OneDrive を悪用する新手の DLL サイドローディング攻撃：PoC が示す悪意のコード実行とは？

Hackers Abuse OneDrive.exe via DLL Sideloading to Run Malicious Code

2025/11/05 gbhackers — Microsoft の OneDrive アプリケーションを悪用して、検知されることなく悪意のコードを実行する高度な攻撃手法が、セキュリティ研究者たちにより発見された。この攻撃で用いられる DLL サイドローディングと呼ばれる手法は、Windows のライブラリ読み込みの仕組みを悪用して正規のアプリケーションを騙し、攻撃者が制御する DLL をロードさせるものである。膨大な数のマシンに OneDrive が導入されているエンタープライズ環境において、この手口は深刻な脅威となる。

攻撃ベクターの理解

この問題は、アプリケーションが起動するときに、Windows がライブラリ・ファイルを検索する仕組みに起因する。

OneDrive.exe が起動すると、OS は複数の場所から “version.dll” などの必要なファイルを検索する。最初にアプリケーションのディレクトリを確認し、その後にシステム・ディレクトリを検索する。この予測可能な検索順序を悪用する攻撃者は、”OneDrive.exe” と同じフォルダに悪意の “version.dll” を配置する。

それにより、アプリケーション起動時に正当な Microsoft ライブラリではなく、攻撃者の悪意のコードが読み込まれ、信頼されている OneDrive プロセスの環境内で不正に実行されてしまう。それらの悪意のコードは、システムレベルのアプリケーションである OneDrive.exe と同じ ID と権限で実行されるため、きわめて危険な状況にある。

一般的なセキュリティ・ツールは、Microsoft がデジタル署名したプロセスを信頼する傾向があるため、この手法は従来のエンドポイント検知／対応システムを回避するのに極めて効果的である。

その結果として攻撃者のコードは、OneDrive が持つ昇格した権限およびネットワーク・アクセスを継承する。セキュリティ研究者の PoC エクスプロイトが示す挙動は、基本的な DLL サイドローディングを超える高度な手法である。

この悪意のライブラリは、ホスト・アプリケーションとの互換性を維持する手法である DLL プロキシを悪用する。OneDrive が期待する関数を提供できない場合であっても、悪意の DLL は正規の “version.dll” と同一の関数をエクスポートして、実際のシステム・ライブラリへと呼び出しを転送する。

それにより、OneDrive は通常通りの動作を継続するが、攻撃者のコードはバックグラウンドで目立たずに実行される。さらに、この実装では、例外ハンドラ (Vectored Exception Handling) とメモリ・ページ保護を用いる高度な API フックが採用されており、セキュリティ製品に検知されるような明白なコード改変を行うことなく、Windows API レベルで関数呼び出しを傍受する。

たとえば、OneDrive が CreateWindowExW 関数を呼び出すと、それを捕捉するフック機構が実行フローを攻撃者が制御するコードへとリダイレクトする。この手法により、アプリケーションの実行中に攻撃力が継続的に強化され、持続性の維持につながるという。

この PoC エクスプロイトが実証するのは、攻撃者がプロセス生成を通じて任意のコードを実行する状況である。この PoC のペイロードは、DLL インジェクションの２秒後に、昇格した権限でコマンドを起動する。

このデモでは、単純なメモ帳プロセスを利用しているが、実際の攻撃で可能になるものとしては、ランサムウェアの実行／認証情報の窃取／バックドアの展開／Command-and-Control 接続の確立などがある。この２秒間の遅延は隠蔽メカニズムとして機能し、攻撃の開始前に初期の OneDrive プロセスを正当なものに見せかけるために利用される。

その結果として、OneDrive 内でのコード実行権を獲得した攻撃者は、同期ファイルへのアクセスにより機密文書を窃取し、ネットワーク上で永続性を確立し、システムへの横展開も可能にする。したがって、個人用デバイスと企業用デバイス間で、OneDrive を介して企業データを同期するハイブリッド・ワーク環境において、この手法は極めて深刻な懸念を生じさせる。

対策と検出

ユーザー組織として検討すべきは、アプリケーション・ディレクトリ内の予期しない DLL ファイルの監視／アプリケーションがライブラリをロードする場所の制限／信頼されたアプリケーションによる不審なプロセス作成の行動分析などの、複数の検知層を導入することである。

それに加えて、セキュリティ・チームにとって必要なことは、OneDrive のデプロイメント・コンフィグレーションの見直と、重要なアプリケーション・ディレクトリにおいてファイル整合性監視が有効化されていることの確認となる。

Windows の DLL 検索順序を突かれ、OneDrive.exe と同じフォルダに配置される偽 “version.dll” が先に読み込まれるという問題が発生しています。正規プロセスの署名と権限を装うため検知が難しく、DLL プロキシや API フックで挙動も偽装されているようです。提供されている PoC では、偽 DLL の注入後に短い待機時間を挟み、正規の起動に見せかけてコマンドを実行する様子が示されています。広く普及する同期基盤ゆえに拡散しやすい構造に注意が必要だと、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、OneDrive で検索を、ご参照ください。