正規ツール悪用(Living off the Land)とは?
正規ツール悪用(Living off the Land)とは、WindowsのPowerShellやコマンドプロンプトなど、システムに最初から入っている正規のツールを使ってサイバー攻撃を行う手法です。横断テクニック(広く使われる攻撃手口)の中でも特に検知が困難な脅威で、ウイルス対策ソフトが「正常なプログラム」として認識してしまうため、攻撃を見逃してしまいます。攻撃者は新たなマルウェアを持ち込む必要がなく、既存のツールだけで情報窃取、権限昇格、データ破壊などを実行できます。
正規ツール悪用(Living off the Land)を簡単に言うと?
泥棒が家に侵入する時に、わざわざ特殊な工具を持ち込まず、家にある包丁やドライバー、はしごなどを使って犯行を行うようなものです。警察が現場検証をしても「これは普通の家庭にある道具」なので、犯罪の証拠として見逃されやすくなります。正規ツール悪用も同じで、攻撃者はWindowsに標準搭載されているメモ帳、電卓、システム管理ツールなどを悪用します。セキュリティソフトも「これは正規のMicrosoft製品」と判断して警告を出さないため、堂々と悪事を働けてしまう、とても巧妙な攻撃手法なのです。
正規ツール悪用(Living off the Land)で発生する被害は?
正規ツール悪用により、長期間にわたって検知されずに情報が盗まれ続け、システムが完全に乗っ取られる深刻な被害が発生します。横断テクニック(広く使われる攻撃手口)として、多くの攻撃で併用されるため、ランサムウェア感染、企業スパイ活動、金融情報の窃取など、あらゆるサイバー攻撃の土台として悪用されます。正規ツールを使うため、攻撃の痕跡が残りにくく、被害に気づいた時には手遅れになっているケースが多いです。
正規ツール悪用(Living off the Land)で発生する直接的被害
- 長期間の情報窃取
PowerShellやWMIを使って定期的に機密ファイルを外部送信し続け、数ヶ月から数年にわたって企業秘密や個人情報が流出し続ける
- システムの完全掌握
正規の管理ツールを悪用して管理者権限を奪取し、システム全体を自由に操作され、データの削除や改ざんが行われる
- ランサムウェアの展開
正規のファイル暗号化機能やバックアップツールを悪用して、全社のファイルを暗号化し、身代金を要求される
正規ツール悪用(Living off the Land)で発生する間接的被害
- セキュリティ投資の無効化
高額なセキュリティ製品を導入しても、正規ツールの悪用は検知できず、投資が無駄になり、誤った安心感から更なる被害を招く
- フォレンジック調査の困難化
正規ツールの使用ログは通常の業務でも発生するため、攻撃と正常な操作の区別が困難で、原因究明に莫大な時間とコストがかかる
- 連鎖的な攻撃の起点
一度侵入に成功すると、正規ツールを使って横展開し、関連会社や取引先にも被害が拡大する
正規ツール悪用(Living off the Land)の対策方法
正規ツール悪用への対策は、ツールの使用制限、振る舞い検知、ログの詳細な監視が基本となります。横断テクニック(広く使われる攻撃手口)への対策として、PowerShellの実行ポリシー設定、不要な管理ツールの無効化、EDR(Endpoint Detection and Response)による異常な振る舞いの検知が重要です。また、最小権限の原則を徹底し、一般ユーザーには管理ツールの使用を制限することで、攻撃の実行を困難にできます。
正規ツール悪用(Living off the Land)の対策を簡単に言うと?
台所の包丁の管理に例えると、まず包丁を使える人を限定し(権限管理)、使う時は記録を残し(ログ取得)、普段と違う使い方をしたらすぐ分かるようにする(異常検知)ことです。例えば、経理部の人が突然システム管理ツールを使い始めたら「おかしい」と気づけるようにします。また、本当に必要ない道具は最初から置かない(不要機能の無効化)ことも大切です。正規のツールだからといって野放しにせず、「誰が」「いつ」「何のために」使ったかを常に監視し、普段と違う動きがあればすぐに調査する体制を作ることが、この巧妙な攻撃から組織を守る方法です。
正規ツール悪用(Living off the Land)に関連した攻撃手法
横断テクニック(広く使われる攻撃手口)において、正規ツール悪用(Living off the Land)と密接に関連する3つの攻撃手法を解説します。
- 権限昇格/横展開
正規ツール悪用の典型的な目的の一つです。正規の管理ツールを使って一般ユーザーから管理者権限を奪取し、さらに他のシステムへと攻撃を広げます。Living off the Landの手法により、これらの活動が正常な管理作業に偽装され、検知を回避します。
- 認証情報の窃取
正規ツールであるWindows Credential ManagerやLSASSプロセスを悪用して、保存されたパスワードや認証トークンを盗み出します。Living off the Landと認証情報窃取を組み合わせることで、新たなツールを導入せずに他のアカウントへの侵入が可能になります。
- C2ビーコン隠ぺい
正規の通信プロトコルやクラウドサービスを使って、攻撃者のコマンド&コントロール(C2)サーバーとの通信を隠蔽します。正規ツール悪用により、PowerShellやHTTPSなどの正常な通信に紛れ込ませることで、不正な通信の検知を困難にします。
正規ツール悪用(Living off the Land)のよくある質問
従来のセキュリティソフトはファイルのシグネチャ(署名)で判定するため、Microsoft製などの正規ツールは「安全」と判断されます。最新のEDR製品では振る舞い検知により、ある程度検知可能になってきています。
業務で必要な場合も多いため、完全無効化は現実的ではありません。実行ポリシーの制限、ログ記録の有効化、必要な人だけに使用を限定するなど、段階的な制限が推奨されます。
PowerShellやWMIの実行ログ、普段使わない管理ツールの起動、深夜や休日の不審なコマンド実行、Base64エンコードされた不審なコマンドなどを監視することで兆候を発見できます。
はい、むしろセキュリティ対策が手薄な中小企業は狙われやすいです。また、大企業への攻撃の踏み台として利用される可能性もあるため、規模に関わらず対策が必要です。
はい、Azure PowerShellやAWS CLIなどのクラウド管理ツールも同様に悪用されます。クラウド環境特有の正規ツールに対しても、同様の監視と制限が必要です。
更新履歴
- 初稿公開
