Microsoftのレピュテーション保護に弱点、保護を保護する必要あり

WindowsではインターネットからダウンロードしたファイルにMoTWマーク(MoTW: Mark-of-the-Web)を付ける。MoTWマークを持つファイルは潜在的に安全ではないためSmartScreenのスキャン対象となり、一部のファイルタイプはSmart App Controlによりブロックされる。

攻撃者はこれら保護を回避するためLNKファイルを使用する。特別に細工されたLNKファイルを使用するとMoTWマークが削除され、目的のアプリを実行できるようになる。
○対策

Elasticsearchはこれら弱点を修正し、攻撃を回避する方法として次のような対策の実施を提案している。

評判の乗っ取り対策として、悪用可能なアプリ一覧を作成してブロックする
悪用可能なアプリを確実に検出するため、これらアプリ特有のシグネチャを抽出する
エクスプローラーによるLNKファイルの上書きを検出してブロックする

レピュテーション保護は外部からの侵害に強力な保護層となる。しかしながら、回避手法も複数発見されており、レピュテーション保護自体を保護することが求められている。Elasticsearchはこの領域における保護をオペレーティングシステム標準のセキュリティ機能だけに頼るべきではないとして、追加の対策を推奨している。
（後藤大地）