LotL攻撃(Living off the Land攻撃)
掲載:2024年09月12日
用語集
「LotL攻撃(Living off the Land攻撃)」とは、システム内に元から存在する正規のツールや機能を悪用して行われるサイバー攻撃のことです。日本語では、「環境寄生型攻撃」や「自給自足型攻撃」、「現地調達型攻撃」と訳されます。不正なマルウェアなどを用いずに、正規のツールや機能を利用するため、従来のセキュリティ対策では検知や防御が難しい攻撃の1つです。
LotL攻撃の特徴
LotL攻撃は、あたかもシステムの正規の処理であるかのように振る舞うことで、セキュリティソフトによる不審な動きの検知を困難にし、発見されにくくする点が特徴です。
従来のマルウェア攻撃とは異なり、LotL攻撃では、外部から不正なプログラムファイルを持ち込みません。代わりに、標的のシステム内にすでに存在する正規のツールや機能を巧妙に悪用します。侵入後も、痕跡を巧みに隠蔽しながら潜伏し、機密情報の窃取や次の攻撃に向けたバックドア (システムに不正侵入するための裏口) の作成などの不正行為を働き続けます。
2023年5月には米国家安全保障局(NSA)が、中国のハッカー集団「Volt Typhoon」による重要インフラや軍に対するLotL攻撃を公表し、注意喚起しました。近年では、システムへの侵入を試みる攻撃の半数以上が非マルウェア型であるとも言われており、LotL攻撃への警戒が高まっています。
LotL攻撃の主な手口
LotL攻撃は、もともとシステムに搭載されているツールや機能を利用するため、その手口は多様です。例えば、WMI (Windows Management Instrumentation)や PowerShell などのシステム管理ツールの悪用が挙げられます。
WMIは本来、システムの情報取得やリモート操作・監視などを行うための機能です。攻撃者は、WMIを使ってリモートでコマンドを実行してシステムの設定を改ざんしたり、密かに情報を収集したりします。
PowerShellは、Windowsに標準搭載されているスクリプトの実行や自動化のための環境です。攻撃者は、PowerShellスクリプトを作成してシステムの内部でマルウェアを拡散したり、権限を昇格させて広範囲へのアクセスを可能にし、情報を盗み出したりします。
このように、LotL攻撃は、システム管理者が日常的に利用する機能やツールを用いて正常な動作に見せかけることで、十分な時間をかけて不正な行為を実行します。
LotL攻撃の対策
LotL攻撃は、正規の機能やツールを巧妙に悪用するため、完全に防ぐことは困難です。しかし、適切なセキュリティ技術の導入により、リスクを軽減できます。
効果的な対策の1つは、EDR(Endpoint Detection and Response)の導入です。EDRは、エンドポイントとなるPCなどのデバイスの挙動を詳細に監視し、不審な活動を検知します。より高度なXDR(Extended Detection and Response)なら、デバイスだけでなくサーバやネットワーク、クラウドなどシステム全体の脅威にも対応可能です。
また、さまざまなログを一元管理して異常を素早く検知できるSIEM(Security Information and Event Management)や、ユーザー・機器の通常の行動パターンを学習し、不自然な動きを検知するUEBA(User and Entity Behavior Analytics)などの技術の導入も有効でしょう。
こうした高度な異常検知の技術を組み合わせて活用することで、LotL攻撃に対する対策の強化が可能です。