オペレーティングシステムの脆弱性を悪用し，システムコール処理中にプロセスの権限を改ざんすることで，攻撃者は本来与えられている権限よりも高い権限でシステムを操作できるようになる．このような権限昇格攻撃に対し，我々は，システムコール処理による権限の変更内容を監視し，攻撃を防止する手法（以降，従来手法）を提案した．従来手法はシステムコール処理前にプロセスの権限をカーネルスタック内に格納して保存することで，権限の変更内容の監視を実現する．しかし，攻撃者がカーネルスタック内の権限の格納位置を特定し，システムコール処理中にプロセスの権限とカーネルスタック内の権限の両方を改ざんした場合，従来手法は回避されてしまう．本稿では，この課題に対処するために，ARM TrustZone を利用し，プロセスの権限を保護する手法を提案する．提案手法は，TrustZone が提供するセキュア領域にプロセスの権限に関する情報を保存することで，非セキュア領域のOS カーネル空間で攻撃コードが実行されたとしても，改ざんを防止できる．本稿では，提案手法の設計と実現方式を述べ，攻撃耐性や性能を評価した結果を報告する．

An attacker can control the system with higher privileges than originally granted by exploiting operating system vulnerabilities and altering process privileges during system call processing. To prevent such attacks, we have proposed a method by monitoring the change of privileges by system call processing. The previous method implements monitoring of the change in the process privileges by storing the privileges in the kernel stack before the system call processing. However, if an attacker identifies the storage location of privileges in the kernel stack and alters both the process privileges and the privileges in the kernel stack during system call processing, the previous method is bypassed. In this paper, in order to deal with this problem, we propose a method to protect the process privileges by using ARM TrustZone. The proposed method can prevent tampering even if an attack code is executed in the OS kernel space of the non-secure region by storing the information related to process privileges in the secure region provided by TrustZone. In this paper, we describe the design and implementation of the proposed method, and report the evaluation results of attack resistance and performance.