Alternate Data Stream(ADS) : Windows ファイル システムの脆弱性

Alternate Data Streams (ADS) は、NTFS ファイル システムの機能で、ファイルの元の内容を変更せずに追加のデータを格納することを許可します。この追加のデータは、リソース ストリームに含まれるメタデータなど、代替ストリームに格納されます。一般的な例として、特定のファイル タイプに対するサムネイル プレビューが表示されることがあります。攻撃者は、ADS を悪用し、マルウェアをファイルの代替ストリームに隠します。このテクニックで、従来のアンチウイルス ソフトウェアや静的スキャン ツールを回避し、標準のファイル ビューアーから隠れることができます。このマルウェアは、テキスト ドキュメントのような見かけ上無害なファイルに隠れることがあります。メイン ファイルが空でも、隠れた実行可能ファイルがその ADS 内に存在します。この隠れたマルウェアにアクセスし、実行するには、UAC の脆弱性を悪用するなどの方法で昇格された特権が必要です。攻撃者は、Windows の更新チェックの際にこの悪意のあるコードを実行することができます。このように、ADS とこの種の脅威に対するセキュリティ リスクが高く、進んだセキュリティ対策が必要です。ADS の理解は、この種の脅威を特定し、緩和するために不可欠です。