Windowsメッセージによる権限上昇の危険性本文書は、Cyber Security Management誌に寄稿した記事の原稿を、CSM編集部殿の許可を得た上で掲載したものです。 組織のネットワークセキュリティを確保する上で、コンピュータシステムに対するユーザの権限を限定することは非常に重要である。一般ユーザがコンピュータのシステム管理権限を持つというようなことは、通常は考えられない。しかし、ソフトウェアのセキュリティホールを利用すれば、一般ユーザとしてログオンしながらシステム管理権限を得ることも可能となる場合がある。 今回は、Windowsの基本的な機能であるWindowsメッセージを利用した権限上昇の危険性について、いくつかの例をあげながら解説する。 Windowsアプリケーションと「メッセージ」 WindowsのようなGUI(グラフィカル・ユーザ・インターフェイス)ベースのシステムでは、アプリケーションプログラムは画面上に「ウ
