【情報セキュリティ】正規ツールが牙をむく!「環境寄生型攻撃(LotL)」|情報処理問題1000本ノック
近年の高度な攻撃では、ウイルス(マルウェア)を送り込むのではなく、OSに最初から備わっている「正規のプログラム」を悪用する手法が増えています。検知が困難な「環境寄生型」の恐怖を攻略しましょう。
1. 問題:正規プログラムを悪用した攻撃
【 問題 】 OSに標準でインストールされている管理ツール(PowerShellやWMIなど)や、正規のシステム機能を悪用して攻撃を行う手法を何と呼ぶでしょうか?
ア、環境寄生型攻撃(LotL攻撃) イ、ゼロデイ攻撃 ウ、ソーシャルエンジニアリング エ、辞書攻撃
2. 正解:高度な標的型攻撃に関する正解
正解: ア、環境寄生型攻撃(LotL:Living off the Land)
3. 解説:その場にあるもので「生活」し「攻撃」する
LotL(Living off the Land)は、直訳すると「その土地の物で生きていく」という意味です。独自の不正プログラムを持ち込まず、ターゲットの環境にある「正規ツール」を遠隔操作の道具に変えます。
【図解:LotL攻撃の特徴と巧妙さ】
■ ファイルレス(Fileless)
・ディスクに怪しい実行ファイル(.exeなど)を残さないため、従来のウイルススキャンをすり抜けます。
■ 正規ツールの悪用
・Windows PowerShell:スクリプトを実行して情報を盗む。
・WMI (Windows Management Instrumentation):システムの管理機能を乗っ取って永続的に潜伏する。
■ 検知の難しさ
・動いているのは「信頼されたOS標準プログラム」であるため、正常な業務操作と見分けがつきません。
■ ファイルレス(Fileless)
・ディスクに怪しい実行ファイル(.exeなど)を残さないため、従来のウイルススキャンをすり抜けます。
■ 正規ツールの悪用
・Windows PowerShell:スクリプトを実行して情報を盗む。
・WMI (Windows Management Instrumentation):システムの管理機能を乗っ取って永続的に潜伏する。
■ 検知の難しさ
・動いているのは「信頼されたOS標準プログラム」であるため、正常な業務操作と見分けがつきません。
[ 防御の最前線 ]
★ EDR (Endpoint Detection and Response):ファイルの有無ではなく、「不自然な挙動(例:管理者がいない時間にPowerShellが外部通信している)」を監視して検知します。
★ ログの詳細分析:どの正規ツールが、いつ、どのようなコマンドを実行したかを記録・分析することが不可欠です。
★ EDR (Endpoint Detection and Response):ファイルの有無ではなく、「不自然な挙動(例:管理者がいない時間にPowerShellが外部通信している)」を監視して検知します。
★ ログの詳細分析:どの正規ツールが、いつ、どのようなコマンドを実行したかを記録・分析することが不可欠です。
1. 理解のコツ: 「泥棒が自前のバールを持ってくる(マルウェア)」のではなく、「家の中にあるキッチンナイフや工具を勝手に使う(LotL)」イメージです。外部からの持ち込みがないため、検問(セキュリティソフト)にかかりにくいのが特徴です。
2. 試験対策の視点: 「正規プログラムを悪用」「ホワイトリスト形式の防御を突破する」といった記述があればLotL攻撃を指します。最新のセキュリティ動向として非常に注目されている用語です。
4. まとめ
「OS標準の正規ツールを悪用して攻撃を行う」。これが環境寄生型攻撃(LotL)です。これからのセキュリティは、「誰が動いているか」だけでなく「何をしているか」という振る舞いを監視する視点が重要になります。
PR