- Living off the Land(環境寄生型)攻撃とは?
- なぜLiving off the Land攻撃が厄介なのか?
- 実際のLiving off the Land攻撃事例
- Living off the Land攻撃への具体的な対策
- まとめ:侵入を前提とした対策の重要性
私は日々、サイバー攻撃の脅威と向き合いながら、情シスセキュリティ担当として奮闘しています。最近の攻撃手法は、従来の対策を容易にすり抜けるほど巧妙になっていますが、その中でも特に厄介なのが、今回ご紹介する「Living off the Land(LotL)」、日本語で「環境寄生型」と呼ばれる攻撃です。
マルウェアファイルを使わないため、多くのセキュリティ製品に見過ごされてしまいがちなこの攻撃。今回はその仕組みと、私たちが取るべき対策について解説します。
Living off the Land(環境寄生型)攻撃とは?
Living off the Landとは、「土地(システム環境)から食料を得て生活する」という文字通りの意味です。サイバーセキュリティの文脈では、攻撃者が標的のシステムにあらかじめ備わっている正規のツールや機能だけを使って攻撃活動を行う手法を指します。
一般的な攻撃では、攻撃者はマルウェア(悪意のあるプログラム)を作成し、標的のPCやサーバーに侵入させます。しかし、LotL攻撃では、マルウェアを一切使いません。Windowsに標準搭載されているPowerShellやWindows Management Instrumentation (WMI)、あるいはLinuxのシェルスクリプトやPythonといった正規のツールを悪用し、内部での情報収集、横展開、データ窃取などを実行します。
なぜLiving off the Land攻撃が厄介なのか?
ファイルとして存在しないマルウェアは、従来のウイルス対策ソフトや侵入検知システム(IDS)が苦手とする分野です。
検知を回避しやすい 攻撃に利用されるのは、システム管理者が日常的に使う正規のツールです。セキュリティソフトは、これらのツールを正常なものとして認識するため、そのツールが行う不審な挙動を見抜くのが非常に困難になります。
正規の通信に紛れる 悪意のある通信ではなく、正規のツールが生成する通信に紛れて、指令の送受信やデータの持ち出しが行われることがあります。これにより、ファイアウォールなどの通信を監視する製品でも、悪意のある通信として特定するのが難しくなります。
フォレンジック調査が困難になる マルウェアの痕跡(ファイル、レジストリ、通信ログなど)が残らないため、攻撃後のフォレンジック調査が非常に困難になります。何が起きたのか、どう侵入されたのかを特定するのに、膨大な時間と労力がかかってしまうのです。
実際のLiving off the Land攻撃事例
Living off the Land攻撃は、実際に高度なサイバー攻撃グループによって頻繁に利用されています。その代表的な事例を、海外と日本の両方からご紹介します。
1. HafniumによるMicrosoft Exchange Serverへの攻撃
2021年に発覚した中国のハッカー集団「Hafnium」によるMicrosoft Exchange Serverへの大規模なサイバー攻撃です。Hafniumは、Exchange Serverの複数のゼロデイ脆弱性を悪用して組織に侵入しました。その後の攻撃活動では、マルウェアをインストールすることなく、正規のPowerShellやその他のツールを利用してシステム内部の偵察やデータ窃取、バックドアの設置などを巧妙に行っていたことが明らかになっています。この事例は、LotL攻撃が単なる概念ではなく、実際に国家レベルの攻撃者が用いる非常に有効な戦術であることを証明しました。
2. 日本国内におけるEmotetやランサムウェア攻撃
日本国内の企業も、LotL攻撃の標的となっています。特に、一時期猛威を振るったマルウェア「Emotet」や、近年被害が甚大なランサムウェア「LockBit」の攻撃キャンペーンで、LotLの手法が頻繁に用いられていました。
- Emotet攻撃: 感染したPCからPowerShellを悪用し、内部ネットワークを偵察して他の端末へ横展開したり、別のマルウェアをダウンロードしたりする活動を行いました。
- LockBit攻撃: 内部侵入後、Windowsに標準搭載されているPsExecやRcloneといった正規ツールを悪用し、ランサムウェアのペイロードを配布・実行する事例が多数報告されています。
これらの事例は、LotL攻撃がグローバルなAPT攻撃だけでなく、日本国内で多くの企業を脅かした身近な脅威にも使われていることを示しています。
Living off the Land攻撃への具体的な対策
このような厄介な攻撃からシステムを守るには、従来の「侵入させない」という防御策だけでなく、「侵入を前提とした対策」を強化する必要があります。
EDR(Endpoint Detection and Response)の導入 EDRは、エンドポイント(PCやサーバー)の「振る舞い」を監視し、不審な挙動を検知することができます。例えば、PowerShellが不自然な通信を開始した、または通常は実行されないディレクトリで活動している、といった異常を検知・記録することで、LotL攻撃の早期発見に繋がります。ファイルベースの検知だけでなく、振る舞いベースの検知が非常に有効です。
ログ監視の強化 システムログ、特にPowerShellやWMIの詳細なログを有効化し、監視体制を強化します。ログをSIEM(Security Information and Event Management)ツールなどで一元管理・相関分析することで、複数のログにまたがる不審な動きを早期に発見できる可能性があります。
最小権限の原則 ユーザーやアプリケーションが持つ権限を最小限に制限します。これにより、正規のツールが悪用されたとしても、被害範囲を最小限に抑えることができます。使用しないツールやサービスは無効化しておくことも重要です。
まとめ:侵入を前提とした対策の重要性
Living off the Land攻撃は、私たちが当たり前だと思っていた「正規ツール」が、実は攻撃者の強力な武器になることを教えてくれます。この攻撃手法が主流になりつつある今、ファイルベースの検知だけでは不十分であり、振る舞い検知を主軸としたEDRやXDRの導入が不可欠なセキュリティ戦略と言えるでしょう。
城咲子(CISSP、登録セキスペ)として、今後も皆さんのセキュリティ対策の一助となるような情報を発信していきたいと思います。
