ユーザーインターフェイス特権の分離 (英語: User Interface Privilege Isolation, UIPI)[1] とはWindows Vista/Windows Server 2008で追加された技術で、シャッターアタック(英語版)(Shatter Attack、壊滅的攻撃)を防ぐものである。これは必須整合性コントロールを使用することで、低い整合性レベル (IL) のプロセスから高い整合性レベル (IL) へのメッセージの送信を妨げる(ごく限られたUIメッセージのセットを除く)[2]。ウィンドウメッセージは処理のアクションをユーザーに伝えるために設計されている。しかし、それらはプロセスのコンテキスト受信の中で任意のコードを実行させるためによく悪用される。この手法によって、悪意のある低ILプロセスは高ILプロセスのコンテキストで非正規の権限昇格で構成された任意のコードを実行させる。コード実行のいくつかのベクタやデータインジェクションへのアクセスを制限することで、UIPIはこれらの種類の攻撃を低減することができる。[3] UIPIおよび必須整合性コントロールは、より一般的にはセキュリティ境界ではなくセキュリティ機能である。UIアクセシビリティ・アプリケーションはマニフェストファイルのuiAccess値をTRUEにセットすることでUIPIを回避することができる。しかし、このフラグがWindows UIPIによって履行されるためには、アプリケーションがProgram FilesまたはWindowsディレクトリーにインストールされていて、かつ有効なコード署名機関によって署名されている必要がある。これらの場所へアプリケーションをインストールするには、高整合性レベルにプロセスを昇格して動作させるために管理者権限を持つユーザーを必要とする。 つまり、マルウェアがUIPIを回避できる場所に侵入するためには以下の条件が必要になる。
UIPIセキュリティの回避
ベリサインや他の信頼済みコード署名機関によって発行された有効なコード署名証明書を使用する。
管理者権限を持つユーザーに対して攻撃を実施する。
ユーザーにUACプロンプトで管理者権限の使用を許可するよう促す。
脚注^ “Windows Vista および Windows Server 2008 アプリケーション互換性解説書:
^ “ ⇒The Windows Vista and Windows Server 2008 Developer Story: Windows Vista Application Development Requirements for User Account Control (UAC)”. マイクロソフト (2007年4月). 2007年12月7日閲覧。
^ Edgar Barbosa. “ ⇒Windows Vista UIPI”. COSEINC. 2011年10月22日閲覧。
表
話
編
歴
Windowsのセキュリティ機能
(括弧内の番号は初版がリリースされた年)
Windows向け
Windows Defender Firewall [2001]
Baseline Security Analyzer [2004]
悪意のあるソフトウェアの削除ツール [2005]
Windows Defenderウィルス対策 [2005]
Windows Defendert SmartScreen(英語版)[2006]
Microsoft Security Essentials [2009]
Microsoft Safety Scanner [2011]
Windows Server向け
Exchange Online Protection(英語版) [2007]
Identity Manager(英語版) [2010]
System Center Data Protection Manager(英語版) [2007]
デジタル著作権管理
Protected Media Path(英語版)
PlayReady
暗号化
BitLocker
DPAPI
Cryptographic API
Host Guardian Service
関連項目
セキュリティとメンテナンス
セキュリティアカウントマネージャー(SAM)(英語版)
Kernel Patch Protection(KPP)
データ実行防止(DEP)
必須整合性コントロール(MIC)
ユーザーインターフェイス特権の分離(UIPI)
ユーザーアカウント制御(UAC)
MS Antivirus(英語版)
開発終了
MSAV [1993]
Internet Security and Acceleration Server [1997]
Threat Management Gateway [1997]
OneCare Safety Scanner [2006]
RootkitRevealer [2006]
Windows Live OneCare [2006]
Unified Access Gateway [2007]
Enhanced Mitigation Experience Toolkit[2009]