Living Off the Land （LOTL）攻撃：セキュリティチームが知っておくべきこと

2024年には、深刻度の高いサイバー攻撃の84%が、 malware、正規のシステムツールを利用しており、脅威の状況が根本的に変化しています。LOTL（Living Off the Land）攻撃は、国家アクターとサイバー犯罪グループの双方にとって、高度な手法から支配的な手法へと進化しました。その魅力は明確で、これらの攻撃は、組織が合法的な管理に依存しているツールそのものを悪用するため、攻撃者が最小限の投資で済む一方で、検知を極めて困難にしています。

セキュリティ・チームは前例のない課題に直面している。PowerShell、Windows Management Instrumentation (WMI)、その他の管理ツールが武器となったとき、従来のセキュリティ・アプローチは失敗に終わる。最近のVolt Typhoon キャンペーンは、5年以上にわたって重要インフラへの未検出のアクセスを維持し、これらの技術の壊滅的な可能性を実証しました。この現実は、シグネチャ・ベースのアプローチを超えて、振る舞い 分析やzero trust 原則へと移行する、検知・防御戦略の完全な再考を要求している。

土地を離れて暮らすとは？

この「Living off the Land」とは、脅威者が正規のオペレーティング・システム・ツールや機能を悪用して悪意のある活動を行い、通常のシステム操作に紛れ込ませて検知を回避するサイバー攻撃手法のことです。攻撃者は、セキュリティ・ツールが警告を発するようなmalware 展開するのではなく、標的システム上にすでに存在する信頼できるバイナリやスクリプトを活用します。このアプローチにより、攻撃者のデジタルフットプリントは劇的に削減され、同時にステルス性と持続性が最大化されます。

LOTL 攻撃の有効性は、管理ツールの合法的な使用と悪意のある使用の区別という基本的なセキュリティ上の課題に起因しています。システム管理者が PowerShell を使用してサーバを管理する場合、攻撃者が同じツールを使用して偵察や横の動きを行うのと同じように見えます。この曖昧さが、攻撃者が無慈悲に利用する検知の盲点を生み出している。最近の分析によると、このような手法は現在、重大度の高い攻撃の84%に見られ、従来のmalware侵入とは完全にパラダイムシフトしています。

malware混同されることも多いが、LOTL は、合法的なツールを悪用することだけに焦点を絞った特定のサブセットである。 malware、メモリのみのインプラントやレジストリベースの永続化など、ディスクへの書き込みを回避するあらゆる攻撃を含みます。しかし、LOTL攻撃は、特に信頼できるシステム・バイナリやスクリプトを悪用するため、特に狡猾です。LOTL 攻撃は、従来のファイル・スキャンではなく、振る舞い 分析を必要とするため、この区別は検出戦略にとって重要です。

LOTL 攻撃は、IT オペレーションの根幹を武器化するため、組織は苦戦を強いられています。すべての Windows システムには、PowerShell、WMI、その他何十もの管理ツールが含まれており、正当なオペレーションを麻痺させることなく無効にすることはできません。このため、攻撃者はこれらのツールを悪用する独創的な方法を見つけるだけでよく、防御者はあらゆる潜在的なベクトルを保護しなければならないという非対称的な優位性が生まれます。

LOLBinsの説明

Living Off the Land バイナリ（LOLBin）とは、攻撃者が悪意のある活動に再利用する正規のシステム実行ファイルです。これらのバイナリは、オペレーティングシステムや一般的にインストールされているソフトウェアに同梱されており、有効なデジタル署名を持ち、正当な管理機能を果たします。セキュリティ・ソフトウェアは通常、これらのバイナリを暗黙のうちに信頼しているため、これらのバイナリの両用性は完璧な攻撃ツールとなっている。LOLBASプロジェクトは現在、攻撃に悪用できる200以上のWindowsバイナリを文書化しており、定期的に新しい手法が発見されています。

PowerShell は、最近の遠隔測定データによると、LOTL 攻撃の 71% に登場し、LOLBin の状況を支配しています。PowerShellの強力なスクリプト機能、リモート実行機能、および深いシステム・アクセスは、攻撃者のスイス・アーミー・ナイフとなっています。PowerShell 以外にも、WMI は永続化メカニズムと横方向の移動機能を提供し、certutil.exe のようなツールはファイルのダウンロードとエンコード操作を可能にします。バックグラウンド転送を管理するために設計されたbitsadmin.exeのような一見無害なユーティリティでさえ、ステルス的なデータ流出の武器となる。

LOLBinの悪用は、攻撃者が新しいテクニックを発見するにつれて進化し続けている。最新のキャンペーンは、複数の LOLBin を連鎖させ、合法的な管理ワークフローを反映した複雑な攻撃フローを作成します。この進化は、攻撃手法としてのLOTLの成熟度を反映しており、日和見的なツールの悪用から、利用可能なシステム・ユーティリティの全領域を悪用する注意深く組織化されたキャンペーンへと移行しています。

LOTL攻撃の仕組み

LOTL 攻撃は、合法的な IT オペレーションを反映した、注意深く組織化された段階を経て展開されるため、検知は非常に困難です。攻撃者は、多くの場合 フィッシング や脆弱性の悪用から始まり、その後すぐに正規のツールを使用するようになります。この移行は、悪意のある行為が日常的な管理と見分けがつかなくなるため、従来の検知がしばしば失敗する決定的な瞬間となります。

最初の実行フェーズでは、信頼されたプロセスを利用して足がかりを作ります。攻撃者は、PowerShellを使用して追加のスクリプトをダウンロードしたり、WMIを使用してリモートでコードを実行したり、スケジュールされたタスクを悪用して永続化したりします。どのアクションも、セキュリティツールが本質的に信頼する、署名された正規のバイナリを使用します。この信頼関係が攻撃の基礎となり、従来の防御が盲点となる中、脅威行為者はほぼ平然と活動できるようになる。

永続性のメカニズムは、LOTL テクニックの創造性を示すものです。攻撃者は、アラートをトリガーするような従来のmalware インストールするのではなく、正規のスケジュールタスクを変更したり、WMI イベントサブスクリプションを作成したり、レジストリの実行キーを操作したりします。これらの変更は、既存のシステム構成にシームレスに溶け込み、多くの場合、再起動や修復の試みにさえ耐えることができます。Volt Typhoon キャンペーンの5年間にわたる持続性は、これらの手法が適切に実行された場合にいかに効果的であるかを示しています。

LOTL テクニックによる横方向の移動は、企業ネットワークの相互接続性を悪用します。攻撃者は、PowerShell リモーティング、WMI 接続、またはリモート・デスクトップ・プロトコルを使用してシステム間を拡散し、各ホップは正当な管理活動のように見せかけます。攻撃者は、キャッシュされた認証情報を活用し、信頼関係を悪用し、サービスアカウントを悪用して、従来の悪用ツールを展開することなくアクセスを拡大します。このアプローチにより、脅威当事者は運用上のセキュリティを維持しながら、複雑なネットワークをナビゲートできるようになります。

一般的な攻撃ステージ

ディスカバリーと 偵察 は、成功する LOTL キャンペーンの基礎となるものです。攻撃者は ネット, ヌルテストそして ディスクエリ を使用して、ネットワーク・トポロジーをマップし、価値の高いターゲットを特定し、セキュリティ制御を理解することができます。PowerShellコマンドレットは詳細なシステム情報を提供し、WMIクエリーはインストールされたソフトウェア、実行中のプロセス、セキュリティ・コンフィギュレーションを明らかにします。この情報収集の段階は、攻撃者が辛抱強く包括的なネットワーク理解を構築するため、数週間にも及ぶことがよくあります。

特権の昇格 は、従来のエクスプロイトではなく、正規ツールの脆弱性や設定ミスを利用する。攻撃者は、ユーザーアカウント制御（UAC）バイパス技術などのWindows機能を悪用したり、サービス権限を悪用したり、トークン操作を活用したりする。このようなツールは schtasks.exe そして sc.exe スケジュールされたタスクやサービスを操作することで、特権の昇格を可能にする。これらのテクニックは、多くの場合、複数のLOLBinを連鎖させ、検出を回避する高度なエスカレーション・パスを作成します。

防御回避は、LOTL 攻撃の核となる価値提案である。攻撃者は、正当な管理者コマンドを使用してセキュリティ・ツールを無効にし、イベント・ログを wevtutil.exeまた、信頼されたプロセスへのプロセスインジェクションによって活動を難読化します。また、PowerShellのメモリ内で直接コードを実行する機能を活用し、ディスクベースの検出を完全に回避します。最近のキャンペーンでは、Windows Defender自身の除外機能を悪用して、悪意のある活動のための安全な隠れ家を作ることさえあります。

アタックチェーンの例

LOTL のテクニックを実際に示す、実際の攻撃シークエンスを考えてみよう。この攻撃は、ユーザが フィッシングを受け取るところから始まります。この文書を開くと、マクロを通じて PowerShell コマンドが実行され、メモリ上に直接スクリプトがダウンロードされ実行されます。この最初の足がかりは、正規のOfficeとPowerShellの機能のみを使用し、従来のアンチウイルス検知を回避する。

を使用してスケジュールされたタスクを作成することで、攻撃者は永続性を確立する。 schtasks.exe正規のファイルの代替データストリームに格納されたPowerShellスクリプトを実行するように設定されている。そして ヌルテスト, ネットグループそしてPowerShellのActive Directoryモジュールでドメイン構造をマッピングし、管理者アカウントを特定する。すべてのアクティビティは、標準的なシステム管理タスクとして表示されます。

攻撃者は、WMIを使用してリモート・システム上でコマンドを実行し、従来のmalware展開することなくネットワーク全体に拡散します。攻撃者は、LSASSメモリにアクセスするためにPowerShellを使用して認証情報を抽出し、その認証情報をリモート・デスクトップやPowerShellリモーティングなどの正規ツールで使用します。データのステージングは certutil.exe エンコードと bitsadmin.exe にとって 滲出正規のツールだけを使用して攻撃チェーンを完成させる。

LOTLのテクニックとツールの種類

LOTLの武器庫には、その主な機能によって分類された膨大な数のテクニックがある。 アタックチェーン.システム・バイナリのプロキシ実行は、MITRE ATT&CK テクニック T1218 として文書化されており、最も汎用性の高いカテゴリの 1 つです。これらの技法は、正当なバイナリを悪用し、アプリケーションのホワイトリストやその他のセキュリティ制御をバイパスして、悪意のあるコードの実行をプロキシします。一般的な例は以下の通りです。 ランドル32.exe 悪意のあるDLLを実行するため、 regsvr32.exe セキュリティ管理を迂回するため mshta.exe 悪意のあるスクリプトを含むHTAファイルを実行する。

コマンドとスクリプト・インタープリタは、攻撃者に強力な自動化機能とリモート実行機能を提供する、もう一つの重要なカテゴリーを形成している。ユビキタスな PowerShell 以外にも、攻撃者は以下のものを活用しています。 コマンドエグゼ バッチスクリプトの実行に使用します、 wscript.exe そして cscript.exe VBScriptやJScript、さらには msbuild.exe 悪意のあるプロジェクト・ファイルを実行するためのものです。それぞれのインタプリタがユニークな機能と回避の機会を提供するため、攻撃者は環境の制約とセキュリティ制御に基づいてテクニックを適応させることができます。

Windows Management Instrumentation (WMI)は、強力な管理フレームワークとして、また壊滅的な攻撃ベクトルとして、特に注目に値する。WMIは、リモート・コードの実行、イベント・サブスクリプションによる永続化、および包括的なシステム偵察を可能にします。攻撃者はWMIを、最初の侵害から次のような攻撃まで、あらゆることに利用します。 wmic.exe プロセスの作成から、WMIイベント・コンシューマを介した長期的な永続化まで。企業管理におけるフレームワークの正当な使用は、悪意のあるWMI活動を検出することを特に困難にしている。

スケジューリングされたタスクとジョブは、システムのリブートに耐える信頼性の高い永続化メカニズムを提供し、多くの場合、検出を回避する。攻撃者は schtasks.exe を使ってスケジュールされたタスクを作成する、 アットエグゼ 後方互換性攻撃にはPowerShellのジョブスケジューリング・コマンドレットを、高度な自動化にはPowerShellのジョブスケジューリング・コマンドレットを使用します。これらのメカニズムは、合法的な管理自動化と完璧に融合しており、悪意のあるタスクを振る舞い 分析なしで特定することを困難にしています。

最も使用されたLOLBins

PowerShell の LOTL における優位性は、その比類なき機能とユビキタスな展開を反映しています。LOTL 攻撃の 71% に登場する PowerShell は、完全なプログラミング環境、リモート実行機能、および深いシステムアクセスを攻撃者に提供します。また、.NET Frameworkとの統合により、高度なインメモリオペレーションが可能になる一方、企業の自動化における合法的な使用は、悪意のある活動の完璧な隠れ蓑となります。攻撃者は、最初の侵害からデータの流出まで、あらゆることにPowerShellを活用しており、LOLBinsの至宝となっています。

Certutil.exeは、元々は証明書管理のために設計されたが、ファイル操作のために一般的に悪用される、デュアルユースの課題を例証している。攻撃者は、リモート・サーバーからのファイルのダウンロード、ペイロードのエンコードとデコード、さらには暗号操作の実行にcertutilを使用する。すべてのWindowsシステム上に合法的に存在し、有効なMicrosoft署名があるため、セキュリティ制御をバイパスするための理想的なツールとなっている。最近のキャンペーンでは、コマンド・アンド・コントロールのための通信チャネルとして使用するなど、ますます独創的なcertutilの悪用が見られる。

残りの上位のLOLBinは、それぞれ特定の攻撃目的を果たす。Rundll32.exeは、正当なWindowsプロセスのように見せかけながら、悪意のあるDLLの実行を可能にします。Regsvr32.exe は、スクリプトの実行機能によってアプリケーションのホワイトリストを回避します。Mshta.exe は、複雑な攻撃ロジックを含む可能性のある HTA ファイルを実行します。Bitsadmin.exeは、再起動後も持続するダウンロードとアップロード機能を提供します。これらのツールを組み合わせることで、malware必要としない包括的な攻撃ツールキットを形成します。

クラウドネイティブのLOTLテクニック

クラウド環境は、その管理ツールと API を通じて新たな LOTL の機会をもたらします。AWS CLIは、認証情報が侵害された場合に強力な攻撃ベクトルとなり、攻撃者はリソースの列挙、S3バケットからのデータの流出、さらには暗号通貨マイニングインスタンスのスピンアップさえ可能にする。このツールはクラウド管理のために合法的に使用されているため、悪意のある行為を見分けるのは非常に困難です。攻撃者は、リモートコード実行のためにAWS Systems Managerを活用し、サーバーレス永続化のためにLambda関数を悪用し、特権昇格のためにIAMパーミッションを悪用することができる。

Azure環境は、Azure PowerShellとAzure CLIの悪用で同様の課題に直面しています。攻撃者はこれらのツールを使用して、Azure Active Directoryを列挙し、機密性の高い認証情報を含むKey Vaultsにアクセスし、Azure AD Connectを介してクラウドとオンプレミスのリソース間を横移動します。Azure Resource Manager APIは、悪用されるとクラウドテナントの完全な侵害を可能にする強力な機能を提供します。最近の攻撃では、永続化のためにAzure Automationのランブックを使用し、サプライチェーン攻撃のためにAzure DevOpsのパイプラインを使用する洗練されたテクニックが実証されています。

Google Cloud Platformは、gcloud SDKとCloud Shellを通じてユニークなLOTLの機会を提供します。攻撃者は、GCPプロジェクト全体の偵察のためにこれらのツールを悪用し、malware ためにCloud Functionsを悪用し、クリプトマイニング操作のためにCloud Buildを活用します。GCPサービス間の統合により、コンピュート、ストレージ、IDシステムにまたがる攻撃経路が形成されます。クラウドネイティブのLOTL技術は、組織がマルチクラウド戦略を採用するにつれて進化を続け、従来のセキュリティツールが効果的に監視するのに苦労する複雑な攻撃面を作り出しています。

LOTL攻撃の実際

実際の LOTL キャンペーンは、業界を問わず、この手法の破壊的な有効性を実証しています。Volt Typhoon キャンペーンは、中国の国家に支援されたアクターによるもので、LOTL の手法のみを使用して重要なインフラへのアクセスを 5 年以上にわたって維持し、前例のない成功を収めました。CISA、NSA、FBIの合同勧告によると、このグループは米国全土の電気通信、エネルギー、輸送、水システムを標的としていました。彼らの忍耐強いアプローチは、広範囲にわたる偵察、慎重な横方向への移動、最小限の対外的なコミュニケーションによって発覚を回避するものであった。

金銭的な動機に基づく脅威グループであるFIN7は、自動車および小売セクターを標的としたキャンペーンにおいて、洗練されたLOTLテクニックを取り入れるよう戦術を進化させました。FIN7 の活動は、サイバー犯罪集団が金銭的利益を得るためにいかに国家的手法を採用しているかを示しています。FIN7 は、PowerShell ベースのバックドアと WMI を永続的に使用することで、決済処理システムへの長期的なアクセスを維持しました。彼らのキャンペーンは、犯罪技術とスパイ技術の融合を示すものであり、LOTL は以前は国家行為者にのみ許されていた運用上のセキュリティを提供しています。

医療機関は LOTL 攻撃に対して特に脆弱であり、このような手法による侵害のコストは、1 件あたり平均 1,093 万ドルに上ります。医療機関は、複雑な IT 環境、レガシーシステム、および重要な性質を持つため、魅力的な標的となっています。ランサムウェア・グループは、暗号化ペイロードを展開する前に、最初のアクセスや横方向の移動にLOTL テクニックを使用することが増えています。LOTL テクニックによって可能になる長時間の滞留時間により、攻撃者は機密性の高い患者データを特定し、流出させることができるため、身代金要求のためのレバレッジを最大限に高めることができます。

APT29 (Cozy Bear) や Stealth Falcon のような高度な持続的脅威グループは、LOTL のテクニックをほぼ完璧なまでに洗練させています。APT29 の作戦は、PowerShell、WMI、および長期的な持続性を実現するためのスケジュールされたタスクを巧みに利用しています。Stealth Falcon の最近のキャンペーンは、クロステナント攻撃のためのクラウド管理ツールを悪用した、クラウドネイティブな LOTL テクニックの進化を示しています。これらのグループの成功は、防御意識が高まっているにもかかわらず、LOTL テクニックがいかに持続的なオペレーションを可能にしているかを浮き彫りにしています。

業界特有の影響

医療機関は、その独自の運用要件により、LOTL 攻撃による壊滅的な影響を経験しています。組み込み Windows システムを実行する医療機器では、患者ケアを中断することなく、PowerShell を簡単に無効にしたり、厳格なアプリケーションのホワイトリストを実装したりすることはできません。電子カルテ（EHR）システムは、自動化と統合のために PowerShell に大きく依存しており、LOTL の悪用にとって理想的な条件を作り出しています。積極的なセキュリティ対策は患者ケアの基準に反する可能性があるため、データの可用性に関するこの分野の規制要件は、防御をさらに複雑にしています。

重要インフラ部門は、可用性がセキュリティに優先する運用技術（OT）環境のため、LOTL 手法による存亡の危機に直面しています。産業用制御システムは、セキュリティ制御が制限された旧バージョンの Windows を実行していることが多く、LOTL 攻撃の格好の標的となっています。IT と OT ネットワークの融合により攻撃対象が拡大する一方で、レガシーシステムは永続的な脅威にとって格好の隠れ場所となっています。5年間続いたVolt Typhoon 持続性は、攻撃者がいかに忍耐強く、壊滅的な破壊工作を行うことができるかを示しています。

金融サービス企業は、成熟したセキュリティ・プログラムにもかかわらず、LOTL 攻撃に悩まされています。この分野では、自動化のために PowerShell が多用され、複雑な Active Directory 環境が構築され、多数のサードパーティとの接続が行われているため、LOTL 攻撃の機会が豊富に存在します。攻撃者は、直接的な窃盗だけでなく、金融機関の顧客に対するサプライチェーン攻撃も標的としています。LOTL 攻撃の成功による風評被害は、特に顧客データが漏洩した場合、直接的な金銭的損失を上回る可能性があります。

LOTL 攻撃の検出と防止

効果的な LOTL 防御には、シグネチャ・ベースの検知から、振る舞い 分析と異常検知への根本的な移行が必要である。組織は、通常の管理ツールの使用に関する包括的なベースラインを確立し、悪意のある活動を示唆する逸脱に対して警告を発しなければなりません。このアプローチには、広範なロギング、高度な分析、正当な操作パターンの深い理解が必要です。課題は、同じツールやテクニックを使用している場合に、正当な管理と悪意のある不正使用を区別することにある。

ロギングの強化は LOTL 検出の基盤を形成しますが、ほとんどの組織では PowerShell、WMI、およびコマンドラインのアクティビティに対する十分な可視性が確保されていません。PowerShell ScriptBlock ロギングは、スクリプトの内容を完全にキャプチャし、難読化の試みと悪意のあるペイロードを明らかにします。WMIアクティビティロギングにより、永続化メカニズムや横の動きが明らかになります。コマンドライン・プロセス監査は、疑わしいツール使用のコンテキストを提供します。しかし、生成されるデータ量が多いため、セキュリティ・チームを圧倒することなく脅威を特定するには、高度な分析が必要です。

アプリケーションのホワイトリスト化と制御ポリシーは、LOTL 手法に対する予防的防御を提供する。攻撃者は正当なツールを悪用しますが、その使用を許可された担当者やコンテキストに制限することで、攻撃対象領域を大幅に削減できます。PowerShell Constrained Language Mode は、管理機能を維持しながらスクリプト機能を制限します。AppLocker または Windows Defender アプリケーション制御ポリシーは、ユーザー、パス、および発行者の基準に基づいてツールの実行を制限します。これらのコントロールは、正当なオペレーションを中断させないために、慎重な実装が必要です。

Zero trust アーキテクチャの原則は、暗黙の信頼を排除することにより、LOTL テクニックに対する包括的な防御を提供する。すべてのツールの実行、ネットワーク接続、データアクセスは、ソースに関係なく明示的な検証が必要です。マイクロセグメンテーションによって横方向の移動機会を制限し、特権アクセス管理によってツールの利用可能性を制限します。zero trust 、LOTL 手法に対して境界防御が失敗することを認め、その代わりに、悪意のある活動がどこで発生しても、それを封じ込め、検知することに焦点を当てます。

XDR（Extended Detection and Response）プラットフォームは、エンドポイント、ネットワーク、クラウド環境全体のシグナルを相関させ、複数のシステムにまたがる LOTL 攻撃を特定します。ツールの使用パターン、ネットワーク通信、ユーザーの行動を総合的に分析することで、XDR ソリューションは、個々のセキュリティ・ツールが見逃してしまう可能性のある攻撃の連鎖を特定することができます。ネットワーク検出とレスポンス機能は、LOTL 手法が生み出す横方向の動きやコマンド・アンド・コントロール通信を特定する上で特に有用です。

検出技術

攻撃の指標（IOA）は、従来の侵害の指標（IOC）と比較して、LOTL テクニックに優れた検出機能を提供します。IOC はファイル・ハッシュや IP アドレスのような特定のアーティファクトに焦点を当てますが、IOA は悪意のある活動を示唆する振る舞い パターンを特定します。例えば、暗号化されたコマンドで実行されるPowerShell、リモート・プロセスを作成するWMI、一時ディレクトリから実行されるスケジュールされたタスクなどがあります。IOA ベースの検出は、テクニックのバリエーションに適応し、進化する LOTL 攻撃に対して弾力的な防御を提供します。

振る舞いベースラインは、管理ツールの通常の使用パターンを確立し、LOTL 攻撃を示唆する異常なアクティビティを検出できるようにします。セキュリティ・チームは、さまざまなユーザ・ロールとシステムにわたって、正当な PowerShell の使用、WMI アクティビティ・パターン、およびスケジュールされたタスクの作成をプロファイリングする必要があります。機械学習アルゴリズムは、これらのベースラインからの逸脱を識別し、調査のために潜在的な攻撃にフラグを立てることができます。このアプローチでは、正当な使用パターンがビジネス要件とともに進化するため、継続的な改良が必要です。

メモリベースの検出技術により、ディスクに触れることなく完全にメモリ内で動作する LOTL 攻撃を特定します。高度なエンドポイント検出ツールは、注入されたコード、リフレクティブ DLL ロード、悪意のある .NET アセンブリをホストする PowerShell などの疑わしいパターンについて、プロセスメモリを監視します。これらの技術は、従来のアンチウイルスが見逃していた高度な LOTL 攻撃を特定することができます。しかし、メモリ解析を効果的に実行するには、かなりの処理リソースと専門知識が必要です。

AI主導の検知手法は、ルールベースのシステムが見逃してしまう高度なLOTLテクニックを特定する上で有望である。正規および悪意のあるツールの使用に関する膨大なデータセットで訓練された機械学習モデルは、攻撃を示す微妙なパターンを識別することができます。自然言語処理は、難読化に関係なく悪意のある PowerShell スクリプトを分析します。ディープラーニングモデルは、複数の弱いシグナルを相関させて、信頼性の高い脅威を検知します。最近の実装では、LOTL検出率が47%向上したと報告されていますが、誤検出の管理は依然として困難です。

予防のベストプラクティス

最小特権の原則は、ツールへのアクセスを正当な目的で必要とするユーザーとシステムに限定することで、LOTL 攻撃の対象範囲を根本的に縮小します。一般ユーザはPowerShellアクセス権を持つべきではなく、管理者は管理タスク用に別のアカウントを使用すべきである。サービスアカウントは、特定の機能に合わせた最小限のパーミッションを必要とします。管理ツールにジャスト・イン・タイム・アクセスを導入することで、暴露窓口をさらに減らすことができます。このアプローチは、攻撃者が悪用する強力なシステム・ツールへのアクセスを誰もが必要とするわけではないことを認めるものです。

PowerShell のセキュリティ設定は、LOTL 攻撃の成功に大きく影響します。制約言語モードは、管理機能を維持しながら、悪意のある PowerShell テクニックのほとんどを防ぎます。実行ポリシーは、セキュリティの境界ではありませんが、攻撃の難易度を高めます。コード署名要件は、承認されたスクリプトのみが実行されることを保証します。Malware Scan Interface）の統合により、リアルタイムのスクリプト分析が可能になります。これらの構成は、正当な自動化を阻害しないよう、慎重なテストが必要です。

アプリケーション制御ポリシーは、LOTL テクニックに対する防御バリアを作成する。ソフトウェア制限ポリシー、AppLocker、または Windows Defender アプリケーションコントロールは、様々な基準に基づいてツールの実行を制限します。ポリシーは、PowerShell を特定のユーザに制限したり、WMI の使用を許可された管理者に制限したり、一時ディレクトリからの実行を防止したりします。実装には、ビジネスの中断を避けるために、合法的なツールの使用状況を包括的に把握する必要がある。定期的なポリシーの更新は、セキュリティを維持しながら、新しい合法的なユースケースに対応します。

ネットワーク・セグメンテーションは、システム間の通信を制限することにより、LOTL の横移動の機会を制限する。クリティカルアセットは、厳密なアクセス制御が施された隔離されたネットワークセグメントに存在すべきである。東西トラフィックの検査により、セグメントの境界を越える不審なツールの使用を特定する。マイクロセグメンテーションは、このコンセプトを個々のワークロードの分離にまで拡張します。このアプローチは、成功した LOTL 攻撃を封じ込め、単一のシステム侵害による企業全体の侵害を防止します。

パープル・チーム演習

LOTL 攻撃シミュレーションは、実際の攻撃が発生する前に検知能力を検証し、防御のギャップを特定します。パープル・チームの演習では、実際に観測された LOTL テクニックを再現し、攻撃チェーン全体にわたる検知と対応をテストする必要があります。シミュレーションには、PowerShell ダウンロードクレードル、WMI パーシステンス、スケジュールされたタスクの作成などが含まれます。各演習は、検知ルールのチューニングやセキュリティ・チームのトレーニングのための貴重なデータを提供する。

検知の検証方法は、過剰な誤検知を発生させることなく、セキュリティ対策が LOTL 技術を効果的に 識別することを保証する。チームは、悪意のあるツールと正当なツールの両方に対して検出ルールをテストし、検出率と誤検出率を測定する。自動化されたテストフレームワークは、環境の変化に応じて検知能力を継続的に検証できる。検証プロセスにより、追加の制御や構成の変更を必要とする検出の盲点が明らかになる。

継続的な改善サイクルは、演習結果と新たな脅威に基づいて LOTL 防御を改善する。各パープルチームの演習は、予防、検知、対応能力を向上させるための教訓を生み出す。セキュリティチームは、平均検知 時間や誤検知率などの指標を長期的に追跡する。定期的な再評価により、攻撃者の技術とともに防御も進化するようにする。反復的なアプローチは、LOTL 防御が 1 回限りの実装ではなく、継続的な改良を必要とすることを認識する。

LOTLとコンプライアンスの枠組み

LOTL テクニックは、MITRE ATT&CK フレームワークの複数のテクニックに対応しており、攻撃のライフサイクル全体を包括的にカバーする必要があります。System Binary Proxy Execution（T1218）は、防御回避のための rundll32 や regsvr32 の悪用のようなテクニックを網羅しています。Command and Scripting Interpreter (T1059) PowerShell、cmd、その他のインタプリタの悪用をカバーします。Windows Management Instrumentation (T1047) は、WMI ベースの攻撃を扱います。Scheduled Task/Job (T1053)は、タスクスケジューリングによる永続化を含みます。それぞれのテクニックは、特定の検知と緩和戦略を必要とします。

NIST サイバーセキュリティフレームワークのコントロールは、LOTL攻撃に対する構造的な防御を提供する。DE.AE-3 は、複数のシステムにわたる LOTL 攻撃パターンを特定するために、イベントの集約と相関を要求している。DE.CM-1 は、横方向の移動とコマンド・アンド・コントロール通信を検出するためのネットワーク監視を義務付けている。DE.CM-7 は、LOTL 技術が生成する未承認のソフトウェアおよび接続の監視に重点を置く。DE.CM-7 は、LOTL 手法が生成する未承認のソフトウェアと接続の監視に重点を置いています。

CIS コントロールの整合性により、LOTL 攻撃の成功率を低下させる基本的なセキュリティ対策が確保される。コントロール 2（ソフトウェア資産のインベントリと管理）は、攻撃者が悪用する可能性のある未承認のツールを特定する。コントロール 4（管理者権限の使用管理）は、強力な LOLBin へのアクセスを制限する。コントロール 6（監査ログの保守、監視、分析）は、包括的なロギングによって LOTL の検出を可能にする。コントロール 8Malware 防御）は、LOTL 固有の検出機能を含むべきである。

Zero Trust アーキテクチャの原則は、LOTL 防御のための最も包括的なフレームワークを提供する。決して信用せず、常に検証する」という哲学は、デュアルユースのシステムツールにも完璧に当てはまります。PowerShell の実行、WMI クエリ、またはスケジュールされたタスクの作成はすべて、ソースに関係なく明示的な検証が必要です。継続的な検証により、正当な認証情報であっても無制限の LOTL 攻撃を可能にすることはできません。Zero trust 、ネットワーク内から正当なツールを使用する攻撃者に対して、従来の境界防御が失敗することを認めています。

MITRE ATT&CK カバレッジ

MITRE ATT&CK フレームワークの包括的なテクニックドキュメントは、LOTL の防御戦略をガイドします。各テクニックには、詳細な説明、実際の事例、検知の推奨事項、緩和戦略が含まれています。セキュリティチームは、脅威インテリジェンスと環境要因に基づいて防御の優先順位を付けながら、環境の LOTL リスクを関連する技法にマッピングする必要があります。このフレームワークは生きているため、新たな LOTL テクニックの出現に伴い、カバー範囲も進化します。

LOTL 技術に対する検知の推奨は、シグネチャベースのアプローチよりも、振る舞い 監視を重視すること。T1218（System Binary Proxy Execution）では、疑わしい親子関係やコマンドラインパラメータがないか、プロセスの作成を監視する。T1059（Command and Scripting Interpreter）の検出では、エンコードされたコマンド、疑わしいスクリプトの内容、異常なインタープリタの使用法に注目します。T1047（WMI） 検出では、WMI アクティビティのロギングと WMI 永続化メカニズムの分析が必要です。T1053（Scheduled Tasks）検知は、タスクの作成、変更、実行パターンを監視します。

ミティゲーション戦略は、LOTL の攻撃対象領域を減らすために予防的な制御を重ねます。アプリケーションのホワイトリスト化による実行防止は、許可されていないツールの使用をブロックする。特権アカウント管理により、管理ツールにアクセスできるユーザを制限します。監査ポリシーの設定により、検知のための包括的なロギングを保証する。ネットワークのセグメンテーションにより、成功した攻撃を阻止します。Windows 10 以降のエクスプロイト保護機能は、特定の LOTL 手法に対する追加のバリアを提供します。レイヤーアプローチは、単一のコントロールですべての LOTL 攻撃を阻止することはできないことを認識するものです。

LOTL防衛への現代的アプローチ

AI振る舞い 検知は、LOTL防御の最先端を行くもので、機械学習を活用して微妙な攻撃パターンを特定します。最新のプラットフォームは、何百万ものイベントを分析して基本動作を確立し、LOTL 攻撃を示唆する異常を特定します。これらのシステムは、エンドポイント、ネットワーク、クラウド環境にわたる弱いシグナルを相関させ、従来のツールが見逃していた攻撃チェーンを特定します。AI アプローチは、ルールの継続的な更新を必要とせずに進化する技術に適応し、新しい LOTL 亜種に対する弾力的な防御を提供します。

クラウドネイティブ・セキュリティ・プラットフォームは、クラウド環境における LOTL の検出という独自の課題に対処します。これらのソリューションは、クラウド API 呼び出しを監視し、クラウドネイティブなツールの使用状況を分析し、マルチクラウドのデプロイメント全体のアクティビティを相関させます。AWS CLIやAzure PowerShellのようなツールの正当な使用パターンを理解し、従来のセキュリティ・ツールが見逃していた不正使用を特定します。クラウド・プロバイダーのセキュリティ・サービスと統合することで、インフラとアプリケーションの両方のレイヤーを包括的に可視化できる。

自動化された脅威ハンティングは、人手を介さずに攻撃指標を継続的に検索することで、LOTL検知に革命をもたらします。これらのシステムは、洗練されたハントクエリを実行し、結果を分析し、疑わしい発見を調査のためにエスカレーションします。通常とは異なる PowerShell の使用、不審な WMI アクティビティ、または数千のシステムにわたる異常なスケジュール・タスクのような LOTL テクニックを同時に特定することができます。自動化により、手作業によるハンティングでは不可能な規模でのプロアクティブな脅威検知が可能になります。

LOTL 技術に特化して調整された機械学習による異常検知は、顕著な可能性を示している。正規および悪意のあるツールの使用に関する膨大なデータセットで訓練されたモデルは、誤検出を最小限に抑えながら、高い精度で攻撃を識別することができる。最近の実装では、ルールベースのシステムと比較して検出率が 47%向上したと報告されています。この技術は進化を続けており、新しいモデルにはスクリプト分析のための自然言語処理や、攻撃の関係を理解するためのグラフ・ニューラル・ネットワークが組み込まれています。

NDR、EDR、XDRの統合により、企業全体の包括的なLOTLの可視性を実現します。エンドポイント検出は、ツールの実行とプロセスの動作を特定します。ネットワーク検知は、横方向の動きとコマンド・アンド・コントロール通信を明らかにします。拡張検知は、すべてのソースにわたるシグナルを相関させ、複雑な攻撃チェーンを特定します。この統合されたアプローチにより、単一の LOTL 手法が監視の死角で動作して検知を回避することはありません。

Vectra AIのLOTL検出に対する考え方

Vectra AIは、Attack Signal Intelligence™を通じてLOTL検知に取り組み、AI主導 振る舞い 分析により、ネットワーク、クラウド、IDの各領域における正規ツールの悪意のある使用を特定します。すぐに陳腐化するシグネチャやルールに依存するのではなく、プラットフォームは正常な動作パターンを学習し、LOTL 攻撃を示す逸脱を識別します。このアプローチは、特定のツールやテクニックではなく、攻撃者の行動に焦点を当てるため、LOTL テクニックに対して特に効果的です。

ハイブリッド環境にまたがるプラットフォームの統合検知により、包括的なLOTLの可視性が確保されます。攻撃者がオンプレミスでPowerShellを使用する場合でも、クラウドでAWS CLIを悪用する場合でも、Azure ADを悪用して永続化する場合でも、Vectra AIはこれらのアクティビティを関連付け、統一された攻撃シナリオを作成します。この全体的なビューにより、LOTL 攻撃の連鎖が明らかになります。これらの連鎖は、単独で見ると良性に見えるかもしれませんが、関連付けると明らかに悪意のある活動を示しています。このアプローチは、最新のLOTL攻撃が複数の環境にまたがっており、効果的に特定するためには統合された検出が必要であることを認めています。

今後の動向と新たな考察

サイバーセキュリティの状況は急速に進化を続けており、新たな課題の最前線には、土地を離れて生活する技術があります。今後 12～24 カ月の間に、組織は LOTL 攻撃の実施と防御の方法を再構築するいくつかの重要な進展に備える必要があります。

クラウドネイティブの LOTL 手法は、組織がクラウド変革の旅を続けるにつれて広まるだろう。攻撃者は、クラウド管理プレーン、サーバーレス・コンピューティング・プラットフォーム、コンテナ・オーケストレーション・ツールを悪用する洗練された手法を開発している。TerraformやCloudFormationのようなInfrastructure as Code (IaC)ツールを悪用した永続化と横展開が増加すると予想される。クラウドセキュリティの責任共有モデルは、攻撃者が正規のクラウド管理ツールを使用してますます悪用するギャップを生み出す。

人工知能は、LOTL攻撃と防御の両方に変革をもたらすだろう。攻撃者は AI を利用して、新しい LOLBin テクニックを自動的に発見し、検出を回避するポリモーフィック・スクリプトを生成し、環境を介した攻撃経路を最適化する。逆に、防御側はAIを活用して、振る舞い 分析の改善、自動脅威ハンティング、予測脅威モデリングを行うようになるだろう。このAIの軍拡競争は、LOTLテクニックの進化のペースを加速させ、防御戦略の継続的な適応を必要とする。

規制の枠組みは、特に重要なインフラ部門に対して、特定の LOTL 検出機能を義務付ける可能性が高い。Volt Typhoonような著名な攻撃を受けて、各国政府は従来のコンプライアンスフレームワークでは LOTL 脅威への対応が不十分であることを認識しつつあります。組織は、PowerShell ロギング、振る舞い アナリティクスの実装、および脅威ハンティング・プログラムの義務化に関する要件に備える必要があります。規制の状況は世界的に細分化され、多国籍企業にとってコンプライアンス上の課題が生じる可能性が高い。

攻撃者は、ソフトウェア・ベンダーやマネージド・サービス・プロバイダを侵害することによる多重効果を認識しているため、サプライチェーンLOTL 攻撃は増加すると考えられます。このような攻撃は、最初の侵害ポイントから下流のターゲットに移動する間、ステルス性を維持するために LOTL テクニックを使用します。SolarWinds 社の攻撃はこの可能性を示したものであり、今後のキャンペーンではこれらのテクニックがさらに洗練されるでしょう。企業は、サードパーティのアクセスやソフトウェア・アップデートのメカニズムも含めて、LOTL の検出を拡張する必要があります。

量子コンピューティングの進展は、LOTL 防御、特に暗号保護や安全な通信に影響を与える可能性があります。完全な量子コンピューティングの脅威が発生するのはまだ数年先のことですが、古典的な LOTL 技術と量子暗号解読を組み合わせたハイブリッド攻撃が早期に出現する可能性もあります。組織は、強力な LOTL 防御を維持しながら、ポスト量子暗号への移行計画を開始する必要があります。

結論

Living Off the Land攻撃は、サイバー脅威の状況における根本的な変化であり、従来のセキュリティアプローチを時代遅れにするものである。現在、深刻度の高い攻撃の84%がこのような手法を採用しており、脅威行為者は何年もの間、検知されずに持続性を維持しているため、組織はもはやシグネチャ・ベースの防御や境界セキュリティに頼ることはできない。この課題は技術的なものだけでなく、哲学的なものであり、セキュリティ・チームは脅威の検知と防御に対するアプローチ全体を再考する必要がある。

そのためには、強化された可視性、振る舞い 分析、zero trust 原則を組み合わせる必要がある。組織は、PowerShell、WMI、およびコマンドライン・アクティビティの包括的なロギングを実装する一方で、異常なパターンを特定するための高度な分析を導入する必要があります。アプリケーション・コントロール・ポリシーと特権アクセス管理は攻撃対象領域を縮小し、ネットワーク・セグメンテーションは侵入の成功を阻止する。最も重要なことは、セキュリティ・チームがリアクティブ（事後対応型）からプロアクティブ（事前対応型）へと移行し、継続的な脅威ハンティングと紫色のチームによる演習を実施して防御を検証することである。

特にクラウド環境やAIによって強化された攻撃など、LOTL技術の進化は、この課題が激化することを意味する。防御の適応に失敗した組織は、数百万ドル規模の侵害や業務妨害に苦しむ被害者のリストに加わるリスクを負うことになる。しかし、振る舞い 検知」を採用し、zero trust 導入し、警戒監視を続ける企業は、巧妙なLOTLキャンペーンからも効果的に防御することができる。

問題は、あなたの組織が LOTL 攻撃に直面するかどうかではなく、LOTL 攻撃が来たときに備えているかどうかです。管理ツールの使用状況に対する現在の可視性を評価することから始め、強化されたロギングと振る舞い 分析を実装し、Vectra AIのAttack Signal Intelligence™のようなプラットフォームが、このようなステルス的な脅威を特定するために必要な統合検出をどのように提供できるかを検討してください。攻撃者があなたの土地で生活している時代には、あなたの防御も同様に適応的でインテリジェントでなければなりません。