常駐化・足場確保を初心者でも分かりやすく解説

用語

サイバー攻撃の被害は一度の侵入では終わりません。攻撃者がシステム内に「居座り続ける」常駐化・足場確保という手法により、長期間にわたってデータが窃取され、さらなる攻撃の準備が進められています。2024年には、対応したインシデントの86%がビジネス中断を伴い、その多くで攻撃者の長期潜伏が確認されました。特に日本では、Living off the Land戦術と呼ばれる正規ツールを悪用した検出困難な攻撃が増加しており、従来の対策では防ぎきれない状況です。本記事では、常駐化・足場確保の実態、最新の攻撃統計、そして効果的な検出・対策方法を、非IT技術者にも分かりやすく解説します。

常駐化・足場確保を初心者でも分かりやすく解説

常駐化・足場確保とは?

常駐化・足場確保とは、攻撃者がネットワークやシステムに一度侵入した後、長期間にわたってアクセスを維持し続けるためのサイバー攻撃手法です。別の呼び方として「パーシステンス(Persistence)」や「ステージング(Staging)」とも呼ばれます。

このサイバー攻撃の手法は、単なる侵入とは異なり、システムの再起動、パスワードの変更、セキュリティ対策の更新など、通常であればアクセスを遮断する出来事があっても、攻撃者が接続を保ち続けることを目的としています。攻撃者は、Windowsのレジストリ自動実行キー、スケジュールタスク、Windowsサービス、WMIイベントサブスクリプションなど、システムの正規機能を悪用して、自分たちの存在を隠しながら活動を続けます。

常駐化・足場確保は、サイバー攻撃において特に危険な段階です。なぜなら、攻撃者がシステム内に長期間潜伏することで、データの窃取、さらなる攻撃の準備、機密情報の継続的な監視などが可能になるためです。MITRE ATT&CKフレームワークでは、この段階は「TA0003: Persistence」として分類されており、レジストリキー操作(T1547.001)、スケジュールタスク作成(T1053.005)、サービス作成(T1543.003)など、40種類以上の常駐化技術が体系的にまとめられています。この攻撃手法は、様々なサイバー攻撃で広く使われる横断テクニックの一つとして位置づけられており、ランサムウェア攻撃、標的型攻撃(APT)、データ窃取など、多様な攻撃シナリオで活用されています。

常駐化・足場確保を簡単に言うと?

常駐化・足場確保を日常生活の例えで説明すると、「泥棒が家に侵入した後、合鍵を作って外に隠しておく行為」に似ています。

普通の泥棒は窓を壊して家に入り、盗んだらすぐに逃げます。しかし、巧妙な泥棒は、最初の侵入時に裏口の鍵を複製したり、窓のロックを細工したりして、いつでも再び侵入できる「隠し通路」を作ります。さらに、家の中に小さな隠しカメラを設置して、住人の行動を監視し続けることもあります。

住人が玄関の鍵を取り替えても、泥棒は裏口から入れます。警備システムを設置しても、泥棒はすでにシステムの設定を知っていて、警報を無効化できるかもしれません。このように、一度「足場」を確保した攻撃者は、表面的なセキュリティ対策では排除できない状態を作り出します。

さらに悪質なのは、この泥棒が「住人のふり」をすることです。家族の一員になりすまして、誰も不審に思わないよう自然に振る舞います。デジタルの世界では、攻撃者は正規のプログラムやユーザーアカウントを装い、システム管理者にさえ気づかれずに活動を続けます。

常駐化・足場確保の現状

2024年から2025年にかけて、常駐化・足場確保による被害は世界的に深刻化しています。Palo Alto NetworksのUnit 42が発表した2025年グローバルインシデントレスポンスレポートによると、2024年に対応した500件以上の主要サイバー攻撃のうち、86%のインシデントがビジネス中断を伴っており、その背景には攻撃者の長期潜伏が大きく影響しています。

IBM X-Forceの2025年脅威インテリジェンスインデックスによれば、攻撃者は2年連続でよりステルスで持続的な攻撃手法を採用しており、観察された攻撃の約30%が有効なアカウントを使用した常駐化手法によるものでした。これは、攻撃者が一度システムに侵入すると、正規のユーザーとして振る舞い、長期間にわたって検出されずに活動していることを意味します。

特に注目すべきは、Picus SecurityのRed Report 2025で明らかにされた統計です。2024年に観察された悪意ある活動の93%が、MITRE ATT&CKフレームワークのトップ10技術によって実行されており、その中でもT1547(起動時またはログオン時の自動実行)が主要な常駐化手法として31%の普及率を示しています。この技術により、マルウェアはシステムの再起動後も確実に実行され、削除の試みを乗り越えて存続します。

日本国内の状況も深刻です。2025年6月に内閣サイバーセキュリティセンター(NISC)が発表した「サイバーセキュリティ2025」では、「Living Off The Land戦術」(システム内寄生戦術)という、システム内に組み込まれている正規の管理ツールや機能を用いて活動する攻撃手法の増加が指摘されています。この手法により、攻撃者は外部からマルウェアを持ち込むことなく、システム内部の正規ツールだけを使って常駐化を達成し、検知を極めて困難にしています。

警察庁が2025年3月に発表した「令和6年におけるサイバー空間をめぐる脅威の情勢等について」によると、2024年のランサムウェア被害件数は222件と高水準で推移していますが、これらの多くで事前の長期潜伏による足場確保が行われていたことが判明しています。特に中小企業のランサムウェア被害が前年比37%増加しており、セキュリティ体制が手薄な組織での常駐化の深刻さが浮き彫りになっています。

さらに、Recorded FutureのH1 2025マルウェアおよび脆弱性トレンドレポートでは、AsyncRAT、XWorm、Remcosなどのリモートアクセストロイの木馬(RAT)が顕著に増加しており、これらは持続的なアクセスとデータ窃取の両方をサポートする汎用性の高いツールとして、多様な侵入キャンペーンで利用されています。コマンド&コントロール(C&C)通信を行うマルウェア活動が194,000件以上検出されており、攻撃者が確立した足場を通じて継続的に指令を受け取り、活動を続けている実態が明らかになっています。

近年の傾向として特筆すべきは、攻撃の「ステルス性の向上」です。従来のような明らかなマルウェアファイルをシステムに配置する手法から、正規のシステム機能を悪用する「ファイルレスマルウェア」や「メモリ常駐型マルウェア」への移行が進んでおり、従来のアンチウイルスソフトウェアでは検出が困難になっています。

また、2024年には「SneakThief」スタイルの情報窃取マルウェアと呼ばれる新たな波が出現しました。これらはステルス性、自動化、常駐化を組み合わせた多段階の侵入を実行し、高度なプロセスインジェクション、安全なチャネルを通じたデータ流出、起動時の常駐化を実現しており、アラームを発することなく認証情報やデータを窃取できる能力を持っています。

常駐化・足場確保で発生する被害は?

常駐化・足場確保は、攻撃者に長期的なアクセスを提供するため、様々な深刻な被害をもたらします。単なる一時的な侵入とは異なり、継続的な脅威として組織に多大な影響を及ぼします。

常駐化・足場確保で発生する直接的被害

データの継続的な窃取と流出

攻撃者がシステム内に常駐することで、長期間にわたって機密情報や個人情報を少しずつ窃取し続けることが可能になります。一度に大量のデータを持ち出すと検出される可能性がありますが、常駐化された攻撃者は数週間から数か月かけて、少量ずつデータを外部に送信します。この「スローリーク」と呼ばれる手法により、2025年のインシデントレスポンス事例の約5分の1で、データ流出が侵害から1時間以内に発生していることが報告されています。企業の技術情報、顧客データベース、財務情報、研究開発の成果物など、組織の競争力の源泉となる情報が継続的に流出し続けます。

ランサムウェア攻撃の準備期間としての悪用

攻撃者は常駐化を利用して、ランサムウェア攻撃を実行する前に入念な準備を行います。具体的には、ネットワーク内の重要なシステムやバックアップサーバーの場所を特定し、暗号化前にデータをコピーして外部に保存し、復旧を困難にするためにバックアップを削除または破壊します。2024年のランサムウェア事例では、攻撃者が平均して数週間から数か月間システム内に潜伏し、最大のダメージを与えるタイミングを計っていたことが判明しています。日本の警察庁データでも、114件のランサムウェア被害のうち、手口が判明している75件中62件(約83%)が二重脅迫型で、事前の長期間にわたるデータ窃取が行われていました。

攻撃の拡大と横展開のための拠点

最初に侵入したシステムを足場として、攻撃者はネットワーク内の他のシステムへと侵攻範囲を広げていきます。常駐化された一つの端末やサーバーから、管理者権限を持つシステムや重要なデータベースサーバーへと段階的に侵入していく「横展開(Lateral Movement)」が実行されます。Unit 42のレポートによると、攻撃者は複数のサードパーティソフトウェアを通じて組織に侵入し、インフラの複雑さと可視性の欠如により、攻撃の完全な修復が困難になっています。一つの侵害されたエンドポイントから、数十台、時には数百台のシステムに影響が広がることもあります。

常駐化・足場確保で発生する二次的被害

事業継続性への深刻な影響

常駐化された攻撃者による突然の大規模攻撃は、企業の事業運営を長期間停止させる可能性があります。2024年の事例では、攻撃を受けた組織の86%がビジネス中断を経験しており、システムの復旧には数日から数週間を要するケースも多数報告されています。特に製造業では、攻撃者がシステム内に潜伏中に生産ラインの制御システムを調査し、最も影響の大きいタイミングで攻撃を実行することで、生産停止による損失を最大化しています。2024年には製造業へのランサムウェア攻撃が前年比87%増加し、4年連続で最も標的とされる業種となりました。

法的責任と規制上の罰則

常駐化された攻撃者による長期間のデータ流出は、組織に重大な法的責任をもたらします。日本では、個人情報保護法において、個人データの漏洩を発見した場合、個人情報保護委員会への報告および本人への通知が義務付けられています(2022年4月施行の改正個人情報保護法)。報告義務の対象となるのは、1,000人を超える個人データの漏洩等、または要配慮個人情報の漏洩等です。違反した場合、最大1億円以下の罰金が科される可能性があります。

また、企業によっては、サイバーセキュリティ基本法に基づく重要インフラ事業者として、インシデント発生時の報告義務があります。さらに、上場企業の場合、金融商品取引法に基づく適時開示規則により、投資家に重大な影響を与えるサイバーインシデントは速やかに開示する必要があります。

国際的には、EUのGDPR(一般データ保護規則)では、データ侵害を認識してから72時間以内に監督機関に通知する義務があり、違反した場合は全世界売上高の最大4%または2,000万ユーロのいずれか高い方の制裁金が科されます。しかし、常駐化により長期間気づかずにデータが流出していた場合、「適切なセキュリティ対策を講じていなかった」「侵害の発見と報告が遅延した」として、より重い罰則が科される可能性があります。

2024年の日本国内では、公表されただけでも380件を超えるサイバー攻撃被害が発生し、その多くで法的対応や規制当局への報告が必要となりました。特に注目すべきは、2024年8月に株式会社KADOKAWAがサイバー攻撃により36億円の特別損失を計上した事例で、この中には法的対応費用、システム復旧費用、顧客対応費用などが含まれていました。

競争優位性の喪失と信頼の毀損

企業の研究開発情報、製品ロードマップ、顧客リスト、価格戦略などの機密情報が長期間にわたって競合他社や悪意ある第三者に流出することで、市場での競争優位性が失われます。特に、国家が支援する高度持続的脅威(APT)グループによる攻撃では、特定の業界や技術領域を標的とした組織的な情報窃取が行われており、日本でも2025年1月に警察庁とNISCが注意喚起を発出した「MirrorFace」による攻撃キャンペーンでは、安全保障や先端技術に係る情報窃取が2019年12月から継続して行われていたことが明らかになっています。また、顧客データの流出は企業の信頼性を著しく損ない、取引先や消費者からの信用喪失につながります。

サプライチェーン全体への波及

一つの組織が常駐化の被害を受けると、その影響はサプライチェーン全体に波及します。2024年には、他組織で発生したサイバー攻撃による二次被害の公表件数が大幅に増加しました。例えば、株式会社イセトーへのランサムウェア攻撃は、株式会社伊予銀行、株式会社東海信金ビジネスへの二次被害を引き起こし、さらにそれらに事業を委託していた他の信用金庫等にも影響が及び、金融業界全体の被害件数増加につながりました。攻撃者は、セキュリティが比較的脆弱な取引先や委託先のシステムに常駐化した後、そこを足場として本命の標的組織へと侵入する「サプライチェーン攻撃」の手法を多用しており、この連鎖的な被害は今後も拡大すると予測されています。

常駐化・足場確保の対策方法

常駐化・足場確保への対策は、攻撃者がシステム内に長期間潜伏することを防ぐための多層的なセキュリティ対策が必要です。検出、防御、そして万が一侵入された場合の迅速な対応という3つの側面から対策を講じることが重要です。このサイバー攻撃手法に対抗するためには、従来型のアンチウイルスソフトウェアだけでは不十分であり、より高度なセキュリティ対策の導入が求められます。

エンドポイント検出・応答(EDR)とXDRの活用

従来のアンチウイルスソフトウェアでは検出できない高度な常駐化手法に対抗するため、エンドポイント検出・応答(EDR: Endpoint Detection and Response)ソリューションの導入が不可欠です。EDRは、端末上で実行されるすべてのプロセス、ネットワーク接続、ファイル変更、レジストリ変更などを継続的に監視し、異常な挙動をリアルタイムで検出します。特に、正規のシステムツールを悪用する「Living off the Land」攻撃に対しては、通常とは異なるコマンドの実行パターンや、深夜の不審なアクティビティなど、行動分析に基づく検出が効果的です。

さらに進化したセキュリティ対策として、拡張検出・応答(XDR: Extended Detection and Response)の導入も推奨されます。XDRは、エンドポイントだけでなく、ネットワーク、クラウド、メール、サーバーなど、複数のセキュリティレイヤーからのデータを統合的に分析し、より包括的な脅威検出を実現します。常駐化された攻撃者は複数のシステムにまたがって活動するため、XDRによる統合的な可視化は、攻撃の全体像を把握する上で重要です。

EDRおよびXDRは単なる検出だけでなく、脅威が検出された際に自動的に隔離や削除を実行する応答機能も提供します。例えば、不審なスケジュールタスクが作成された瞬間に、そのタスクを自動的に無効化し、当該端末をネットワークから隔離することで、被害の拡大を防ぎます。Picus SecurityのRed Report 2025では、組織は継続的なセキュリティ検証、高度な行動監視、脅威インフォームド戦略を実装することで、上位10のMITRE ATT&CK技術に対する防御を劇的に向上させることができるとしています。

常駐化経路の徹底的な監視と制限

攻撃者が常駐化のために利用する主要な経路を把握し、それらを厳重に監視・制限することが重要です。具体的には、レジストリの自動実行キー(Run、RunOnce等)、スタートアップフォルダ、スケジュールタスク、Windowsサービス、WMI(Windows Management Instrumentation)のイベントサブスクリプション、ブラウザ拡張機能などが主要な常駐化ポイントです。これらの場所への変更を監視し、承認されていない変更があった場合は即座にアラートを発するシステムを構築します。特にレジストリキーの変更監視は重要で、MITRE ATT&CKのT1547.001(Registry Run Keys/Startup Folder)は2024年に最も頻繁に観察されたサブ技術の一つとなっています。また、システム管理者権限を持つアカウントの使用を最小限に抑え、特権アクセス管理(PAM: Privileged Access Management)ソリューションを導入することで、攻撃者が高い権限を悪用して常駐化する機会を減らします。

ネットワーク分離とマイクロセグメンテーション

ネットワークを細かく分割し、システム間の通信を厳密に制御する「マイクロセグメンテーション」を実施することで、攻撃者が一つのシステムに常駐化した場合でも、ネットワーク全体への横展開を防ぐことができます。ゼロトラストアーキテクチャの原則に基づき、「決して信頼せず、常に検証する」というアプローチで、内部ネットワーク上のすべての通信を監視し、正当な業務に必要な最小限の通信のみを許可します。特に重要なシステムやデータベースは、他のシステムから隔離されたネットワークセグメントに配置し、厳格なアクセス制御を実施します。これにより、たとえ攻撃者が従業員の端末に常駐化しても、機密情報を保管するサーバーへのアクセスは阻止されます。

定期的な脅威ハンティングと侵害の兆候調査

受動的な検出だけでなく、能動的に脅威を探索する「脅威ハンティング」の実施が推奨されます。セキュリティアナリストが定期的にシステムログ、ネットワークトラフィック、プロセスリストなどを分析し、既知の攻撃パターンや異常な挙動を探します。

具体的な常駐化の兆候として、以下のようなインジケーターに注目します:

レジストリ関連の兆候

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run などの自動実行レジストリキーへの不審な追加
  • 通常のソフトウェアインストール時以外での、深夜や週末のレジストリ変更
  • システム管理者以外のアカウントによる HKLM への書き込み

スケジュールタスク関連の兆候

  • PowerShellやVBScriptを実行する新しいスケジュールタスクの作成
  • システム起動時やユーザーログオン時に実行されるよう設定されたタスク
  • SYSTEMアカウントで実行される業務に関係のないタスク
  • タスク名が正規のWindowsタスクに類似している(例:WindowsUpdateCheckなど)

ネットワーク関連の兆候

  • 業務時間外(深夜0時~5時など)の外部への継続的な通信
  • 一般的でないポート(例:4444、8080、8888など)での外部通信
  • 既知のC&Cサーバー IPアドレスやドメインへの接続試行
  • DNSトンネリングを示唆する異常に長いDNSクエリ

プロセス関連の兆候

  • powershell.exe-EncodedCommand パラメータで実行されている
  • wmic.exewscript.exe が通常使用されないコマンドラインオプションで起動
  • svchost.exe が標準的でない親プロセスから起動されている
  • 正規のシステムプロセス名を装ったプロセスが異常なディレクトリから実行されている(例:C:\Temp\svchost.exe

特に、MITRE ATT&CKフレームワークに記載されている常駐化技術のインジケーター(IoC: Indicators of Compromise)を基に、システム内にそれらの痕跡がないか調査します。また、脅威インテリジェンスサービスを活用し、最新の攻撃手法や攻撃グループの戦術、技術、手順(TTP)に関する情報を収集し、自組織への適用可能性を評価します。

実際の検出事例として、2024年にUnit 42が対応したケースでは、正規のリモートアクセスツールAnyDeskが常駐化に使用され、攻撃者が数週間にわたってシステムにアクセスしていました。このような「正規ツールの悪用」は、従来のシグネチャベースの検出では困難であり、行動分析と脅威ハンティングによって初めて発見されました。

迅速なパッチ適用と脆弱性管理

攻撃者は既知の脆弱性を悪用してシステムに侵入し、常駐化を試みます。Mandiantの2024年インシデントレスポンス統計では、脆弱性の悪用が最も一般的な初期感染ベクトル(33%)であることが報告されています。特に、エッジセキュリティデバイス(ファイアウォール、VPN、ネットワークアクセス制御ソリューション等)の脆弱性が標的とされることが多く、2024年にはPalo Alto Networks、Ivanti、Fortinetなどのベンダー製品の脆弱性が頻繁に悪用されました。日本の状況も深刻で、IPA(情報処理推進機構)の調査によると、日本企業の平均パッチ適用期間は36.4日と報告されており、その間に攻撃者が脆弱性を悪用して侵入・常駐化する可能性があります。脆弱性管理プログラムを確立し、Critical(緊急)およびHigh(重要)の脆弱性については数日以内にパッチを適用する体制を整えることが重要です。

多要素認証(MFA)の全面的な導入

アカウント認証情報の窃取は、攻撃者が常駐化を達成するための主要な手段の一つです。IBM X-Force 2025レポートによれば、2024年には情報窃取マルウェア(インフォスティーラー)の配信が前年比84%増加し、2025年初頭のデータではさらに180%の増加を示しています。これらのマルウェアは、ブラウザに保存されたパスワードやパスワードマネージャーの認証情報を窃取し、攻撃者に提供します。多要素認証(MFA: Multi-Factor Authentication)を導入することで、たとえパスワードが窃取されても、攻撃者がアカウントにアクセスすることを防ぎます。特に、管理者アカウント、リモートアクセスシステム(VPN等)、クラウドサービスへのアクセスには必ずMFAを適用します。ただし、2024年には「多要素認証疲労攻撃」や「MFAバイパス」などの手法も出現しているため、FIDO2対応の認証デバイスやバイオメトリクス認証など、より強固なMFA手段の採用が推奨されます。

インシデント対応計画と定期的な訓練

万が一常駐化された攻撃者を発見した場合、迅速かつ適切に対応するための計画を事前に策定しておくことが重要です。インシデント対応計画には、発見から調査、封じ込め、根絶、復旧、事後分析までの各フェーズでの具体的な手順、責任者、連絡体制、外部専門家(フォレンジック調査会社等)との連携方法などを明記します。また、定期的にテーブルトップ演習やサイバー攻撃シミュレーション訓練を実施し、計画の実効性を検証します。特に、常駐化を完全に排除するためには、侵害されたシステムの完全な再構築(クリーンインストール)が必要な場合もあるため、そのような大規模な復旧作業の手順も事前に検討しておく必要があります。

常駐化・足場確保の対策を簡単に言うと?

常駐化・足場確保への対策を日常生活の例えで説明すると、「賃貸物件を退去するときに鍵を取り替え、防犯システムを強化し、定期的に見回りをする」ようなものです。

まず、「鍵の管理」に相当するのがアカウント管理と多要素認証です。家の鍵を複雑なものに変更し、さらに指紋認証や顔認証などの「複数の確認方法」を追加することで、たとえ泥棒が合鍵を手に入れても家に入れないようにします。デジタルの世界では、強固なパスワードと多要素認証を組み合わせることで、攻撃者が盗んだ認証情報だけではシステムにアクセスできないようにします。

次に、「防犯カメラと警報システム」に相当するのがEDRや監視システムです。家の各部屋にカメラを設置し、不審な動きがあればすぐに警報が鳴るようにします。さらに、「この部屋には誰が入ることができる」という厳格なルールを設定し(ネットワーク分離)、違反があれば即座に検知します。デジタルの世界では、すべてのシステムの動作を常時監視し、通常とは異なる挙動を検出したら即座に対応します。

そして、「定期的な巡回と点検」に相当するのが脅威ハンティングとログ分析です。警備員が定期的に建物を巡回し、隠れ場所や侵入経路がないか確認するように、セキュリティチームが定期的にシステム全体を調査し、攻撃者が残した痕跡や不審な活動がないか探します。

最後に、「構造的な欠陥の修理」に相当するのが脆弱性管理とパッチ適用です。建物に亀裂や壊れた窓があれば、泥棒はそこから侵入します。これらの欠陥を素早く修理することで、侵入そのものを防ぎます。デジタルの世界では、ソフトウェアやシステムの脆弱性を迅速に修正することで、攻撃者に侵入の機会を与えません。

これらの対策を組み合わせることで、「泥棒が隠れ続けることができない環境」を作り出します。たとえ一度侵入されても、すぐに発見され、追い出され、再び侵入できないようにする、という多層防御の考え方が重要です。

常駐化・足場確保に関連した攻撃手法

常駐化・足場確保は、サイバー攻撃の一連の流れの中で重要な段階であり、他の攻撃手法と密接に関連しています。特に、横断テクニックカテゴリに分類される他のサイバー攻撃手法と組み合わせることで、攻撃者はより効果的で検出が困難な攻撃を実現します。これらの横断テクニックは、単一の業界や標的に限定されず、広範な攻撃シナリオで使用される共通の手法として、セキュリティ対策上の重要な対象となっています。

サプライチェーン攻撃との関連

サプライチェーン攻撃と常駐化・足場確保は、相互に補完し合う関係にあります。攻撃者はまず、セキュリティが比較的脆弱なサプライチェーンの一部(委託先、取引先、ソフトウェアベンダーなど)を標的として侵入し、そこで常駐化・足場確保を実施します。この「踏み台」となったシステムを利用して、本命の標的組織へと侵入していきます。

例えば、2024年に日本で多発したサプライチェーン経由の被害事例では、攻撃者が物流管理システムや業務委託先のシステムに数か月間常駐化した後、委託元の大企業や金融機関のネットワークへとアクセスを拡大していました。株式会社イセトーへのランサムウェア攻撃では、攻撃者が同社のシステムに常駐化することで、同社が業務を受託していた複数の金融機関のデータにもアクセス可能になり、広範な二次被害を引き起こしました。

この関連性において重要なのは、攻撃者が「信頼関係」を悪用する点です。企業間の正規のビジネス接続やソフトウェアの自動更新機能などを通じて、常駐化されたシステムから他の組織へと侵入範囲を拡大します。Unit 42のレポートでも、2024年6月のSnowflake社の顧客アカウントへの攻撃では、攻撃者が事前に侵害した認証情報(T1078: Valid Accounts)を使用し、数か月間にわたって顧客のクラウド環境に常駐化していたことが明らかになっています。

対策の観点からは、サプライチェーン全体でのセキュリティ基準の統一と、取引先への定期的なセキュリティ監査が重要です。また、取引先から自社ネットワークへのアクセスは、ゼロトラストの原則に基づき、必要最小限に制限し、常に監視する必要があります。

正規ツール悪用(Living off the Land)との関連

正規ツール悪用(Living off the Land)と常駐化・足場確保は、技術的に深く結びついています。攻撃者は、システムに侵入した後、外部からマルウェアを持ち込むのではなく、Windows PowerShell、WMI(Windows Management Instrumentation)、Rundll32、Regsvr32などのシステム標準のツールを使用して常駐化を達成します。

この手法の最大の利点は、「正規のツールを使っているため、セキュリティソフトウェアに検出されにくい」という点です。2025年6月にNISCが発表したサイバーセキュリティ2025でも、「Living Off The Land戦術」により検知が極めて難しくなっていることが強調されています。例えば、攻撃者はPowerShellスクリプトを使用してスケジュールタスクを作成し、システム起動時に自動的に実行されるよう設定します。また、WMIイベントサブスクリプションを利用して、特定の条件が満たされたときに悪意あるコードが実行されるようにすることもあります。

2024年のMandiantレポートでは、国家支援型の脅威アクターが特にLiving off the Landテクニックを専門とし、侵害されたネットワーク内で静かに留まることに成功していると報告されています。これらの攻撃者は、常駐化のために外部から実行ファイルをダウンロードする代わりに、システム内の正規ツールだけを使用して完全な攻撃チェーンを構築します。

Picus SecurityのRed Report 2025では、T1059(Command and Scripting Interpreter)が2024年の主要な攻撃技術の一つとして挙げられており、攻撃者が正規のスクリプト実行環境を悪用して常駐化を達成している実態が明らかになっています。

対策としては、正規ツールの使用を完全に禁止することはできないため、「どのユーザーが、いつ、どのような目的でこれらのツールを使用したか」を詳細に記録し、異常なパターンを検出することが重要です。例えば、通常業務では使用されないPowerShellコマンドの実行や、深夜の自動実行タスクの作成などを検出するルールを設定します。また、PowerShellのConstrained Language Modeや、Application Control(アプリケーション実行制御)などの技術を活用し、正規ツールの機能を制限することも有効です。

権限昇格/横展開との関連

権限昇格および横展開は、常駐化・足場確保と密接に連携する攻撃段階です。攻撃者は、最初に侵入したシステムで常駐化を確立した後、より高い権限を獲得し(権限昇格)、ネットワーク内の他のシステムへと侵入範囲を拡大します(横展開)。そして、新たに侵入したシステムでも常駐化を実施することで、複数の足場を確保します。

具体的な攻撃の流れとしては、攻撃者はまず従業員の端末に侵入し、基本的な常駐化(例:スタートアップフォルダへのファイル配置)を実施します。次に、その端末上で権限昇格の脆弱性を悪用してシステム管理者権限を取得し、より強固な常駐化手法(例:Windowsサービスとしての登録)を実装します。その後、管理者権限を利用してドメインコントローラーや重要なサーバーへと横展開し、そこでも常駐化を確立します。

IBM X-Force 2025レポートでは、攻撃の30%が有効なアカウント(Valid Accounts)を使用しており、これは権限昇格と常駐化を組み合わせた手法の典型例です。攻撃者は、侵害したシステムから認証情報を窃取し(T1003: OS Credential Dumping)、その情報を使用して他のシステムに正規ユーザーとしてログインします。そして、各システムで常駐化を実施することで、たとえ一つの足場が発見・削除されても、他の足場から活動を継続できる冗長性を確保します。

2024年のUnit 42レポートでは、ある事例で攻撃者が数か月間VPNへのブルートフォース攻撃を続け、最終的に成功して組織のネットワークに侵入し、常駐化を確立したケースが報告されています。この初期の常駐化を起点として、攻撃者はネットワーク内で権限を昇格させ、複数のシステムに横展開し、各所で常駐化を実施することで、発見と完全な排除を極めて困難にしました。

対策としては、最小権限の原則を徹底し、通常のユーザーアカウントには管理者権限を付与しないことが基本です。また、特権アカウントの使用は厳重に監視し、異常なアカウント活動(例:深夜の管理者ログイン、通常とは異なる場所からのアクセス等)を即座に検出するシステムを導入します。さらに、ネットワークセグメンテーションにより、一つのシステムが侵害されても横展開が困難な環境を構築することが重要です。Picus Securityは、プロセスインジェクション、スクリプト実行、暗号化された流出、起動時の常駐化といったステルス性と常駐性の組み合わせを検出・中断する能力の重要性を強調しています。

常駐化・足場確保のよくある質問

Q1: 常駐化・足場確保された攻撃者を完全に排除することは可能ですか?

はい、可能ですが、非常に困難で時間がかかるプロセスです。常駐化された攻撃者を完全に排除するためには、侵害されたすべてのシステムを特定し、攻撃者が設置したすべての「裏口」を見つけ出す必要があります。

最も確実な方法は、侵害されたシステムの完全な再構築(クリーンインストール)です。これは、ハードディスクを完全にフォーマットし、オペレーティングシステムとアプリケーションを信頼できるソースから再インストールすることを意味します。部分的な修復(例:怪しいファイルだけを削除する)では、見落とした常駐化機構が残っている可能性があり、攻撃者が再び戻ってくる危険性があります。

また、システムの再構築だけでなく、すべてのアカウントのパスワードをリセットし、特に管理者アカウントや特権アカウントの認証情報を変更することが重要です。攻撃者が窃取した認証情報を使用して再侵入することを防ぐためです。

完全な排除には、フォレンジック調査の専門家による徹底的な分析が推奨されます。彼らは、システムログ、ネットワークトラフィック、メモリダンプなどを解析し、攻撃者の侵入経路、使用した手法、影響を受けたシステムの範囲を特定します。この情報に基づいて、包括的な復旧計画を策定し実行します。

Q2: 常駐化・足場確保は中小企業にも関係がありますか?

はい、大いに関係があります。むしろ、セキュリティ対策が手薄になりがちな中小企業こそ、常駐化・足場確保の深刻な被害を受けやすい傾向にあります。

警察庁が2025年3月に発表した統計によると、2024年のランサムウェア被害では、大企業の被害件数が減少した一方で、中小企業の被害件数は前年比37%増加しました。これは、攻撃者が防御が固い大企業から、比較的侵入しやすい中小企業へと標的をシフトしていることを示しています。

また、中小企業は大企業のサプライチェーンの一部であることが多く、攻撃者は中小企業に常駐化した後、そこを「踏み台」として取引先の大企業へと侵入するケースも増えています。2024年の日本国内の事例でも、物流会社や業務委託先が攻撃を受けたことで、委託元の大企業に二次被害が波及するケースが多発しました。

中小企業が特に注意すべき点は、専任のセキュリティ担当者がいない場合でも、基本的な対策(多要素認証の導入、定期的なバックアップ、ソフトウェアの更新、従業員教育など)を確実に実施することです。また、外部のマネージドセキュリティサービス(MSS)やクラウド型のセキュリティソリューションを活用することで、限られたリソースでも効果的な防御が可能です。

Q3: システムが正常に動作していれば、常駐化されていないと考えてよいですか?

いいえ、それは危険な誤解です。常駐化された攻撃者の最大の特徴は、「気づかれないように活動する」ことです。システムが正常に動作しているように見えても、裏では攻撃者が静かにデータを窃取したり、さらなる攻撃の準備をしたりしている可能性があります。

実際、高度な攻撃グループ(APT: Advanced Persistent Threat)は、数か月から数年間にわたってシステム内に潜伏し、検出されないよう細心の注意を払って活動します。彼らは、システムに負荷をかけない時間帯(深夜や週末)に活動し、通常の業務トラフィックに紛れてデータを少しずつ外部に送信します。

2024年のUnit 42レポートでも、86%のインシデントがビジネス中断を伴ったものの、多くのケースで組織は長期間攻撃者の存在に気づいていませんでした。また、日本のNISCが2025年1月に注意喚起を発出した「MirrorFace」による攻撃キャンペーンは、2019年12月から継続して行われており、長期間にわたって検出を回避していました。

したがって、システムが正常に動作しているかどうかではなく、定期的なセキュリティ監査、ログ分析、脅威ハンティングを通じて、能動的に侵害の兆候を探すことが重要です。特に、異常なネットワークトラフィック、不審なプロセスの実行、予期しないシステム変更などの「侵害の指標(IoC: Indicators of Compromise)」に注目します。

Q4: クラウドサービスを使用していれば、常駐化のリスクは低いですか?

いいえ、クラウド環境も常駐化のリスクから免れることはできません。むしろ、2024年から2025年にかけて、クラウド環境を標的とした常駐化攻撃が大幅に増加しています。

Mandiantのレポートによると、2024年にはクラウドコンポーネントを含む侵害への対応が過去最多となり、その主な要因として、不十分なセキュリティ制御を持つID管理ソリューション、不適切に保護されたオンプレミス統合、拡張されたクラウド攻撃面への可視性の欠如が挙げられています。攻撃者は、設定ミスのあるクラウド環境に侵入し、長期間にわたって潜伏します。

クラウド環境での常駐化の典型的な手法には、以下のようなものがあります:

  • 窃取または侵害されたクラウドアカウントの認証情報を使用した継続的なアクセス
  • 新しい管理者アカウントやサービスアカウントの作成による「裏口」の設置
  • クラウドサービスの自動化機能(AWS Lambda、Azure Functions等)を悪用したスクリプトの常駐化
  • クラウドストレージ(S3バケット等)への不正なアクセス権限の付与

2024年6月のSnowflake社の事例では、攻撃者が窃取した認証情報を使用して顧客のクラウド環境に長期間アクセスし、大規模なデータ窃取を行っていました。

クラウド環境での対策としては、クラウドセキュリティポスチャ管理(CSPM: Cloud Security Posture Management)ツールを使用した設定ミスの検出、多要素認証の必須化、最小権限の原則の徹底、クラウドアクティビティログの継続的な監視が重要です。また、オンプレミスとクラウドを統合的に監視し、両者の境界を越えた攻撃を検出する必要があります。

Q5: 常駐化を防ぐために、どのような従業員教育が効果的ですか?

常駐化は技術的な攻撃手法ですが、その多くは従業員を標的としたフィッシング攻撃やソーシャルエンジニアリングから始まります。したがって、従業員のセキュリティ意識向上は、常駐化を防ぐ上で極めて重要です。

効果的な従業員教育には以下の要素が含まれるべきです:

基本的なサイバーセキュリティ知識の教育
従業員に、フィッシングメールの見分け方、不審なリンクやファイルを開かないこと、パスワードの安全な管理方法などの基本を教えます。統計によれば、包括的なセキュリティ意識向上トレーニングを実施した組織は、12か月以内にフィッシング攻撃を86%削減し、フィッシングシミュレーションでの失敗率を3.2%まで下げることができました。

実践的なフィッシングシミュレーション
定期的に模擬フィッシングメールを送信し、従業員が実際にどのように反応するかをテストします。クリックしてしまった従業員には、その場で教育コンテンツを提供し、なぜそのメールが危険だったのかを学習させます。これにより、理論だけでなく実践的なスキルが身につきます。

リモートワーク環境でのセキュリティ
自宅や外出先で業務を行う従業員に対して、公共Wi-Fiの危険性、VPNの使用方法、個人デバイスと業務デバイスの分離などを教育します。2024年のフィッシング攻撃の増加は、リモートワークの普及と関連しているため、この教育は特に重要です。

インシデント報告の重要性と手順
従業員が不審なメールを受け取ったり、誤ってリンクをクリックしてしまったりした場合、すぐにIT部門やセキュリティチームに報告することの重要性を強調します。早期発見により、攻撃者が常駐化を確立する前に対処できる可能性が高まります。また、報告したことで叱責されるのではなく、むしろ組織のセキュリティ向上に貢献したと評価する文化を醸成することが重要です。

役職や部門に応じた特化型トレーニング
財務部門の従業員にはビジネスメール詐欺(BEC)、人事部門には求人詐欺や偽の応募者を装った攻撃、経営層にはスピアフィッシングやホエーリング攻撃など、各部門が直面する特有の脅威に焦点を当てた教育を実施します。

専門家の推奨では、セキュリティ教育は年1回の講習ではなく、四半期ごとの継続的なトレーニングとして実施することで、従業員の意識を常に高く保つことができます。

更新履歴

初稿公開

京都開発研究所

システム開発/サーバ構築・保守/技術研究

CMSの独自開発および各業務管理システム開発を行っており、 10年以上にわたり自社開発CMSにて作成してきた70,000以上のサイトを 自社で管理するサーバに保守管理する。