LOTL攻撃とは?ログに潜むリスクと対策を徹底解説
1.はじめに
LOTL(Living Off The Land)攻撃は、日本では環境寄生型攻撃とも呼ばれます。
私が、本記事を執筆しようと考えたきっかけは、日本であまり認知されていない攻撃だからです。
本記事の目的は、以下の内容となります。
(1)基本概念の理解
(2)攻撃手法の理解
(3)被害と影響の理解
(4)セキュリティ対策の理解
(5)2025年以降のLOTL攻撃を理解
(6)組織的な対応力の強化
2.基本概念の説明
2-1.LOTL攻撃の定義と特徴
LOTL攻撃とは、システムに既に存在する正規のツールや機能を悪用して行われる攻撃手法のことです。
この手法は、マルウェアを導入せずに、WindowsやmacOSなどのオペレーティングシステムに標準で搭載されているツールや正規のペネトレーションテストツールを利用することが特徴です。
2-2.なぜこの攻撃手法が注目されているのか
■検知回避の容易さ
正規のツールを使用するため、セキュリティツールのアラート検知を回避できます。
また、システムログに残る痕跡が正常な操作と類似しており、通常の業務との区別が困難になりSOC業務を混乱させます。
■実行の確実性
システムに標準搭載されたツールを使用するため、動作の確実性が高く、ソフトウェアの互換性の問題が少ないです。
■導入コストの低さ
システムに標準搭載されたツールを使用するため、攻撃者側の準備が比較的容易です。
また、ターゲットマシンに実行するツールが揃っていれば、ツールを転送する必要はありません。
2-3.従来型のマルウェア攻撃との違い
■実行ファイル
従来:専用のマルウェアを転送し使用
LOTL:システムに標準搭載されたツールを使用
■検知方法
従来:パターン(Signature)検知が可能
LOTL:ふるまい(Behavior)検知が必要
■攻撃の痕跡
従来:マルウェアファイルが証拠として残る(File Activityとして残る)
LOTL:正規操作との区別が困難(コマンドラインの理解不足やユーザーヒヤリングによるインシデント発覚遅延が発生する)
3.攻撃手法の詳細
3-1.LOLBins(Living Off The Land Binaries)
----------標準搭載ツール----------
- PowerShell
- 不正なコマンド実行
- メモリ内実行
- WMIC
- システム情報収集
- ボリュームシャドウコピーの削除
- Mshta
- 外部Webサーバーからスクリプトのダウンロード
- Pcalua
- プロキシコマンド実行
- Mavinject
- プロキシコマンド実行
- Rundll32
- プロキシコマンド実行
- 外部Webサーバーからjavascriptのダウンロード
- Reg
- 永続化
- 認証情報の窃取
- Findstr
- 端末の定義ファイル内パスワード取得
- Taskschd
- 永続化
- Certutil
- 外部Webサーバーからファイルのダウンロード
- エンコード/デコード
- Windows Sandbox
- 防御回避
- defaults(macOS)
- 防御回避
- 永続化
- streamzip(macOS)
- 窃取データの流出
- launchctl(macOS)
- 永続化
----------追加ツール----------
- PSExec
- リモート実行
- Mimikatz
- 認証情報の窃取
- AdFind
- Active Directoryの情報収集
- Cobalt Strike
- ラテラル
- バックドア
- RAT
- AnyDesk
- リモート接続
- Process Hacker
- プロセス/サービスの探索と停止
- MegaSync
- 窃取データの流出
- Rclone
- 窃取データの流出
これらのツールは通常、システム管理・メンテナンス作業・セキュリティアセスメント等に使用されるため、可用性確保の観点からセキュリティソリューションはこれらの実行をブロックしません。
3-2.実際の攻撃シナリオ例
■初期アクセス
(1)フィッシングメールでマクロ付きOfficeドキュメントを送付
(2)マクロがPowerShellコマンドを実行
(3)PowerShellがメモリ上でペイロードを実行
■ラテラル・永続化
(4)WMICを使用してネットワーク上の他のシステムを探索
(5)PSExecでリモートシステムに接続
(6)スケジュールタスクの作成やAutoRunレジストリに追加して永続化
■データ窃取・流出
(7)PowerShellを使用して機密データを窃取
(8)7zipでデータを圧縮
(9)PowerShellを使って外部のクラウドストレージに流出
3-3.検知が困難な理由
■技術的要因
・正規ツールを使用
・Microsoft社などの正式な署名付き実行ファイル
・暗号化/エンコード通信
■運用上の課題
・通常の業務との区別が難しい/時間がかかる
・モニタリング対象のプロセスやアクティビティ、コマンドラインの複雑さ
・リアルタイム検知の困難さ
■回避テクニック
・コマンドラインの難読化
・分割実行
・時間差実行
・条件付き実行
4.被害と影響
4-1.実際の被害事例
■APT攻撃事例
SolarWinds社の事例(2020年)
・正規のアップデートの脆弱性を悪用
・AdFindやRundll32を使用
・検知までに9ヶ月以上の期間
■重要インフラ業での事例
ファイブアイズ5か国やMicrosoft社の事例(2023年)
・ネットワーク機器のゼロデイ脆弱性を悪用
・正規ユーザーになりすます
・痕跡のログ消去
4-2.検知の難しさによる影響
■検知の遅延
・被害の拡大
・対応コストの増加
■誤検知の増加
・通常の監視では発見できない
・セキュリティチームの疲弊
■インシデント対応の複雑化
・IoC収集の困難さ
・攻撃経路の特定が遅延
・完全な排除が困難
4-3.セキュリティツールの限界
■従来型セキュリティツール
・シグネチャベースの検知限界
・正規ツールのデフォルト許可
・ふるまい検知の精度不足
■EDR/XDRの課題
・大量のアラート
・人的/財務リソース消費
・設定の複雑さ
■SIEMの限界
・大量のログ収集による遅延
・相関分析の難しさ
・ストレージコストの増加
4-4.ビジネスへの影響
■直接的な損害
・インシデント対応コスト:数千万円
・復旧コスト:数千万円
・業務停止による逸失利益:1日あたり数百万円
■間接的な損害
・レピュテーション損害
・顧客信頼の低下
・株価への影響
・顧客データ流出による個人情報保護法違反/秘密保持契約違反
■長期的影響
・セキュリティ投資の増加
・取引先からの監査増加
・各セキュリティ要件の強化による可用性低下
5.対策方法
5-1.システム監視の強化方法
■エンドポイント監視
・AIベースのEDR/XDRの導入
・プロセス実行の監視
・ファイルシステム変更の監視
・ソフトウェアのホワイトリスト化
・異常なプロセスの検知
■ネットワーク監視
・不審な通信パターンの検知
・ラテラル検知
・認可外クラウドストレージへのアクセス制限
5-2.アクセス制御とアカウント管理
■特権アカウント管理
・ジャストインタイムアクセス
・Privileged Access Management (PAM)の導入
・多要素認証の導入
・Geolocationポリシー有効
・リモート接続制限
・最小権限の原則
・定期的な権限レビュー
・アクセス権の棚卸し
■パスワードポリシー
・使い回し禁止
・推測されにくい文字列
5-3.ゼロトラストアーキテクチャとの関連
■アクセス制御の強化
・コンテキストベースの認可
・マイクロパーミッション
・動的ポリシー適用
■統合アプローチ
・ID管理との統合
・クラウドセキュリティとの連携
・エンドポイント保護の強化
・ネットワークセグメンテーション
5-4.セキュリティベースライン
■システムハードニング
・不要なサービスの無効化
■アプリケーション制御
・AppLocker
・ソフトウェア制限ポリシー
・Windows Defender アプリケーションコントロール
6.2025年以降のLOTL攻撃
6-1.LOTL攻撃の進化予測
■攻撃の高度化
・AIを活用した自動化された攻撃
・クラウドネイティブツールの悪用
・コンテナ環境への攻撃
・サプライチェーンを介した攻撃
■新しい攻撃ベクトル
・IoTデバイスの正規機能悪用
・クラウド管理ツールの悪用
・CI/CDパイプラインの悪用
6-2.新しいセキュリティ技術
■AIによるふるまい検知の進化
・リアルタイム異常検知
・プロセスの系統分析
・機械学習による予測
・コンテキストベースの判定
■新たな防御アプローチ
・仮想化ベースの分離
・マイクロセグメンテーション
・ジャストインタイムアクセス
・動的な権限管理
6-3.AIや機械学習活用による対策
■検知能力の向上
・多種多様なパターンの取得
・異常検知
・ふるまい検知
・予測分析
・リスクスコアリング
・プロセス挙動の学習
・ユーザー行動のプロファイリング
・脅威インテリジェンスの自動更新
■自動対応の実現
・CopilotからPilotへ
7.まとめ
7-1.重要な対策ポイント
■技術的対策
・PowerShellの実行制御とログ監視
・ソフトウェアのホワイトリスト化
・EDR/XDRの導入と運用
・特権アカウント管理(PAM)の実装
■運用面の対策
・ゼロトラストの適用
・セキュリティベースラインの確立
■人的対策
・セキュリティ従事者のコマンドライン/スクリプト理解の向上(スレットハンターとしての育成)
7-2.組織として取るべき戦略
■短期的戦略(0-6ヶ月)
・重要システムの特定と保護
・ログ収集の開始
・特権アカウントの棚卸し
・PowerShell実行制限
・特権アカウント管理
・基本的な監視体制の確立
・コマンドライン/スクリプト教育プログラムのスモールスタート
■中期的戦略(6-18ヶ月)
・ゼロトラストの段階的適用
・SIEM基盤の整備
・EDR/XDRの導入
・セキュリティベースラインの確立
・AI/ML基盤の導入検討
・自動化の段階的実装
・高度な監視体制の確立
・教育プログラムの成熟度評価/課題の洗い出し
■長期的戦略(18ヶ月以上)
・AI/MLによる自動検知・対応
・予測型セキュリティの実現
・完全なゼロトラスト環境の確立
・継続的な教育プログラム
・自動化された対応システムの構築
・教育プログラム対象者の拡大
これらの対策を組み合わせることで、LOTL攻撃に対する多層的で強固なセキュリティ環境を構築することができます。
ただし、組織の規模や業態、既存のセキュリティ環境に応じて、適切な優先順位付けと段階的な実装が重要です。また、新しい脅威や技術の進化に応じて、定期的な見直しと更新が重要です。
Discussion