IBM i Access Client Solutions(ACS)のWINLOGON認証モードに潜む脆弱性が、Windows 11の最新セキュリティ機能「LSA保護」との非互換性により明らかになった。この脆弱性を悪用した攻撃では、資格情報が平文で傍受される可能性がある。

問題は悪意のあるDLLをWindowsログインプロセスに挿入する手法や、レジストリ内での弱い難読化形式のパスワード保存方法にある。2016年にも類似の問題が指摘されていたが、IBMは2024年までWINLOGONをサポートする方針を取っていた。この事態はエンタープライズソフトウェアの脆弱性管理の必要性を改めて浮き彫りにした。

IBM ACSの認証システムが抱える設計上の問題とその背景

IBM i Access Client Solutions(ACS)のWINLOGON認証モードは、利便性を追求する一方で、セキュリティの弱点を抱えてきた。Windows資格情報をそのまま利用する設計により、ユーザーは追加の認証プロンプトを省略できるが、平文の資格情報がログインプロセス中に悪意のある攻撃者に傍受されるリスクが存在する。この問題を加速させたのがWindows 11の「ローカルセキュリティ機関(LSA)保護」である。

LSA保護は「LSASS.exeプロセス」からの資格情報抽出を防ぐ設計であり、最新のセキュリティ基準を反映している。しかし、WINLOGON認証モードはこの機能と互換性がなくなり、非推奨とされた。この非互換性が脆弱性の存在を浮き彫りにし、長年放置されていた問題への注目が高まった。特にIBMが2024年までWINLOGONをサポートし続ける方針を取ったことに対して、業界内外から批判の声が上がっている。

利便性を優先する設計と、セキュリティの進化との間のギャップが、この問題の根本にあるといえる。過去の運用方法に依存する企業が多い中で、迅速な対応が求められるが、古いシステムをアップデートする負担を理由に対応が後手に回るケースも少なくない。

攻撃者が利用する手法と企業が取るべき対策

攻撃者がIBM ACSを悪用する際には、Windowsの「ネットワークプロバイダDLL」をターゲットとする。攻撃者はWindowsレジストリキーを操作し、ログインプロセスに悪意のあるDLLを挿入。このDLLを通じて、ログイン時に平文のパスワードを傍受できる。この手法は比較的単純であるが、被害は甚大である。加えて、IBM ACSの資格情報が弱い難読化形式で保存されていることが、ローカルアクセス権を持つ攻撃者に追加の機会を与えている。

こうした状況を踏まえ、企業が取るべき最優先の対策はWINLOGONモードからの移行である。Kerberos認証の導入や、デフォルトユーザープロファイルを活用することで、より堅牢な認証プロセスを構築できる。さらに、システム管理者はレジストリの変更やDLLロードの監視を強化し、不審な活動を早期に発見する体制を整えるべきだ。

また、企業のITチームには定期的なセキュリティレビューとアップデートの実施が求められる。特に、エンタープライズソフトウェアにおける設計上の欠陥がリスクの原因となる場合、メーカーへのフィードバックと連携が重要である。Silent Signalのようなセキュリティ研究者が発見した脆弱性情報は、迅速な対応を促すための貴重な資料となるだろう。

レガシーソフトウェアの限界と企業が直面する課題

エンタープライズ向けソフトウェアの多くは、時代遅れの設計に基づいて運用されている。この背景には、新しいセキュリティ要件に追随できない古い基盤や、システム移行に伴うコストとリソースの問題がある。IBM ACSにおけるWINLOGON認証モードの事例もその一つであり、長期間にわたり重大な脆弱性が放置されてきた。

特に中小規模の企業にとって、新しい認証方式への移行は簡単ではない。しかし、このまま旧来のシステムを使用し続けることで、攻撃リスクが増大する現実を無視することはできない。企業のセキュリティ戦略には、古い認証方式への依存を減らすための中長期的な計画が必要である。

この問題は、エンタープライズソフトウェアがセキュリティの進化にどのように適応すべきかという議論の焦点となる。最適な解決策は、メーカーと利用者の連携により、脆弱性を迅速に修正し、安全性の高い運用を確立することにある。IBMの対応が、企業のセキュリティ意識の向上につながるか否かが、今後の鍵を握るだろう。

Source:Cyber Security News