環境寄生型攻撃|サイバーセキュリティ.com

  1. ホーム /
  2. セキュリティ用語集 /
  3. 環境寄生型攻撃
             

環境寄生型攻撃

環境寄生型攻撃(LotL攻撃)は、サイバー攻撃者がシステムに新たなマルウェアをインストールすることなく、既存のシステムやOSに標準搭載されているツールやプロセスを悪用して実行する攻撃手法です。LotL攻撃では、攻撃者が侵入後にWindows PowerShell、WMI(Windows Management Instrumentation)、コマンドプロンプトなどの管理ツールや既存のプロセスを活用し、攻撃を隠密に進行させることが多く、これにより検出を困難にしています。

環境寄生型攻撃は、セキュリティソフトウェアや監視ツールに検知されにくいという特性があるため、APT(Advanced Persistent Threat:高度な持続的脅威)攻撃や内部の長期的なスパイ活動でもよく利用されています。LotL攻撃は「土地に根ざす」攻撃(Living off the Land)と表現されることもあり、特にシステム管理者向けのツールが悪用されることが多いため、防御が難しい側面があります。

LotL攻撃の仕組みと手法

  1. 標準ツールの悪用
    OSに標準搭載されている管理ツール(例:PowerShell、WMI、コマンドプロンプトなど)やユーティリティを利用することで、不正行為を実行します。これらのツールは正規の業務用途で広く使用されるため、実行を止めるとシステム運用に支障をきたします。そのため、攻撃の検出が難しくなります。
  2. スクリプトの利用
    PowerShellやバッチファイル、VBScriptを使って、リモートでコマンド実行やファイル操作を行うなど、攻撃者が外部からシステムを操作するためのスクリプトが実行されます。これにより、新たなマルウェアを導入せずにシステムの操作やデータ収集が可能となります。
  3. ファイルレスマルウェア
    LotL攻撃は、マルウェアをファイルとしてディスクに保存することなく実行されることが多く、ファイルレス攻撃として知られています。マルウェアはメモリ上のみで動作するため、従来のアンチウイルスソフトやシグネチャベースの検知を回避しやすくなります。
  4. RDPやVPNの悪用
    リモートデスクトッププロトコル(RDP)や仮想プライベートネットワーク(VPN)など、リモートアクセス用の機能を利用して、外部からシステムにアクセスします。特にリモートワーク環境では正規のアクセス手段が悪用されるリスクが高まります。
  5. サードパーティツールの利用
    正規のサードパーティツール(例:PsExec、ProcDumpなどのSysinternalsツール)を利用して攻撃を実行するケースもあります。これにより、外部の監視者にとっては通常の管理者操作と見なされるため、攻撃が発見されにくくなります。

LotL攻撃の代表的な手法例

  1. PowerShellを利用した攻撃
    PowerShellは、Windowsに標準搭載されている強力な管理ツールで、攻撃者はスクリプトやコマンドを実行してファイル操作、レジストリの変更、ネットワーク通信などを行うことができます。PowerShellのコマンドは、従来のマルウェアと異なり検出されにくく、攻撃の隠蔽に利用されます。
  2. WMIの悪用
    WMIは、Windowsでシステム情報の取得やリモート管理を行うための機能で、LotL攻撃ではWMIを利用してリモートからの操作やプロセスの実行が行われます。これにより、感染拡大や不正な設定変更が隠密に実施されます。
  3. マクロ付きドキュメントの利用
    攻撃者はWordやExcelなどのマクロ機能を有効にしたOfficeファイルをメールで送信し、ユーザーがファイルを開くと、マクロが自動的に実行されて攻撃を開始します。マクロを利用することで、標的システム内の管理ツールを起動し、LotL攻撃を仕掛けることができます。
  4. レジストリの操作
    LotL攻撃では、レジストリを変更してシステム設定を操作することがよく行われます。たとえば、レジストリを変更してマルウェアの自動起動を設定したり、検出を回避するための設定を行ったりすることで、攻撃が持続するようになります。
  5. PsExecの利用
    PsExecはリモートからコマンドを実行するためのSysinternalsのツールで、LotL攻撃では、リモートシステム上で直接コマンドやスクリプトを実行するために悪用されます。これにより、攻撃者はネットワーク内の他のシステムへの攻撃を拡大しやすくなります。

LotL攻撃の目的とリスク

  1. 検出回避
    LotL攻撃は、標準的な管理ツールやファイルレス攻撃を用いるため、従来のアンチウイルスソフトやファイアウォールによる検出を回避しやすくなります。これにより、長期間にわたって侵入が発覚しないまま、情報窃取やバックドアの設置が行われるリスクが増します。
  2. 標的型攻撃の実行
    特定の企業や機密データを狙った標的型攻撃で、侵入後の痕跡を残さないようにするために、LotL攻撃が用いられます。システム管理者やセキュリティ担当者が通常業務で使用するツールを悪用することで、不審な動作を装うことができます。
  3. データの窃取や破壊
    LotL攻撃により、データの盗難や機密情報の流出が行われるリスクがあります。攻撃者は、システムに存在するデータを隠密に収集したり、重要なファイルを削除したりして、被害者に直接的な損害を与える可能性があります。
  4. ランサムウェアの配布
    攻撃者はLotL攻撃を利用してランサムウェアをシステムに拡散することもあります。たとえば、標的システム内で認証情報を取得し、別のシステムに侵入してランサムウェアを展開することで、ネットワーク全体に感染を拡大させる可能性があります。

LotL攻撃への対策

  1. ツールの使用制限
    管理ツール(例:PowerShellやWMI)の使用を、認可された管理者のみが実行できるように制限します。未承認のユーザーやプロセスによる利用を制限することで、LotL攻撃のリスクを減少させます。
  2. ログと監視の強化
    PowerShellやWMI、PsExecなどの管理ツールや、ユーザーの操作ログを定期的に監視・分析し、異常なアクティビティが検出された場合に即座に対応できるようにします。リアルタイムでのログ監視を行うことで、攻撃の兆候を早期に発見できます。
  3. 振る舞い検知ツールの導入
    ファイルレス攻撃やLotL攻撃に対応するため、異常なプロセスやアクセスパターンを検出する振る舞い検知ツールを導入します。振る舞い検知は、通常のシグネチャベースのアンチウイルスと異なり、攻撃の挙動に基づいた検知が可能です。
  4. セキュリティ教育の徹底
    LotL攻撃では、特にマクロ付きのドキュメントなどが入り口として利用されるため、従業員や関係者に対して不審なメールやファイルに注意するよう教育を行います。
  5. 最小権限の原則の適用
    システムのユーザー権限を最低限に設定し、管理者権限の持つアカウントを最小限にすることで、不正にツールが利用されるリスクを抑えます。権限が限られていれば、侵入後の被害拡大が抑制されます。

まとめ

LotL攻撃は、既存のシステムや管理ツールを悪用することで、検出が困難な高度なサイバー攻撃です。特に正規の管理ツールやファイルレス攻撃を用いるため、従来のセキュリティ対策をすり抜けやすく、企業の機密情報やシステムの安全性に対する大きな脅威となります。

LotL攻撃を防ぐためには、使用するツールのアクセス制限やリアルタイム監視、異常検知機能の導入、従業員へのセキュリティ教育が重要です。また、最小権限の原則を適用することで、LotL攻撃による被害の拡大を抑えることができます。

関連コラム(あわせて、以下の記事もよく読まれています)

製品・サービス(当該コラムの内容に関連する製品・サービスはこちら)


SNSでもご購読できます。