ウイーズ・システムズ株式会社

CONTACT

コラム

COLUMN

見えない脅威?正規ツールを悪用するLotL攻撃とは

  1. 見えない脅威「LotL攻撃」とは?
  2. LotL攻撃の仕組み
  3. なぜ検知しづらいのか?
  4. 対策の考え方
  5. まず取り組むべきこと

サイバー攻撃というと、怪しいファイルやウイルスのようなマルウェアを思い浮かべる方が多いかもしれません。しかし近年、こうした従来型の攻撃とは異なる、“検知されにくい”タイプの攻撃が増えています。その代表例が「LotL攻撃(Living off the Land)」です。

LotL攻撃は、外部から不正なプログラムを持ち込まず、OSに標準で備わっている正規のツールを使って攻撃を行う手法です。国内では「環境寄生型攻撃」とも呼ばれることがあり、環境に存在するリソースを悪用することで、検知されにくい高度な攻撃を実現します。マルウェアのような明らかな不正プログラムが関与しないため、見逃されやすく、内部に侵入されても気付きにくいという特徴があります。

本コラムでは、LotL攻撃の仕組みやその検知が難しい理由、そして企業としてどのように備えるべきかについて解説します。見えない脅威に対する新たな視点を提供し、自社のセキュリティ体制を見直すきっかけになれば幸いです。

「Living off the Land(土地の資源を活用する)」という名前の通り、LotL攻撃では、侵入した環境内に元々あるツールを利用して攻撃を進めます。これは攻撃者が外部から目立つマルウェアを持ち込む必要がないため、セキュリティ対策をすり抜けるのに非常に有効です。

具体的には、以下のようなWindowsのシステムに元々備わっているツールが悪用されることがあります。

  • PowerShell
  • rundll32.exe
  • certutil.exe
  • mshta.exe

これらのツールは本来、システム管理やメンテナンスのために使われるものです。そのため、セキュリティ対策ソフトによるスキャンでは「安全な操作」として扱われ、攻撃として検知されないことが多いのです。

従来の攻撃では、外部からマルウェアを送り込んで感染させる必要がありましたが、LotL攻撃では侵入後にこれらの正規ツールを組み合わせて、まるで“内部でプログラムを組む”かのように攻撃を構築していきます。そのため、攻撃が進行しても気づかれにくく、深刻な被害が発生するまで発見されないケースも少なくありません。

LotL攻撃が厄介なのは、動作そのものが「正規のツールを使った通常の操作」に見えることです。

たとえば、PowerShellの利用やcertutilでのファイル取得は、管理者の業務としても日常的に行われます。そのため、ログ上にそれが記録されていても、「いつもと違う操作」として気付くのは困難です。

また、ファイルを直接落とさずにメモリ上で処理を行う“ファイルレス攻撃”であるケースも多く、セキュリティソフトのファイルスキャンだけでは検知が難しい場合があります。しかも、正規プロセスを連携させて複数の処理を行うため、単体のログでは異常を検知できず、全体の流れを見なければ不正が分からないという状況になります。

つまり、LotL攻撃は「検知されにくい」だけでなく、「気付きにくい」「気付いても対応しにくい」という三重の困難を持った攻撃だといえるのです。

このような見えにくい攻撃に対処するためには、従来のような「怪しいファイルを検知する」視点から脱却し、次の2つの考え方を取り入れることが有効です。

■ ふるまい検知(行動ベースの異常検出)

重要なのは、「どんなツールを使ったか」ではなく、「どう使ったか」です。
具体的には、

  • 深夜や休日に突然PowerShellを実行
  • 通常業務では使用しないツールの連続使用
  • 普段使われない端末で管理者権限の操作

といった“普段とは違う動き”に注目することで、正規ツールの悪用も検知しやすくなります。日常的な操作のパターンを把握し、逸脱が発生した際に即座に通知・調査ができる仕組みを整えることが重要です。

■ ゼロトラスト(信頼せずに常に確認する)

LotL攻撃は「一度侵入されると、内部で好き放題されてしまう」ことが大きなリスクです。これを防ぐには、「一度許可したから安心」ではなく、「すべてのアクセスを都度確認」するゼロトラストの発想が重要です。
具体的には、

  • 管理者権限の使用を最小限に制限する
  • 業務ごとにアクセス可能なシステムを限定する
  • 正規ユーザーであっても必要な範囲のみアクセス許可する
  • 操作のたびに本人確認や再認証を求める

といった制御が、攻撃者による横展開や情報窃取を防ぎ、被害の拡大を食い止めます。

LotL攻撃は、正規ツールを使って内部から静かに広がる、非常に見えにくい脅威です。従来のセキュリティソフトやログ管理だけでは防ぎきれない時代において、ふるまいの異常に気づく視点や、信頼を前提にしないゼロトラストの考え方を取り入れることが、最初の一歩になります。

大がかりなシステムを導入する前に、まずは以下のような点を見直してみましょう。

  • 管理者権限の範囲を適切に設定しているか
  • 社内で使われているPowerShellやコマンドの利用状況を把握しているか
  • 不自然な操作を検出するルールや仕組みがあるか
  • ログの分析が形式的になっていないか
  • アクセス制御のルールが形骸化していないか

こうした小さな積み重ねが、LotL攻撃のような見えない脅威への最大の備えとなります。いま一度、自社の環境や運用方針が「信頼しすぎていないか?」という観点で点検してみてはいかがでしょうか。

関連記事

従来のセキュリティでは限界?ゼロトラストに対応する特権ID管理

特権ID管理とは?必要性とリスク軽減の戦略を解説

【セキュリティ強化の鍵】ゼロトラストモデルと特権ID管理

Writer 雫田 貴一
WEEDS SYSTEMSのWebマーケティング担当者。 マーケティングだけでなく、システムの導入からセールスのサポートに至るまで幅広く手掛けています。 情報セキュリティに不安を感じるユーザーの悩みや課題を解決すべく、日々情報発信に努めています。