Windows 11でもLSASSを狙う「WerFaultSecure悪用」が再燃：Old But Gold手法の要点と防御策

Windowsの認証情報を扱う中枢プロセス「LSASS」は、侵害後の横展開や権限拡大に直結するため、攻撃者が最優先で狙う対象です。2026年1月24日、X上でreverseame氏が共有した記事がきっかけで、Windows Error Reporting（WER）関連の実行ファイル「WerFaultSecure.exe」を悪用してLSASSのメモリ領域に迫る“古くて新しい”手法が改めて注目されています。X (formerly Twitter)+1

• Windows 11でもLSASSを狙う「WerFaultSecure悪用」が再燃：Old But Gold手法の要点と防御策
  • 何が話題なのか：WER（WerFaultSecure）を“踏み台”にする発想
  • ポイントは「古い部品」と「正規署名バイナリの悪用」
  • 攻撃の狙い：結局「認証情報」と「検知回避」
  • ブルーチーム視点で見る「怪しい兆候」：ここを見落とさない
    • 1) WerFaultSecure.exe の実行元パスが不自然
    • 2) WerFaultSecure.exe のコマンドラインが“診断用途に見えない”
    • 3) ダンプ関連のファイル生成・拡張子偽装の気配
    • 4) LSASSやEDR関連プロセスの不自然な停止・一時停止
  • いますぐ効く防御策：優先度順チェックリスト
  • まとめ：正規機能の“想定外利用”は、運用で潰す

何が話題なのか：WER（WerFaultSecure）を“踏み台”にする発想

話題の中心は、Zero Salariumの解説「Old But Gold, Dumping LSASS With Windows Error Reporting On Modern Windows 11」です。要旨は、Windows 11のような現行環境でも、WERの仕組みと互換性を突くことで、LSASSの保護（PPL: Protected Process Light）を迂回しうるという点にあります。ゼロサラリウム+1

WERはクラッシュ時の診断情報（ダンプ）を収集する正規機能で、特に保護されたプロセスに対応するためのコンポーネントとしてWerFaultSecure.exeが登場します。攻撃側はこの“正規の診断機能”を逆手に取り、LSASSに触れる足場にします。Purple Team+1

ポイントは「古い部品」と「正規署名バイナリの悪用」

今回の議論で繰り返し触れられているのが、古いWindows世代のWerFaultSecure.exe（例：Windows 8.1系）を持ち込んで動かすという発想です。Windowsは互換性が高いため、古いコンポーネントが新しい環境で動いてしまうことがあり、そこが悪用の糸口になります。ゼロサラリウム+1

加えて、WER系バイナリはMicrosoft署名であることが多く、実行自体が“いかにも正規”に見えやすい。監視の目をごまかすというより、**「正規プロセスの想定外の使い方」**が問題になりやすいタイプの攻撃です。Purple Team+1

攻撃の狙い：結局「認証情報」と「検知回避」

LSASSメモリが狙われる理由は明快で、OSやドメイン環境で使える認証情報が集まりやすいからです。Microsoft自身も、LSASSメモリからの認証情報取得が攻撃の主要目的になり得ること、そして対策・検知の重要性を繰り返し発信しています。Microsoft

最近は「LSASSを抜く」だけでなく、派生として**EDR/AVの一時的な無力化（凍結）**に話が広がるケースもあり、WER悪用は“侵害後アクション全体の加速装置”として扱われがちです。Binary Defense+1

ブルーチーム視点で見る「怪しい兆候」：ここを見落とさない

手法の詳細な再現方法ではなく、運用で効く観点に絞ると、重要なのは次の監視ポイントです。

1) WerFaultSecure.exe の実行元パスが不自然

特に有効なのが、WerFaultSecure.exeがSystem32配下“以外”から実行されるパターンの監視です。解説記事でも、防御側の実務ポイントとして「System32外なら悪性の可能性が高い」という趣旨が示されています。ゼロサラリウム+1

2) WerFaultSecure.exe のコマンドラインが“診断用途に見えない”

WERは通常の利用パターンがある程度定まります。Sigmaでも、**WerFaultSecure悪用（PPLプロセスのダンプやセキュリティ製品の凍結）**に着目した検知アイデアが整理されており、コマンドライン特徴を軸に追うアプローチが採られています。detection.fyi

3) ダンプ関連のファイル生成・拡張子偽装の気配

攻撃者はダンプファイルの扱いを工夫し、セキュリティ製品の自動隔離を避けようとします。結果として、“それっぽくない場所”への大きめのファイル出現や、拡張子・ヘッダに不整合が出ることがあります（運用上は「ダンプの置き場所」と「生成元プロセス」の相関を重視）。ゼロサラリウム+1

4) LSASSやEDR関連プロセスの不自然な停止・一時停止

WER絡みの処理が周辺プロセスへ影響するケースも指摘され、ログ上の“止まり方”が平常時と違うことがあります。EDRテレメトリ（プロセス状態の変化、センサ停止、保護サービスの挙動）と突き合わせると発見が早まります。Binary Defense+1

いますぐ効く防御策：優先度順チェックリスト

最後に、現場で“今日から”効く対策を優先度順にまとめます。

1. アプリ制御（WDAC / AppLocker等）で不審なWerFaultSecure.exeの持ち込み実行を抑止
   特に「System32外のWerFaultSecure」を許さない設計は効果が出やすいです。ゼロサラリウム+1

2. プロセス生成ログを強化（例：Sysmon、EDRのプロセス監視）し、WerFaultSecureの実行条件を検知ルール化
   Sigmaの観点（PPL Tampering Via WerFaultSecure）をベースに、自組織の正規利用パターンを学習させた“差分検知”が現実的です。detection.fyi+1

3. LSASS防御の基本を徹底（Credential Guard等、可能な範囲で段階適用）
   “抜かれにくい状態”を作るのが最終的な勝ち筋です。Microsoftの推奨・検知観点も再確認してください。Microsoft

4. 端末のローカル管理権限・デバッグ権限の棚卸し
   侵害後のダンプ系アクションは、過剰権限があるほど成功率が上がります。特権付与を最小化し、横展開前提の侵害を遅らせます。Microsoft

5. インシデント対応手順の整備（隔離→証跡保全→横展開遮断）
   WER悪用は“侵害後フェーズ”で現れやすいので、初動のスピードが被害範囲を決めます。Quorum Cyber

まとめ：正規機能の“想定外利用”は、運用で潰す

今回再注目されたのは、未知のゼロデイというより、互換性と正規コンポーネントの組み合わせで防御の隙を突くタイプの話です。だからこそ、パッチ待ちよりも先に、

• 実行元パス（System32外）

• WerFaultSecureの起動条件

• ダンプ生成の兆候
  を運用監視に組み込み、“正規プロセスの異常な使われ方”を検知・封じることが効果的です。ゼロサラリウム+1