Windowsエラー報告とは【用語集詳細】
Windowsエラー報告(Windows Error Reporting、略称:WER)は、Windows OSにおいてエラーが発生した際に問題をMicrosoft社に通知する機能です。
この機能はWerFault.exeという実行ファイルが担っています。
アプリケーションやカーネルにエラーが発生したとき、あるいはアプリケーションが応答しない(フリーズした)場合、OSがエラー報告機能を呼び出し、問題に関するレポートを生成します。エラー報告機能は、Microsoft社のWERサーバーと通信し、解決策や、必要な追加情報を送受信します。この際、WERサーバーにはクラッシュダンプが送信されます。
この機能を担うWerFault.exeが、一部のAPTによって悪用されています。
攻撃者はメールに添付された悪性ファイル(報告事例ではISOファイル)を通じて、WerFault.exeが利用するDLLを、サイドローディングにより汚染させます。
WerFault.exeは、悪性DLLを呼び出すことで悪意ある動作を実行します。
