重要インフラを狙う「環境寄生型」攻撃、正規ツール悪用で検知困難

背景

システムに標準搭載されている正規の管理ツールを悪用する「Living off the Land（環境寄生型）」攻撃が、電力、水道、通信などの重要インフラ企業を中心に観測されており、従来のシグネチャベースの検知手法では対応が困難な状況が続いています。この攻撃手法では、外部からマルウェアを持ち込む必要がないため、ファイアウォールやアンチウイルスソフトによる検知を回避しやすく、攻撃者にとって非常に効率的な侵入手段となっています。特に高度な持続的脅威（APT）グループによる国家レベルのスパイ活動や産業制御システムへの攻撃で多用されており、深刻な脅威となっています。

実態

攻撃者はPowerShell、Windows Management Instrumentation（WMI）、Windows Script Host、Certutil、Bitsadminといったオペレーティングシステムに標準搭載されている正規の管理ツールやユーティリティを使用します。これらのツールは本来、システム管理者が日常的な運用管理に使用するものであるため、その実行自体は正常な動作として扱われ、従来のウイルス対策ソフトでは不正挙動として検知することが極めて困難です。さらに、メモリ上でのみ動作するファイルレスマルウェア技術と組み合わせることで、ディスク上に痕跡を残さず、フォレンジック調査を困難にします。攻撃者はこれらの手法を使用して、認証情報の窃取、横展開（ラテラルムーブメント）、データの外部送信などを実行し、数ヶ月から数年にわたって組織内に潜伏するケースも報告されています。

影響と対策

検知の遅延により、機密情報の長期的な漏洩、産業制御システムへの不正アクセス、インフラ設備の操作権限奪取といった深刻なリスクが増大します。社会インフラへの攻撃は、サービス停止による社会的混乱を招く恐れもあります。対策としては、ファイルベースの検知に依存せず、プロセスの親子関係やコマンドラインの引数などから異常を判断する振る舞い検知機能を持つ次世代アンチウイルス（NGAV）やEDRソリューションの導入が推奨されます。また、NDR（Network Detection and Response）ソリューションによるラテラルムーブメントの可視化、PowerShellのログ記録強化とSIEMへの統合、特権アカウントの厳格な管理も有効です。

まとめ

「正規ツールだから安全」「標準機能だから問題ない」という従来の常識は、もはや通用しない時代となりました。正規の機能が悪意ある目的で使用されることを前提とした防御戦略が必要です。PSI社では、異常行動の早期発見を可能にする高度な監視システムの構築、詳細なログ分析体制の整備、インシデント発生時の迅速な対応支援を通じて、お客様の重要システムを守るための包括的なセキュリティ体制構築をサポートいたします。

会社概要

社名：株式会社ピーエスアイ（PSI）
所在地：〒160-0022 東京都新宿区新宿5丁目5-3 建成新宿ビル4階
設立：1994年
TEL：03-3357-9980
FAX：03-5360-4488
URL：https://www.psi.co.jp
事業内容：サイバーセキュリティ製品の販売および導入支援、運用サポート、ITコンサルティング

報道関係者様からのお問合せ先

株式会社ピーエスアイ
広報担当：内藤
電話番号：（03）3357-9980
Eメールアドレス：psi-press@psi.co.jp