はじめに

概要

本記事は、Windows用のソフトウェアのインストーラに潜むセキュリティ問題につき注意喚起するものです。

影響範囲

対象
- OS: Windows Vista以降
  ※検証はWindows 10 で行っております
  ※サーバ系のWindows OSも同様と推測しますが、対象範囲は把握しておりません
- ソフトウェア: 多数あると推測しています
  ※どの程度のソフトが該当するか詳らかには把握しておりません
  ※あくまで、個々のインストーラ作成者の設計上の問題であって、インストーラ作成ツールやフレームワークそのものの問題ではないという認識です
影響およびタイミング
- 当該ソフトや関連ソフト ( ブラウザ、プラグイン等 ) の脆弱性、バグ、あるいはユーザの誤動作による影響 ( ファイル、レジストリ改ざん等 ) が、システム部分にも拡大するおそれがあります
  ※新たに脆弱性ができる訳ではないため、影響自体は小さいという認識です
- ソフトウェアのインストール作業が完了した直後
原因
- インストーラが、本来権限が不要なプロセスも管理者権限で起動するため
対策
- 後述の対策を参照してください

詳細 ( 一般ユーザ向け )

背景

Windows Vista以降は、管理者ユーザであっても不用意にシステムに影響を及ぼさないよう、UAC ( User Access Control ) という機能が導入されています。そのため、“C:\Program Files”といったシステムフォルダは、通常の操作ではファイル生成等が抑止されており、明にプロセスに管理者権限を与える必要があります。

この「管理者権限」は、MIC ( Mandatory Integrity Control ) という機能によって制御されています。これは、プロセスおよびファイル/フォルダ・レジストリ項目に IL ( Integrity Level ) という権限レベルを設け、低い IL での高い IL への操作を抑止するものです。

ILとしては高い順に System, High, Medium, Low の4段階が用意されており、一般のプロセスは Medium、「管理者権限」を持ったプロセスは High で実行されます。

一般に、ソフトウェアのインストーラは、システムフォルダへのファイル配置等を行うために管理者権限を必要とします。しかしながらインストーラ作成者の設計によっては、本来管理者権限を必要としないプロセスも管理者権限 ( High IL ) で実行されるケースがあることを発見しました。

管理者権限の不要なプロセス

典型的には、次の2種類が分かっています。

インストール完了後に特定のURLを開くことで起動するブラウザプロセス、および、ブラウザから起動されるプラグイン ( flash player ) 等
インストール完了後にReadMe表示で起動されるエディタ/ビューアや、あるいはインストールされたソフト本体

こういったプロセスは、インストール完了後もそのまま残るため、ユーザが明示的に終了させなければ、管理者権限で動作し続けることになります。
加えて、通常これらのソフトはユーザ権限 ( Medium IL ) で動作させるものであるため、そもそも管理者権限で動いていることが意識されず、万が一の場合に被害拡大につながるおそれがあります。

対策

インストーラ自体がこういった問題を孕んでいるかどうか、事前に確かめることは困難です。そのため、管理者権限での不用意なプロセス実行を防ぐことを考えます。

予めブラウザを起動した状態でインストールを行う
- 実行中のブラウザが既にあれば、新規プロセスを起動する代わりに、既存ブラウザ上のタブで新しいページが開かれるためです
  ※ただし、ブラウザ本体と競合するソフトの場合はブラウザを終了させざるを得ません。こういった場合の対策は不明です。
インストール完了時に、インストーラ上で「ReadMeを表示する」「(ソフト本体)を起動する」といった項目を無効にする ( チェックしない )
もしインストール完了時に何らかのプロセス ( 画面 ) が起動した場合は、一旦終了させてから、改めて必要に応じて起動させる。

検証を行ったソフトウェア

影響あり ( 管理者権限のプロセスが残る )
- PDF24 Creator 7.4.1 ( ブラウザによるWebサイト表示 )
- Primo PDF 5 ( ブラウザによるWebサイト表示 )
- はがき作家 9 Free ( ソフトウェア本体の起動 )
影響なし ( 残ったプロセスはユーザ権限 )
- Adobe Flash Player 20 NPAPI版 ( ブラウザが起動されるがユーザ権限での実行となる )
- PDF-XChange Viewer 2.5.315.0 ( ソフトウェア本体を起動してもユーザ権限での実行となる )

※ソフトウェアの選定基準は特にありません。( どれが怪しい/怪しくないと目星をつけることもできないため )

※他のソフトウェアで同様の問題を発見した場合の対処 ( どこに報告する、等 ) は特に定めておりませんが、本記事へのコメントの形で情報を頂けると嬉しいです。

詳細 ( 開発者向け )

私自身はWindows用ソフトウェアの開発経験がないため、詳細は把握できておりませんが、調査した範囲の情報と推測を以下に記載します。

インストーラでの権限の制御

インストーラから何らかのプロセスを起動する動作は、「カスタムアクション」と言われているようです。カスタムアクションは、実行タイミングや形態によって幾つか分類があるようですが、それぞれでユーザ権限 ( ユーザコンテキスト ) か、管理者権限 ( システムコンテキスト ) かを選べるようになっているようです。

例えばInstallShieldでは、“～ in system context”というオプションを指定しない場合はユーザ権限でカスタムアクションが実行されるようです。次のヘルプを参照ください。
http://helpnet.installshield.com/isxhelp22/helplibrary/ActionExecutionOptions.htm

また、Windows Installerではカスタムアクションのデフォルトはユーザ権限であり、明示的にmsidbCustomActionTypeNoImpersonateをセットしない限り原則として管理者権限では動作しないようです。詳細は、以下のMSDNのページを参照してください。
https://msdn.microsoft.com/ja-jp/library/aa368073%28v=vs.85%29.aspx

Microsoftのガイドライン

このInstallerでのカスタムアクションに対するMicrosoftのガイドラインがありました。
https://msdn.microsoft.com/ja-jp/library/aa368778%28v=vs.85%29.aspx

該当箇所を抜粋すると次の通りです。

Carefully consider whether to use custom actions that use elevated privileges or impersonation.

ここで、“use elevated privileges”は管理者権限を、“impersonation”はユーザ権限を使うことにそれぞれ対応します。
然るに、インストーラから起動されるプロセス ( ブラウザであったり、ソフト本体であったり ) の権限をどのように設計するかはインストーラ作成者の責任であり、本件に該当するソフトではその設計が不適切だった、と考えています。

ぜひ、Windows用のソフトウェア開発に関わる方には、権限の設計にもご留意願いたいと思います。