正規ツールを悪用する「Living off the Land」攻撃、検知困難なステルス侵入が拡大

導入

サイバー攻撃者が、マルウェアを新たに持ち込むのではなく、Windowsの標準機能や管理ツールを悪用して攻撃を行う「Living off the Land（LotL：環境寄生型）」攻撃が急増しています。PowerShellやWMI（Windows Management Instrumentation）など、システム管理者が日常的に使用する正規ツールを「武器」として利用するため、従来のウイルス対策ソフトでは「正常な業務活動」と誤認されやすく、検知が極めて困難な脅威となっています。

詳細な説明

LotL攻撃では、攻撃者は侵入後、PowerShellを使って外部からスクリプトをメモリ上で直接実行したり、WMIを使ってネットワーク内の他の端末へ横展開したりします。ファイルとして保存されない「ファイルレスマルウェア」の手法と組み合わされることが多く、ディスク上に痕跡を残しません。最近では、リモートデスクトップ（RDP）やリモート管理ツールも悪用されており、攻撃者は「正当な管理者」になりすまして堂々とデータを探索・窃取します。特に高度な攻撃グループが、潜伏期間を延ばすためにこの手法を好んで使用しています。

影響と対策

正規ツールによる活動はログに埋もれやすく、発見が遅れることで被害が深刻化します。対策として、従来のシグネチャベースの検知ではなく、振る舞い検知が可能なEDRの導入が必須です。「PowerShellが通常アクセスしない外部サーバーと通信した」「深夜に管理ツールが大量の端末へアクセスした」といった異常な挙動を監視します。また、PowerShellの実行ポリシーを制限し、一般ユーザーによるスクリプト実行を禁止するほか、重要サーバーへのRDP接続を特定のIPアドレスのみに制限するなどの攻撃面の縮小も有効です。

まとめ

「怪しいファイルを開かない」だけでは防げない時代です。攻撃者は既にシステム内部にある道具を使っています。正規ツールの使用状況を可視化し、平常時とは異なる動きを即座に捉える「振る舞い監視」へのシフトが急務です。

会社概要

社名：株式会社ピーエスアイ（PSI）
所在地：〒160-0022 東京都新宿区新宿5丁目5-3 建成新宿ビル4階
設立：1994年
TEL：03-3357-9980
FAX：03-5360-4488
URL：https://www.psi.co.jp
事業内容：サイバーセキュリティ製品の販売および導入支援、運用サポート、ITコンサルティング

報道関係者様からのお問合せ先

株式会社ピーエスアイ
広報担当：内藤
電話番号：（03）3357-9980
Eメールアドレス：psi-press@psi.co.jp