LOTS|サイバーセキュリティ.com

  1. ホーム /
  2. セキュリティ用語集 /
  3. LOTS
             

LOTS

LOTS(Living off Trusted Sites)は、攻撃者が一般的に信頼されているウェブサイトやサービスを利用して、サイバー攻撃を実行する手法を指します。この攻撃手法では、攻撃者が自らのインフラを構築するのではなく、Google DriveやDropbox、Microsoft Office 365などの信頼されたクラウドサービスやウェブサービスを悪用します。これにより、セキュリティソフトやユーザーからの検知を回避し、攻撃の成功率を高めます。

LOTSは、Living off the Land(LotL)攻撃と同様に、既存の信頼されたリソースを利用するため、攻撃の痕跡が分かりにくく、伝統的なセキュリティ対策では防ぐのが難しい特徴を持っています。

LOTSの特徴

1. 信頼されたプラットフォームの悪用

攻撃者は、正規のクラウドストレージサービス、メールサービス、またはウェブホスティングプラットフォームを利用します。これにより、これらのプラットフォームを通常信頼するユーザーやセキュリティシステムを欺きます。

2. 検知の困難さ

セキュリティツールは、信頼されたドメインやサービスをブロックしにくいため、LOTS攻撃は従来のURLフィルタリングやマルウェアスキャンを回避しやすいです。

3. 低コストでの攻撃実行

攻撃者は、自らのインフラを構築せず、既存のサービスを利用するため、インフラ管理のコストを削減できます。

4. 信頼を利用したソーシャルエンジニアリング

信頼されたサイトやサービスを利用することで、ユーザーが疑う可能性が低くなり、攻撃成功率が上昇します。

LOTSの攻撃手法

1. クラウドストレージの利用

  • Dropbox、Google Drive、OneDriveなどにマルウェアをアップロードし、共有リンクを通じて拡散。
  • 被害者がリンクをクリックしてファイルをダウンロードすると感染。

2. 正規メールサービスの悪用

  • Gmail、Outlookなどを利用してフィッシングメールを送信。
  • メール内のリンクが信頼されているドメインを指しているため、セキュリティフィルタをすり抜ける。

3. リダイレクトの利用

  • 攻撃者は、信頼されたサイトをリダイレクトの中継地点として使用。
  • 正規のウェブサイトを経由して悪意あるページに誘導することで、セキュリティソフトの検知を回避。

4. コンテンツ共有プラットフォームの利用

  • Google DocsやMicrosoft Word Onlineに埋め込まれたリンクやスクリプトを活用し、悪意あるページへ誘導。
  • または、正規のドキュメント形式にマルウェアを埋め込んで拡散。

5. APIの悪用

  • REST APIやクラウドサービスのAPIを利用して、悪意あるスクリプトを実行。
  • サービスアカウントを乗っ取って、不正なリクエストを実行。

LOTSの影響

  1. セキュリティ対策の回避 信頼されたサービスを利用することで、セキュリティツールやユーザーの疑念を回避しやすくなります。
  2. データ流出の加速 クラウドストレージやウェブサービスを利用するため、攻撃の範囲が広がり、機密データの流出が加速します。
  3. ブランドイメージの悪化 攻撃に利用された信頼されたサービス(例:Google DriveやDropbox)は、信頼性が損なわれ、ブランドのイメージが悪化する可能性があります。
  4. 被害拡大のリスク LOTSは広範囲に拡散可能な攻撃手法であり、多数の被害者が同時に影響を受ける可能性があります。

LOTSへの防御策

1. セキュリティ教育

  • ユーザーに対して、信頼されたサービスであってもリンクや添付ファイルを慎重に扱うよう教育します。
  • フィッシング攻撃への警戒心を高める。

2. クラウドサービスの監視

  • 組織が使用するクラウドサービスに対する監視を強化。
  • 異常なアクティビティを検知する仕組みを導入。

3. リンクの検証

  • URLを詳細に分析し、リダイレクトやマルウェア配布の兆候を確認します。
  • サンドボックス環境でリンクや添付ファイルをテストする。

4. 多層防御の強化

  • 信頼されたドメインを含むトラフィックも監視するWebフィルタリングツールを導入。
  • EDR(Endpoint Detection and Response)でエンドポイントでの異常動作を検知。

5. クラウドセキュリティポリシーの徹底

  • CASB(Cloud Access Security Broker)を利用して、クラウドサービスの利用を管理。
  • アクセス制御を設定し、許可されたユーザーのみが共有リンクや外部リソースを利用できるようにする。

LOTSの攻撃事例

  1. フィッシングキャンペーン
  • Dropboxを利用した攻撃では、マルウェアが仕込まれた文書が公開され、共有リンクを通じて拡散。
  • Google Docs内に埋め込まれた悪意のあるリンクを利用してフィッシング詐欺を実施。
  1. 正規ウェブサイトのリダイレクト
  • 攻撃者が信頼されるサイトに不正スクリプトを埋め込み、訪問者を悪意あるサイトにリダイレクト。
  • ブランド信頼度の高いページを利用してエンドユーザーを欺いた。

まとめ

LOTS(Living off Trusted Sites)は、信頼されたウェブサービスを悪用することで、従来のセキュリティ対策を回避する高度な攻撃手法です。この攻撃を防ぐためには、ユーザーの意識向上、リンクやクラウドサービスの監視、適切なアクセス制御が必要です。また、信頼されるプラットフォームを利用する企業やサービスプロバイダーも、不正利用を防止するためにセキュリティ体制を強化することが求められます。企業や個人は、この新たな脅威に対する防御策を講じることで、LOTS攻撃による被害を最小限に抑えることが可能です。

関連コラム(あわせて、以下の記事もよく読まれています)

製品・サービス(当該コラムの内容に関連する製品・サービスはこちら)


SNSでもご購読できます。