームが発見したこの脅威と、その防御策について詳しく説明します。
背景メモ
- **CrowdStrike**は米サイバーセキュリティ企業。2024年7月に原因不明のシステム障害で全世界のWindows端末をブルースクリーンにした一件で広く知られるようになったが、本来はEDR(エンドポイント型脅威検知・対応)のトップベンダーである。
- **ClickOnce**はMicrosoftが.NET Framework向けに提供したアプリ配信技術。本来はWeb経由でアプリを自動更新・実行するための仕組みだが、発行元の署名さえあれば信頼された実行とみなされやすく、攻撃者に悪用されてきた歴史がある。
- 本記事は、**ClickOnceの新たな悪用手法**を報告するシリーズの第1回。従来はマルウェアのペイロード配布に使われていたこの技術が、より高度な**コードサイニング証明書の悪用**や**署名バイパス**と組み合わされ、防御側の検知をすり抜けるようになっている点がポイント。