環境寄生型攻撃【LotL攻撃】Living off the Land attack
概要
“Living off the Land”(LotL:現地調達)とは、軍事やサバイバル術の文脈で、現地にある資源だけで生き延びることを意味する表現である。サイバーセキュリティの分野ではこれを転用し、攻撃者が標的環境にもともと存在する正規のツールを攻撃に利用する手口を指す言葉として用いられる。
攻撃に悪用されるツールはオペレーティングシステム(OS)などに標準搭載されたものが中心だ。Windowsであれば、コマンドの自動実行が可能な「PowerShell」や、システム管理に使われる「WMI」(Windows Management Instrumentation)、ファイル転送に利用できる「certutil」、スクリプト実行環境である「WSH」(Windows Scripting Host)などがよく知られる。これらはシステム管理者も日常的に使う正規のツールであるため、セキュリティソフトがその実行をただちに不審とは判断しにくい。
攻撃の典型的な流れとしては、フィッシングメールなどを起点に標的のWindows環境への初期アクセスを得た後、PowerShellを通じてリモートからスクリプトを取得・実行し、認証情報の窃取や横断的侵害(ラテラルムーブメント)へと進むパターンが多く報告されている。外部から新たな実行ファイルを持ち込まないため、ファイルベースの検知に依存した従来型のウイルス対策ソフトでは発見が困難となる。
対策としては、PowerShellの実行ポリシーの制限やログの詳細な記録、振る舞い検知型の「EDR」(Endpoint Detection and Response)で管理ツールによる不審な挙動を検知する手法が有効とされている。また、正規ツールの使用状況を継続的に監視し、通常業務では発生しない操作パターンを早期に検出する運用体制を整備したり、自社で使わないツールは無効化してしまうといった対策もある。
共有ボタンをタップ