ユーザーインターフェイス特権の分離

ユーザーインターフェイス特権の分離 (英語: User Interface Privilege Isolation, UIPI)^[1] とは、Windows Server 2008/Vista以降に、シャッターアタック（英語版）（Shatter Attack、壊滅的攻撃）を防ぐために導入されたセキュリティ機能である。Windows NT 4.0以降、Object Managerを介して生成されるオブジェクトにはセキュリティ記述子が与えられ、そうしたオブジェクトへのアクセス制御は可能であったが、ウィンドウオブジェクトにはセキュリティ記述子は与えられず、ウィンドウ自体へのセキュリティ制御はできなかった。

UIPIと必須整合性制御により、同じ対話型デスクトップ内において、低い整合性で実行されているプロセスは、より高い整合性で実行されているプロセスに対して、DLLインジェクションやウィンドウメッセージAPI（SendMessage/PostMessage等）など、任意のコードを他プロセスに実行させることのできる操作を実行できない。

Windowsでは、任意のウィンドウオブジェクトを取得してそのオブジェクトに対してデータを送信する（WM_SETTEXT）ことができるが、言い換えれば、悪意のあるデータを送りつけることが可能である。次の例において、もしメモ帳のプロセスが高い整合性レベルで実行されている場合、UIPIはこうした書き込みをブロックする^[2]。

// ウインドウクラスを元に、メモ帳のウインドウを検索
HWND hwndNotepad = FindWindow(L"notepad", NULL);

// メモ帳のウインドウからエディトコントロールを取得
HWND hWndEdit;
EnumChildWindows(hWndEdit, EnumChildProc, (LPARAM)&hWndEdit);

// エディトコントロールに任意のテキストを設定
BOOL bResult = SendMessage(hWndEdit, WM_SETTEXT, 0, (LPARAM)L"text");

ただし、WM_NULL、WM_MOVE、WM_SIZE、WM_GETTEXT、WM_GETTEXTLENGTH、WM_GETHOTKEY、WM_GETICON、WM_RENDERFORMAT、WM_DRAWCLIPBOARD、WM_CHANGECBCHAIN、WM_THEMECHANGEDはUIPIのブロックする対象ではない^[2]。特に、WM_GETTEXTがブロックされないということは、高ILで実行されているプロセスのウィンドウオブジェクトのデータを読み取ることはできるということである^[2]。

WCHAR wszBuffer[1024];
bResult = SendMessage(hWndEdit, WM_GETTEXT, sizeof(wszBuffer) / sizeof(WCHAR), (LPARAM)wszBuffer);

シャッター攻撃において、バッファーフローを引き起こせるメッセージはWM_COPYDATAとWM_DROPFILESなどがある。例えば、送信側はWM_COPYDATAの自身のサイズ（cbData）を自由に設定できるため、もし受信側が受け取るサイズを静的に定義しているとオーバーフローが起こる可能性がある。当然、UIPIはこれを防ぐため導入されたため、このようなメッセージを低ILプロセスから高ILプロセスに送ることはできない^[2]。

WCHAR          wszData[] = L"message";
COPYDATASTRUCT data = { 0 };

data.cbData = sizeof(wszData); // 0xFFFFFFFFでもよい。
data.lpData = wszData;

SendMessage(hWndTarget, WM_COPYDATA, (WPARAM)hWnd, (LPARAM)&data);

整合性レベル「中（Medium）」以上のプロセスは、ChangeWindowMessageFilterExを使用して、特定の種類のメッセージを許可することができる^[2]。

例えば、osk.exeは画面にキーボードUIを表示し、 ユーザーがキーをクリックすると、その入力を背後のウインドウに送信する。 もし、背後のウインドウが昇格したプロセスによって作成されていても、UIPIによってブロックされるべきではない^[2]。

こうしたUIアクセシビリティソフトウェアのような、他のソフトウェアのUIにアクセスするソフトウェアはUIPIが障壁となる。そのため、Windowsは以下の条件を満たしている場合に限り、UIPIの無効化を提供する^[2]。

• デジタル署名されている。
• %SystemRoot%もしくは%ProgramFiles%にインストールされている。
• アプリケーションマニフェストでuiAccess値がtrueである。

• <requestedExecutionLevel level="..." uiAccess="true" />
  

表 話 編 歴 Windows コンポーネント
管理ツール	アプリインストーラ コマンドプロンプト コントロールパネル アプレット デバイスマネージャ ディスク クリーンアップ デフラグ Driver Verifier DxDiag イベントビューア IExpress 管理コンソール Netsh パフォーマンスモニタ リソースモニタ 設定 Sysprep システム構成 システム ファイル チェッカー システム情報 システムポリシーエディター システムの復元 タスクマネージャ Windows エラー報告 Windows Ink Windowsインストーラ PowerShell Windows Update Windows Insider WinRE WMI スキャンディスク CHKDSK 問題の報告と解決
アプリ	3Dビューアー アラーム & クロック 電卓 カメラ 外字エディタ Clipchamp Cortana Edge FAX とスキャン フィードバック Hub サポートに問い合わせる 拡大鏡 メール/カレンダー 地図 メッセージング 映画&テレビ モビリティセンター ナレーター メモ帳 OneDrive OneNote ペイント ペイント3D Pay アドレス帳 People フォト フォト ビューアー クイック アシスト スマホ同期 Snipping Tool 切り取り & スケッチ 音声認識 Skype Sticky Notes Microsoft Store メディア プレーヤー Windows Media Player Legacy ボイスレコーダ ワードパッド WinSAT 文字コード表 リモート アシスタンス Windows DVD プレイヤー
シェル	Aero ClearType エクスプローラ Windows サーチ スタートメニュー タスクバー 特殊フォルダ 関連付け シェル名前空間（英語版）
サービス	サービス コントロール マネージャー CLFS BITS Wireless Zero Configuration シャドウ コピー 自動再生 タスク スケジューラ マルチメディア クラス スケジューラ
ファイルシステム	CDFS DFS exFAT FAT12 FAT16 FAT32 IFS NTFS ジャンクション マウント ポイント リパース ポイント シンボリック リンク TxF EFS ReFS UDF
サーバ	Active Directory DFS レプリケーション DNS IIS MSDTC NAP AD RMS SharePoint Windows Media Services WSUS 移動ユーザー プロファイル グループ ポリシー ドメイン リモート デスクトップ サービス (Remote Desktop Protocol)
アーキテクチャ	NT系のアーキテクチャ スタートアップ プロセス (Vista) CSRSS DLL EXE HAL I/O Ntoskrnl.exe Svchost.exe WinPE NTLDR/ブート マネージャー アイドル プロセス カーネル パッチ保護 レジストリ IRP KTM LSASS SMSS Windows リソース保護 オブジェクト マネージャー Win32コンソール Winlogon セキュリティアカウントマネージャー（SAM）（英語版） 論理ディスク マネージャー
セキュリティ	Defender ファイアウォール Security Essentials 悪意のあるソフトウェアの削除ツール Safety Scanner DEP MIC UAC UIPI KPP セキュリティとメンテナンス BitLocker
互換性	互換モード COMMAND.COM 仮想DOSマシン WOW WOW64 Windows Subsystem for Linux
API	.NET Framework COM OLE OLE オートメーション（英語版） DCOM ActiveX 構造化ストレージ MTS DirectX DWM GDI Protected Media Path（英語版） PlayReady Windows Imaging Component Windows Imaging Format Windows Script Host VBScript JScript
開発終了	ゲーム リバーシ ピンボール インクボール Chess Titans Mahjong Titans Purble Place スパイダ ソリティア ソリティア ハーツ フリーセル マインスイーパ アプリ Windowsアドレス帳 Anytime Upgrade Windows Calendar(Vista) CardSpace DVD メーカー Grooveミュージック Internet Explorer Windows Journal 画像とFAXビューア(XP) Windows Mail(Vista) Media Center Messenger Microsoft ActiveSync Windows Mobile デバイス センター NetMeeting Outlook Express WinHelp Write サウンド レコーダー デスクトップ ガジェット ハイパーターミナル バックアップと復元センター ファイルマネージャー フォト ギャラリー プログラムマネージャ ミーティング スペース ムービー メーカー リソースメーター その他 UNIX サブシステム Interix Video for Windows
カテゴリ