Living Off the Land (LOTL)攻撃：セキュリティチームが知っておくべきこと

2024年には、深刻度の高いサイバー攻撃の84%が、 malware、正規のシステムツールを利用しており、脅威の状況が根本的に変化しています。LOTL(Living Off the Land)攻撃は、国家主導のアクターとサイバー犯罪グループの双方にとって、高度な手法から支配的な手法へと進化しました。その魅力は明確で、これらの攻撃は、組織が合法的な管理に依存しているツールそのものを悪用するため、攻撃者が最小限の投資で済む一方で、検知を極めて困難にしています。

セキュリティチームはかつてない課題に直面しています。PowerShell、Windows Management Instrumentation（WMI）、その他の管理ツールが武器となると、従来のセキュリティアプローチは通用しなくなります。最近のVolt Typhoon攻撃は、5年以上にわたり重要インフラへのアクセスを検知されずに維持、これらの手法の壊滅的な潜在能力を実証しました。この現実は、シグネチャベースのアプローチから、振る舞い分析とゼロトラスト原則へと移行し、検出と防御戦略を根本的に見直すことを迫っています。

土地を離れて暮らすとは？

土地に依存した生活とは、脅威アクターが正当なオペレーティングシステムツールや機能を悪用し、通常のシステム動作に紛れ込むことで検知を回避しながら悪意のある活動を行うサイバー攻撃手法である。カスタムマルウェアを展開する代わりに マルウェア を配布するのではなく、標的システムに既に存在する信頼されたバイナリやスクリプトを活用します。この手法により、攻撃者のデジタル痕跡を大幅に削減しつつ、ステルス性と持続性を最大限に高めることが可能となります。

LOTL攻撃の有効性は、根本的なセキュリティ課題に起因する。すなわち、管理ツールの正当な使用と悪意ある使用を区別することである。システム管理者がPowerShellでサーバーを管理する場合、攻撃者が偵察や横方向移動に同じツールを使用する場合と全く同じように見える。この曖昧さが検知の死角を生み、攻撃者はこれを容赦なく悪用する。最近の分析によれば、こうした手法は現在、深刻度の高い攻撃の84%に現れており、従来の マルウェアベースの侵入手法からの完全なパラダイムシフトを示している。

ファイルレスマルウェアと混同されることが多いが マルウェア マルウェア、LOTLは正当なツールの悪用に特化した特定のサブセットである。 マルウェア、メモリのみに存在するインプラントやレジストリベースの永続化を含む、ディスクへの書き込みを回避するあらゆる攻撃を包含する。しかしLOTL攻撃は、特に信頼されたシステムバイナリやスクリプトを悪用するため、特に陰湿である。この区別は検知戦略において重要であり、LOTLの手法には従来のファイルスキャンではなく振る舞い が必要となる。

LOTL 攻撃は、IT オペレーションの根幹を武器化するため、組織は苦戦を強いられています。すべての Windows システムには、PowerShell、WMI、その他何十もの管理ツールが含まれており、正当なオペレーションを麻痺させることなく無効にすることはできません。このため、攻撃者はこれらのツールを悪用する独創的な方法を見つけるだけでよく、防御者はあらゆる潜在的なベクトルを保護しなければならないという非対称的な優位性が生まれます。

LOLBinsの説明

Living Off the Land バイナリ(LOLBin)とは、攻撃者が悪意のある活動に再利用する正規のシステム実行ファイルです。これらのバイナリは、オペレーティングシステムや一般的にインストールされているソフトウェアに同梱されており、有効なデジタル署名を持ち、正当な管理機能を果たします。セキュリティ・ソフトウェアは通常、これらのバイナリを暗黙のうちに信頼しているため、これらのバイナリの両用性は完璧な攻撃ツールとなっている。LOLBASプロジェクトは現在、攻撃に悪用できる200以上のWindowsバイナリを文書化しており、定期的に新しい手法が発見されています。

PowerShell は、最近の遠隔測定データによると、LOTL 攻撃の 71% に登場し、LOLBin の状況を支配しています。PowerShellの強力なスクリプト機能、リモート実行機能、および深いシステム・アクセスは、攻撃者のスイス・アーミー・ナイフとなっています。PowerShellの他にも、WMIは永続化メカニズムやラテラルムーブ機能を提供し、certutil.exeのようなツールはファイルのダウンロードやエンコード操作を可能にします。バックグラウンド転送を管理するために設計されたbitsadmin.exeのような一見無害なユーティリティでさえ、ステルス的なデータ流出の武器となる。

LOLBinの悪用は、攻撃者が新しいテクニックを発見するにつれて進化し続けている。最新のキャンペーンは、複数の LOLBin を連鎖させ、合法的な管理ワークフローを反映した複雑な攻撃フローを作成します。この進化は、攻撃手法としてのLOTLの成熟度を反映しており、日和見的なツールの悪用から、利用可能なシステム・ユーティリティの全領域を悪用する注意深く組織化されたキャンペーンへと移行しています。

LOLBAS、GTFOBins、LOLDrivers、LOLOLとは何ですか？

LOLBinsは土地に依存した攻撃手法の中で最もよく議論される形態ですが、防御側は複数の補完的なカタログを活用し、プラットフォーム横断的な信頼済みツールの悪用を追跡しています。LOLBAS、GTFOBins、LOLDrivers、LOLOLはコミュニティ主導のカタログであり、正当なシステムコンポーネントがLiving Off the Land 攻撃Living Off the Land LOTL）に悪用される方法を記録しています。

攻撃者はマルウェアを導入する代わりに、オペレーティングシステムに既に存在する信頼されたバイナリ、スクリプト、API、およびドライバに依存し、悪意のある活動を通常の動作に溶け込ませる。

これらのプロジェクトは、正当な管理機能がアタックサーフェスとなる箇所を明らかにするため、現代の防御担当者にとって不可欠な参考資料である。セキュリティチームが、どのツールが一般的に悪用されるか、それらの悪用が攻撃者の振る舞いにどう対応するか、そして従来の検知手法がどこで機能不全に陥るかを理解するのに役立つ。

攻撃者が生成AIを用いてLOTLを運用化する手法を確認する

LOLBins、コパイロットの悪用、およびアイデンティティ駆動型LOTL手法を理解することは重要だが、攻撃者がそれらを連鎖させる手法を把握することで初めて防御の洞察が得られる。

このAttack Labsウェビナーでは、当社のセキュリティエンジニアが、現実世界で活用されている生成AIを活用したLOTL (ローレベル・オブ・トラフィック) 攻撃手法を分析します。攻撃者がMicrosoft Copilot for M365を悪用し、偵察活動、特権の悪用、攻撃キャンペーンの実行を加速させる手法を明らかにします。

30分のAttack Labsウェビナーをご覧ください

M365 向け Microsoft Copilot でLiving off the Land を仕掛ける攻撃者

‍

これらの攻撃がどのように機能するか、なぜ従来の制御を回避するのか、そして振る舞い SOCチームの迅速な対応をどのように支援するのかを探ります。

LOLBASとは何か、そして防御側がなぜそれを使用するのか？

LOLBAS（Living Off The Land Binaries, Scripts, and Libraries）は、悪意のある活動に悪用される可能性のある、Microsoft署名付きWindowsコンポーネントを文書化したものです。

これらのバイナリは信頼され、署名され、管理のために広く使用されているため、未知または署名なしの実行ファイルをブロックするように設計されたセキュリティ制御をしばしば回避します。

ディフェンダーはLOLBASに依存する理由は以下の通りである：

信頼された悪用パターンを明らかにする

• LOLBASは、PowerShellやWMIといった日常的なツールが certutil.exeあるいはMicrosoft Teamsでさえ、実行、永続化、横方向の移動のために悪用される可能性がある。

検出工学をサポートします

• 多くのLOLBASエントリはMITRE ATT&CK にマッピングされており、チームが静的な指標に依存する代わりに振る舞い 設計するのに役立ちます。
  

調査の文脈を改善する

• これにより、アナリストは正当なバイナリが非典型的な方法や高リスクな方法で使用されている場合を認識できるようになります。例えば、GUIアプリケーションがコマンドシェルを生成したり、エンコードされたペイロードを実行したりする場合などが該当します。
  

実際には、LOLBASは検出基準を「このバイナリは悪意のあるものか？」から「このバイナリは攻撃者が典型的に用いる方法で動作しているか？」へと移行させる。

GTFOBinsとは何か、そしてそれはいつ重要になるのか？

GTFOBinsは、設定ミスのあるシステムにおいてセキュリティ制御の回避や権限昇格に悪用可能なUNIXおよびLinuxバイナリのカタログです。LOLBASに着想を得ており、日常的なLinux運用に不可欠なネイティブコマンドラインユーティリティに焦点を当てています。

GTFOBinsが重要な理由は以下の通りです：

Linux LOTLの悪用は判別が難しい

• ツールのようなもの cp, 猫, bashまたは 見つける システム管理に不可欠なため、悪意のある使用を正当な活動から分離することが困難である。

特権昇格は中核的なリスクである

• GTFOBinsは、昇格された権限を持つバイナリ（SUIDなど）が、マルウェアを展開せずにルートアクセスを取得するために悪用される方法を文書化しています。 マルウェア.

撤去は選択肢ではない

• これらのユーティリティは基盤となるものであるため、防御側はバイナリを完全にブロックするのではなく、振る舞い 最小権限の徹底に依存しなければならない。

GTFOBinsは、Linuxが主流で管理者アクセスが広く普及しているクラウド、コンテナ、DevOps環境において特に有用です。

LOLDriversとは何ですか？また、なぜLOLBinsとは異なるのですか？

LOLDriversは、脆弱性や悪意のあるWindowsドライバーをカタログ化したもので、カーネルレベルへのアクセスを得るために悪用される可能性があります。 ユーザー空間で動作するLOLBinsとは異なり、ドライバーはオペレーティングシステムやハードウェアと直接やり取りします。

LOLドライバーが異なる理由は：

それらはより高い特権レベルで動作する

• ドライバ悪用は多くのエンドポイントセキュリティ制御を迂回し、オペレーティングシステムそのものを損なう可能性がある。

彼らは異なる搾取方法に依存している

• 攻撃者はドライバーのディスパッチルーチンを悪用し、しばしば経由して デバイス入出力制御関数コードを実行したり、保護機能を無効にしたりするため。

それらを置き換えたり取り消したりするのは難しい

• 最新のWindowsバージョンでは署名付きドライバが必須であるため、既知の脆弱性を持つ署名付きドライバは攻撃者にとって極めて価値が高い。

防御ツールを提供している

• LOLDriversプロジェクトは頻繁にYARA、SIGMA、Sysmonルールを提供し、積極的な検知と調査を可能にします。

LOLDriversの悪用は、オペレーティングシステム自体の信頼モデルを標的とするため、影響力の大きいLOTL手法である。

LOLOLとは何ですか？また、どのようにディレクトリとして使用されるのですか？

LOLOL（Living Off The Living Off The Land）は、複数のLOTLプロジェクトを単一の参照ポイントに集約するメタディレクトリです。単一の悪用カテゴリを記録するのではなく、エコシステムを横断してバイナリ、ドライバー、API、および技術を結びつけます。

LOLOLは以下に使用されます：

複数のLOTLリソースを集約する

• LOLBAS、GTFOBins、LOLDrivers、MalAPI、およびその他のカタログにリンクしており、これらは異なる悪用対象領域を文書化しています。

LOTLの定義を拡大する

• LOLOLには、バイナリを超えた技術が含まれる。例えば、Windows APIの悪用、サンドボックス回避のためのスリープ関数、C2通信や情報漏洩のための信頼されたドメインなどである。

集中化された研究アクセスを提供する

• セキュリティチームは、数十もの個別プロジェクトを操作することなく、より広範なLOTL環境を探索できます。

LOLOLは防御担当者に、LOTLが単一の技術ではなく、バイナリ、ドライバ、API、インフラストラクチャにまたがる信頼された悪用の連続体であることを理解させるのに役立ちます。

なぜこれがLOTL検出にとって重要なのか

LOLBAS、GTFOBins、LOLDrivers、LOLOLは、なぜLiving Off the Land 従来のセキュリティ対策をかいくぐるのかを共に示している。攻撃者は外部から新たなアーティファクトを持ち込むのではなく、既に存在するものを悪用しているのだ。

効果的な防御には以下が必要である：

• ファイルベース検出ではなく振る舞い
  
• プロセス間関係、権限、および実行フローにおけるコンテキスト
  
• 信頼できるコンポーネントが存在するかどうかだけでなく、その使用方法に関する可視性

これが、現代のLOTL防御が、現実的に除去できないツールをブラックリスト化するのではなく、行動、シーケンス、意図に焦点を当てる理由である。

LOTL攻撃の仕組み

LOTL 攻撃は、合法的な IT オペレーションを反映した、注意深く組織化された段階を経て展開されるため、検知は非常に困難です。攻撃者は、多くの場合 フィッシング や脆弱性の悪用から始まり、その後すぐに正規のツールを使用するようになります。この移行は、悪意のある行為が日常的な管理と見分けがつかなくなるため、従来の検知がしばしば失敗する決定的な瞬間となります。

最初の実行フェーズでは、信頼されたプロセスを利用して足がかりを作ります。攻撃者は、PowerShellを使用して追加のスクリプトをダウンロードしたり、WMIを使用してリモートでコードを実行したり、スケジュールされたタスクを悪用して永続化したりします。どのアクションも、セキュリティツールが本質的に信頼する、署名された正規のバイナリを使用します。この信頼関係が攻撃の基礎となり、従来の防御が盲点となる中、脅威行為者はほぼ平然と活動できるようになる。

永続化メカニズムはLOTL技術の創造性を示す。従来のマルウェアをインストールする代わりに マルウェア をインストールする代わりに、攻撃者は正当なスケジュールされたタスクを改変したり、WMIイベントのサブスクリプションを作成したり、レジストリの実行キーを操作したりします。これらの改変は既存のシステム構成にシームレスに溶け込み、再起動後も存続し、場合によっては修復試行さえも回避することがあります。Volt Typhoon 持続性は、これらの技術が適切に実装された場合にどれほど効果的であるかを示しています。

LOTL テクニックによるラテラルムーブは、企業ネットワークの相互接続性を悪用します。攻撃者は、PowerShell リモーティング、WMI 接続、またはリモート・デスクトップ・プロトコルを使用してシステム間を拡散し、各ホップは正当な管理活動のように見せかけます。攻撃者は、キャッシュされた認証情報を活用し、信頼関係を悪用し、サービスアカウントを悪用して、従来の悪用ツールを展開することなくアクセスを拡大します。このアプローチにより、脅威当事者は運用上のセキュリティを維持しながら、複雑なネットワークをナビゲートできるようになります。

攻撃者がコパイロットやネイティブツールを悪用してLOTLキャンペーンを加速させる手法と、SOCチームが影響発生前にこの検知 方法を学びましょう。

ウェビナーを視聴する： Microsoft Copilot for M365を活用した攻撃者の 「現地資源活用型攻撃」

土地に依存した攻撃はどのように進行するのか

現地調達型攻撃では、通常、発見と偵察が最初の段階となる。攻撃者は、環境のマッピング、高価値システムの特定、セキュリティ制御の把握のために、net、nltest、dsqueryなどのWindows組み込みコマンドに依存する。PowerShellコマンドレットは詳細なホストおよびドメイン情報を提供し、WMIクエリはインストール済みソフトウェア、実行中のプロセス、システム構成を明らかにする。

特権の昇格 は、従来のエクスプロイトではなく、正規ツールの脆弱性や設定ミスを利用する。攻撃者は、ユーザーアカウント制御(UAC)バイパス技術などのWindows機能を悪用したり、サービス権限を悪用したり、トークン操作を活用したりする。このようなツールは schtasks.exe そして sc.exe スケジュールされたタスクやサービスを操作することで、特権の昇格を可能にする。これらのテクニックは、多くの場合、複数のLOLBinを連鎖させ、検出を回避する高度なエスカレーション・パスを作成します。

防御回避は、LOTL 攻撃の核となる価値提案である。攻撃者は、正当な管理者コマンドを使用してセキュリティ・ツールを無効にし、イベント・ログを wevtutil.exeまた、信頼されたプロセスへのプロセスインジェクションによって活動を難読化します。また、PowerShellのメモリ内で直接コードを実行する機能を活用し、ディスクベースの検出を完全に回避します。最近のキャンペーンでは、Windows Defender自身の除外機能を悪用して、悪意のある活動のための安全な隠れ家を作ることさえあります。

土地に依存した生活による攻撃は、実際にはどのように展開されるのか？

土地に依存した攻撃は、よく知られた手順を踏むことが多いが、カスタムツールではなく正当なシステムツールのみに依存する。 マルウェア。以下の例は、信頼されたユーティリティがライフサイクル全体で悪用される様子を示すため、MITRE ATT&CKにマッピングされた単一のLOTL攻撃経路を説明している。

1. PowerShellによる初期実行（MITRE ATT&CK: コマンドおよびスクリプトインタプリタ – T1059）。攻撃者はPowerShellを利用し、.NET Frameworkを介してメモリ内で直接エンコードまたは難読化されたコマンドを実行する。これにより、多くのシグネチャベース防御を回避するファイルレス実行が可能となる。
   
2. ネイティブのWindowsユーティリティを使用したペイロード取得（MITRE ATT&CK: 侵入ツール転送 – T1105）。 組み込みツールなど certutil.exe または bitsadmin.exe 外部インフラからスクリプトやペイロードをダウンロードし、攻撃者が新たな実行ファイルを導入せずに現地のリソースを活用できるようにする。
   
3. スケジュールまたはイベントベースの実行による持続性（MITRE ATT&CK: Scheduled Task/Job – T1053）。信頼された組み込みのWindowsメカニズムを通じてアクセスを維持するため、繰り返し実行を保証する手段としてスケジュールされたタスクまたはWMIイベントサブスクリプションが使用される。
   
4. 管理ツールを用いたラテラルムーブ（MITRE ATT&CK: 横方向の移動 – T1021）。攻撃者はWMIやPsExecを活用してリモートシステム上でコマンドを実行し、悪意のある活動を正当なIT管理と区別しにくくする。
   
5. 信頼されたプロセスの悪用による防御回避（MITRE ATT&CK: 偽装 – T1036）。 正当なバイナリファイルなど ランドル32.exe または regsvr32.exe 悪意のあるロジックを実行するために信頼されたプロセス名で悪用され、セキュリティ制御による検知を回避する。
   
6. 標準ネットワークチャネルを介したデータアクセスおよび流出（MITRE ATT&CK: 代替プロトコルによる流出 – T1048）。データは一般的なサービスと暗号化されたトラフィックを利用して中継・流出され、攻撃者の活動を通常のネットワーク動作に溶け込ませる。
   

この例は、LOTL攻撃が検知しにくい理由を示している：あらゆる行動が、通常の企業環境内で妥当なタスクを実行する想定内のツールを使用しているからだ。

アタックチェーンの例

LOTL のテクニックを実際に示す、実際の攻撃シークエンスを考えてみよう。この攻撃は、ユーザが フィッシングを受け取るところから始まります。この文書を開くと、マクロを通じて PowerShell コマンドが実行され、メモリ上に直接スクリプトがダウンロードされ実行されます。この最初の足がかりは、正規のOfficeとPowerShellの機能のみを使用し、従来のアンチウイルス検知を回避する。

を使用してスケジュールされたタスクを作成することで、攻撃者は永続性を確立する。 schtasks.exe正規のファイルの代替データストリームに格納されたPowerShellスクリプトを実行するように設定されている。そして ヌルテスト, ネットグループそしてPowerShellのActive Directoryモジュールでドメイン構造をマッピングし、管理者アカウントを特定する。すべてのアクティビティは、標準的なシステム管理タスクとして表示されます。

横方向の移動では、攻撃者はWMIを使用してリモートシステム上でコマンドを実行し、従来のマルウェアを展開することなくネットワーク全体に拡散する。 マルウェア。PowerShellを使用してLSASSメモリにアクセスし認証情報を抽出すると、リモートデスクトップやPowerShellリモート操作といった正当なツールでそれらを利用します。データのステージングは certutil.exe エンコードと bitsadmin.exe にとって 滲出正規のツールだけを使用して攻撃チェーンを完成させる。

LOTLのテクニックとツールの種類

LOTLの武器庫には、その主な機能によって分類された膨大な数のテクニックがある。 アタックチェーン.システム・バイナリのプロキシ実行は、MITRE ATT&CK テクニック T1218 として文書化されており、最も汎用性の高いカテゴリの 1 つです。これらの技法は、正当なバイナリを悪用し、アプリケーションのホワイトリストやその他のセキュリティ制御をバイパスして、悪意のあるコードの実行をプロキシします。一般的な例は以下の通りです。 ランドル32.exe 悪意のあるDLLを実行するため、 regsvr32.exe セキュリティ管理を迂回するため mshta.exe 悪意のあるスクリプトを含むHTAファイルを実行する。

コマンドとスクリプト・インタープリタは、攻撃者に強力な自動化機能とリモート実行機能を提供する、もう一つの重要なカテゴリーを形成している。ユビキタスな PowerShell 以外にも、攻撃者は以下のものを活用しています。 コマンドエグゼ バッチスクリプトの実行に使用します、 wscript.exe そして cscript.exe VBScriptやJScript、さらには msbuild.exe 悪意のあるプロジェクト・ファイルを実行するためのものです。それぞれのインタプリタがユニークな機能と回避の機会を提供するため、攻撃者は環境の制約とセキュリティ制御に基づいてテクニックを適応させることができます。

Windows Management Instrumentation (WMI)は、強力な管理フレームワークとして、また壊滅的な攻撃ベクトルとして、特に注目に値する。WMIは、リモート・コードの実行、イベント・サブスクリプションによる永続化、および包括的なシステム偵察を可能にします。攻撃者はWMIを、最初の侵害から次のような攻撃まで、あらゆることに利用します。 wmic.exe プロセスの作成から、WMIイベント・コンシューマを介した長期的な永続化まで。企業管理におけるフレームワークの正当な使用は、悪意のあるWMI活動を検出することを特に困難にしている。

スケジューリングされたタスクとジョブは、システムのリブートに耐える信頼性の高い永続化メカニズムを提供し、多くの場合、検出を回避する。攻撃者は schtasks.exe を使ってスケジュールされたタスクを作成する、 アットエグゼ 後方互換性攻撃にはPowerShellのジョブスケジューリング・コマンドレットを、高度な自動化にはPowerShellのジョブスケジューリング・コマンドレットを使用します。これらのメカニズムは、合法的な管理自動化と完璧に融合しており、悪意のあるタスクを振る舞い 分析なしで特定することを困難にしています。

最も使用されたLOLBins

PowerShellは、その柔軟性と現代のWindows環境への深い統合性により、Living off the Land（LOTL）攻撃手法において圧倒的な存在感を示している。LOTL攻撃の約71%で利用されており、最も頻繁に悪用されるネイティブツールとなっている。

PowerShellは完全なスクリプトおよび自動化フレームワークとして、攻撃者にリモート実行機能とシステム内部への広範なアクセス権限を提供する。.NET Frameworkとの緊密な統合により、高度なメモリ内実行、動的コードロード、およびフォレンジック痕跡を最小限に抑えるリフレクションベースの手法が可能となる。

PowerShellは正当な管理や自動化に広く利用されているため、防御側が振る舞い と使用状況のベースラインを適用しない限り、悪意のある活動は正常な操作に紛れ込みやすい。

LOTL攻撃時に一般的に悪用される他のLOLBinsにはどのようなものがありますか？

PowerShell以外にも、攻撃者は攻撃の異なる段階を支えるために、信頼された少数のWindowsバイナリに依存している。

• ランドル32.exe そして regsvr32.exe 悪意のあるDLLやスクリプトを実行するために一般的に使用され、正当なシステムプロセスとして表示される。
  
• mshta.exe HTMLアプリケーション（HTA）ファイルの実行を可能にし、埋め込まれたスクリプトを含みます。初期実行やペイロード配信によく使用されます。
  
• bitsadmin.exeバックグラウンドでのファイル転送用に設計されたこの機能は、データのダウンロードや外部への流出に耐性のあるメカニズムを提供し、再起動後も永続的に動作します。

これらのバイナリにより、攻撃者はカスタムマルウェアを展開することなく完全な攻撃チェーンを構築できる マルウェアをデプロイすることなく、完全な攻撃チェーンを構築することを可能にします。以下の表は、最も一般的に悪用されるLOLBins、その典型的なエクスプロイトパターン、および実用的な検知上の考慮事項をまとめたものです。

LOTL攻撃が成功するのは、これらのバイナリが信頼され、署名され、運用上不可欠なためである。脅威は振る舞いあり、ツール自体ではなく、コンテキストと実行によって定義される。

クラウドネイティブのLOTLテクニック

クラウド環境は、その管理ツールと API を通じて新たな LOTL の機会をもたらします。AWS CLIは、認証情報が侵害された場合に強力な攻撃ベクトルとなり、攻撃者はリソースの列挙、S3バケットからのデータの流出、さらには暗号通貨マイニングインスタンスのスピンアップさえ可能にする。このツールはクラウド管理のために合法的に使用されているため、悪意のある行為を見分けるのは非常に困難です。攻撃者は、リモートコード実行のためにAWS Systems Managerを活用し、サーバーレス永続化のためにLambda関数を悪用し、特権昇格のためにIAMパーミッションを悪用することができる。

Azure環境は、Azure PowerShellとAzure CLIの悪用で同様の課題に直面しています。攻撃者はこれらのツールを使用して、Azure Active Directoryを列挙し、機密性の高い認証情報を含むKey Vaultsにアクセスし、Azure AD Connectを介してクラウドとオンプレミスのリソース間をラテラルムーブメントします。Azure Resource Manager APIは、悪用されるとクラウドテナントの完全な侵害を可能にする強力な機能を提供します。最近の攻撃では、永続化のためにAzure Automationのランブックを使用し、サプライチェーン攻撃のためにAzure DevOpsのパイプラインを使用する洗練されたテクニックが実証されています。

Google Cloud Platformは、gcloud SDKとCloud Shellを通じて独自のLOTL（Living-in-the-Layer）攻撃機会を提供します。攻撃者はこれらのツールを悪用し、GCPプロジェクト全体での偵察活動を行い、Cloud Functionsを悪用してサーバーレス マルウェア ホスティングに悪用し、Cloud Buildを暗号通貨マイニング活動に利用します。GCPサービス間の統合により、コンピューティング、ストレージ、IDシステムにまたがる攻撃経路が生み出されます。組織がマルチクラウド戦略を採用するにつれ、クラウドネイティブなLOTL手法は進化を続け、従来のセキュリティツールでは効果的に監視が困難な複雑なアタックサーフェスを形成しています。

LOTL攻撃の実際

実際のLOTLキャンペーンは、業界を問わず、このテクニックの破壊的な効果を実証している。その Volt Typhoonキャンペーンは、中国の国家に支援されたアクターによるもので、LOTL 技術のみを使用して重要なインフラへのアクセスを 5 年以上にわたって維持し、前例のない成功を収めました。CISA、NSA、FBIの合同勧告によると、このグループは米国全土の電気通信、エネルギー、輸送、水システムを標的としていました。彼らの忍耐強いアプローチは、広範囲にわたる偵察、慎重な横方向への移動、最小限の対外的なコミュニケーションによって発覚を回避するものであった。

金銭的な動機に基づく脅威グループであるFIN7は、自動車および小売セクターを標的としたキャンペーンにおいて、洗練されたLOTLテクニックを取り入れるよう戦術を進化させました。FIN7 の活動は、サイバー犯罪集団が金銭的利益を得るためにいかに国家的手法を採用しているかを示しています。FIN7 は、PowerShell ベースのバックドアと WMI を永続的に使用することで、決済処理システムへの長期的なアクセスを維持しました。彼らのキャンペーンは、犯罪技術とスパイ技術の融合を示すものであり、LOTL は以前は国家行為者にのみ許されていた運用上のセキュリティを提供しています。

医療機関は LOTL 攻撃に対して特に脆弱であり、このような手法による侵害のコストは、1 件あたり平均 1,093 万ドルに上ります。医療機関は、複雑な IT 環境、レガシーシステム、および重要な性質を持つため、魅力的な標的となっています。ランサムウェア・グループは、暗号化ペイロードを展開する前に、最初のアクセスやラテラルムーブにLOTL テクニックを使用することが増えています。LOTL テクニックによって可能になる長時間の滞留時間により、攻撃者は機密性の高い患者データを特定し、流出させることができるため、身代金要求のためのレバレッジを最大限に高めることができます。

APT29(Cozy Bear) や Stealth Falcon のような高度な持続的脅威グループは、LOTL のテクニックをほぼ完璧なまでに洗練させています。APT29 の作戦は、PowerShell、WMI、および長期的な持続性を実現するためのスケジュールされたタスクを巧みに使用しています。Stealth Falcon の最近のキャンペーンは、クロステナント攻撃のためのクラウド管理ツールを悪用した、クラウドネイティブな LOTL テクニックの進化を示しています。これらのグループの成功は、防御意識が高まっているにもかかわらず、LOTL テクニックがいかに持続的なオペレーションを可能にしているかを浮き彫りにしています。

業界特有の影響

医療機関は、その独自の運用要件により、LOTL 攻撃による壊滅的な影響を経験しています。組み込み Windows システムを実行する医療機器では、患者ケアを中断することなく、PowerShell を簡単に無効にしたり、厳格なアプリケーションのホワイトリストを実装したりすることはできません。電子カルテ(EHR)システムは、自動化と統合のために PowerShell に大きく依存しており、LOTL の悪用にとって理想的な条件を作り出しています。積極的なセキュリティ対策は患者ケアの基準に反する可能性があるためです。

重要インフラ部門は、可用性がセキュリティに優先する運用技術(OT)環境のため、LOTL 手法による存亡の危機に直面しています。産業用制御システムは、セキュリティ制御が制限された旧バージョンの Windows を実行していることが多く、LOTL 攻撃の格好の標的となっています。IT と OT ネットワークの融合により攻撃対象が拡大する一方で、レガシーシステムは永続的な脅威にとって格好の隠れ場所となっています。5年間続いたVolt Typhoon 持続性は、攻撃者がいかに忍耐強く、壊滅的な破壊工作を行うことができるかを示しています。

金融サービス企業は、成熟したセキュリティ・プログラムにもかかわらず、LOTL 攻撃に悩まされています。この分野では、自動化のために PowerShell が多用され、複雑な Active Directory 環境が構築され、多数のサードパーティとの接続が行われているため、LOTL 攻撃の機会が豊富に存在します。攻撃者は、直接的な窃盗だけでなく、金融機関の顧客に対するサプライチェーン攻撃も標的としています。LOTL 攻撃の成功による風評被害は、特に顧客データが漏洩した場合、直接的な金銭的損失を上回る可能性があります。

LOTL 攻撃の検出と防止

効果的な LOTL 防御には、シグネチャ・ベースの検知から、振る舞い 分析と異常検知への根本的な移行が必要である。組織は、通常の管理ツールの使用に関する包括的なベースラインを確立し、悪意のある活動を示唆する逸脱に対して警告を発しなければなりません。このアプローチには、広範なロギング、高度な分析、正当な操作パターンの深い理解が必要です。課題は、同じツールやテクニックを使用している場合に、正当な管理と悪意のある不正使用を区別することにある。

ロギングの強化は LOTL 検出の基盤を形成しますが、ほとんどの組織では PowerShell、WMI、およびコマンドラインのアクティビティに対する十分な可視性が確保されていません。PowerShell ScriptBlock ロギングは、スクリプトの内容を完全にキャプチャし、難読化の試みと悪意のあるペイロードを明らかにします。WMIアクティビティロギングにより、永続化メカニズムや横の動きが明らかになります。コマンドライン・プロセス監査は、疑わしいツール使用のコンテキストを提供します。しかし、生成されるデータ量が多いため、セキュリティ・チームを圧倒することなく脅威を特定するには、高度な分析が必要です。

アプリケーションのホワイトリスト化と制御ポリシーは、LOTL 手法に対する予防的防御を提供する。攻撃者は正当なツールを悪用しますが、その使用を許可された担当者やコンテキストに制限することで、攻撃対象領域を大幅に削減できます。PowerShell Constrained Language Mode は、管理機能を維持しながらスクリプト機能を制限します。AppLocker または Windows Defender アプリケーション制御ポリシーは、ユーザー、パス、および発行者の基準に基づいてツールの実行を制限します。これらのコントロールは、正当なオペレーションを中断させないために、慎重な実装が必要です。

ゼロトラスト・アーキテクチャの原則は、暗黙の信頼を排除することで、LOTL技術に対する包括的な防御を提供します。すべてのツール実行、ネットワーク接続、データアクセスは、ソースに関係なく明示的な検証を必要とします。マイクロセグメンテーションはラテラルムーブメントの機会を制限し、特権アクセス管理はツールの利用を制限します。ゼロトラスト・アプローチは、境界防御がLOTL技術に対して有効ではないことを認識し、悪意のあるアクティビティがどこで発生しても、それを封じ込め、検出することに重点を置いています。

XDR (Extended Detection and Response) プラットフォームは、エンドポイント、ネットワーク、クラウド環境全体のシグナルを相関させ、複数のシステムにまたがる LOTL 攻撃を特定します。ツールの使用パターン、ネットワーク通信、ユーザーの振る舞いを総合的に分析することで、XDR ソリューションは、個々のセキュリティ・ツールが見逃してしまう可能性のある攻撃の連鎖を特定することができます。ネットワーク検知とレスポンス機能は、LOTL 手法が生み出すラテラルムーブメントやコマンド&コントロール通信を特定する上で特に有用です。

検出技術

攻撃の指標(IOA)は、従来の侵害の指標(IOC)と比較して、LOTL テクニックに優れた検出機能を提供します。IOC はファイル・ハッシュや IP アドレスのような特定のアーティファクトに焦点を当てますが、IOA は悪意のある活動を示唆する振る舞い パターンを特定します。例えば、暗号化されたコマンドで実行されるPowerShell、リモート・プロセスを作成するWMI、一時ディレクトリから実行されるスケジュールされたタスクなどがあります。IOA ベースの検出は、テクニックのバリエーションに適応し、進化する LOTL 攻撃に対して弾力的な防御を提供します。

振る舞いベースラインは、管理ツールの通常の使用パターンを確立し、LOTL 攻撃を示唆する異常なアクティビティを検出できるようにします。セキュリティ・チームは、さまざまなユーザ・ロールとシステムにわたって、正当な PowerShell の使用、WMI アクティビティ・パターン、およびスケジュールされたタスクの作成をプロファイリングする必要があります。機械学習アルゴリズムは、これらのベースラインからの逸脱を識別し、調査のために潜在的な攻撃にフラグを立てることができます。このアプローチでは、正当な使用パターンがビジネス要件とともに進化するため、継続的な改良が必要です。

メモリベースの検知技術は、ディスクに触れずに完全にメモリ内で動作するLOTL攻撃を特定します。高度なエンドポイント検知ツールは、プロセスメモリを監視し、注入されたコード、反射的DLLロード、悪意のある.NETアセンブリをホストするPowerShellなどの不審なパターンを検出します。これらの技術は、従来のアンチウイルスでは見逃される高度なLOTL攻撃を特定できます。ただし、メモリ分析を効果的に実施するには、膨大な処理リソースと専門知識が必要です。

AI主導の検知手法は、ルールベースのシステムが見逃してしまう高度なLOTLテクニックを特定する上で有望である。正規および悪意のあるツールの使用に関する膨大なデータセットで訓練された機械学習モデルは、攻撃を示す微妙なパターンを識別することができます。自然言語処理は、難読化に関係なく悪意のある PowerShell スクリプトを分析します。ディープラーニングモデルは、複数の弱いシグナルを相関させて、信頼性の高い脅威を検知します。最近の実装では、LOTL検出率が47%向上したと報告されていますが、誤検出の管理は依然として困難です。

予防のベストプラクティス

最小特権の原則は、ツールへのアクセスを正当な目的で必要とするユーザーとシステムに限定することで、LOTL 攻撃の対象範囲を根本的に縮小します。一般ユーザはPowerShellアクセス権を持つべきではなく、管理者は管理タスク用に別のアカウントを使用すべきである。サービスアカウントは、特定の機能に合わせた最小限のパーミッションを必要とします。管理ツールにジャスト・イン・タイム・アクセスを導入することで、暴露窓口をさらに減らすことができます。このアプローチは、攻撃者が悪用する強力なシステム・ツールへのアクセスを誰もが必要とするわけではないことを認めるものです。

PowerShell のセキュリティ設定は、LOTL 攻撃の成功に大きく影響します。制約言語モードは、管理機能を維持しながら、悪意のある PowerShell テクニックのほとんどを防ぎます。実行ポリシーは、セキュリティの境界ではありませんが、攻撃の難易度を高めます。コード署名要件は、承認されたスクリプトのみが実行されることを保証します。Malware Scan Interface)の統合により、リアルタイムのスクリプト分析が可能になります。これらの構成は、正当な自動化を阻害しないよう、慎重なテストが必要です。

アプリケーション制御ポリシーは、LOTL テクニックに対する防御バリアを作成する。ソフトウェア制限ポリシー、AppLocker、または Windows Defender アプリケーションコントロールは、様々な基準に基づいてツールの実行を制限します。ポリシーは、PowerShell を特定のユーザに制限したり、WMI の使用を許可された管理者に制限したり、一時ディレクトリからの実行を防止したりします。実装には、ビジネスの中断を避けるために、合法的なツールの使用状況を包括的に把握する必要がある。定期的なポリシーの更新は、セキュリティを維持しながら、新しい合法的なユースケースに対応します。

ネットワーク・セグメンテーションは、システム間の通信を制限することにより、LOTL のラテラルムーブメントの機会を制限する。クリティカルアセットは、厳密なアクセス制御が施された隔離されたネットワークセグメントに存在すべきである。東西トラフィックの検査により、セグメントの境界を越える不審なツールの使用を特定する。マイクロセグメンテーションは、このコンセプトを個々のワークロードの分離にまで拡張します。このアプローチは、成功した LOTL 攻撃を封じ込め、単一のシステム侵害による企業全体の侵害を防止します。

パープル・チーム演習

LOTL 攻撃シミュレーションは、実際の攻撃が発生する前に、検知能力を検証し、防御のギャップを特定します。パープル・チームの演習では、実際に観測された LOTL テクニックを再現し、攻撃チェーン全体にわたる検知とレスポンスをテストする必要があります。シミュレーションには、PowerShell ダウンロードクレードル、WMI パーシステンス、スケジュールされたタスクの作成などが含まれます。各演習は、検知ルールのチューニングやセキュリティ・チームのトレーニングのための貴重なデータを提供する。

検知の検証方法は、過剰な誤検知を発生させることなく、セキュリティ対策が LOTL 技術を効果的に 識別することを保証する。チームは、悪意のあるツールと正当なツールの両方に対して検出ルールをテストし、検出率と誤検出率を測定する。自動化されたテストフレームワークは、環境の変化に応じて検知能力を継続的に検証できる。検証プロセスにより、追加の制御や構成の変更を必要とする検出の盲点が明らかになる。

継続的な改善サイクルは、演習結果と新たな脅威に基づいて LOTL 防御を改善する。各パープルチームの演習は、予防、検知、対応能力を向上させるための教訓を生み出す。セキュリティチームは、平均検知 時間や誤検知率などの指標を長期的に追跡する。定期的な再評価により、攻撃者の技術とともに防御も進化するようにする。反復的なアプローチは、LOTL 防御が 1 回限りの実装ではなく、継続的な改良を必要とすることを認識する。

LOTLとコンプライアンスの枠組み

LOTL テクニックは、MITRE ATT&CK フレームワークの複数のテクニックに対応しており、攻撃のライフサイクル全体を包括的にカバーする必要があります。System Binary Proxy Execution(T1218)は、防御回避のための rundll32 や regsvr32 の悪用のようなテクニックを網羅しています。Command and Scripting Interpreter (T1059) PowerShell、cmd、その他のインタプリタの悪用をカバーします。Windows Management Instrumentation (T1047) は、WMI ベースの攻撃を扱います。Scheduled Task/Job (T1053)は、タスクスケジューリングによる永続化を含みます。それぞれのテクニックは、特定の検知と緩和戦略を必要とします。

NIST サイバーセキュリティフレームワークのコントロールは、LOTL攻撃に対する構造的な防御を提供する。DE.AE-3 は、複数のシステムにわたる LOTL 攻撃パターンを特定するために、イベントの集約と相関を要求している。DE.CM-1 は、ラテラルムーブとコマンド・アンド・コントロール通信を検出するためのネットワーク監視を義務付けている。DE.CM-7 は、LOTL 技術が生成する未承認のソフトウェアおよび接続の監視に重点を置く。DE.CM-7 は、LOTL 手法が生成する未承認のソフトウェアと接続の監視に重点を置いています。

CIS コントロールの整合性により、LOTL 攻撃の成功率を低下させる基本的なセキュリティ対策が確保される。コントロール 2(ソフトウェア資産のインベントリと管理)は、攻撃者が悪用する可能性のある未承認のツールを特定する。コントロール 4(管理者権限の使用管理)は、強力な LOLBin へのアクセスを制限する。コントロール 6(監査ログの保守、監視、分析)は、包括的なロギングによって LOTL の検出を可能にする。コントロール 8Malware 防御)は、LOTL 固有の検出機能を含むべきである。

ゼロトラスト・アーキテクチャの原則は、LOTL防御のための最も包括的なフレームワークを提供します。「決して信頼せず、常に検証する」という理念は、デュアルユースのシステムツールにも完全に当てはまります。PowerShell実行、WMIクエリ、スケジュールされたタスクの作成はすべて、ソースに関係なく明示的な検証が必要です。継続的な検証により、正当な資格情報であっても、無制限のLOTL攻撃を可能にすることはできません。ゼロトラストは、従来の境界防御が、ネットワーク内から正当なツールを使用する攻撃者に対しては機能しないことを認識しています。

MITRE ATT&CK カバレッジ

その MITRE ATT&CKフレームワークの包括的なテクニックドキュメントは、LOTL の防御戦略をガイドします。各テクニックには、詳細な説明、実際の事例、検知の推奨事項、緩和戦略が含まれています。セキュリティチームは、脅威インテリジェンスと環境要因に基づいて防御の優先順位を付けながら、環境の LOTL リスクを関連する技法にマッピングする必要があります。このフレームワークは生きているため、新たな LOTL テクニックの出現に伴い、カバー範囲も進化します。

LOTL 技術に対する検知の推奨は、シグネチャベースのアプローチよりも、振る舞い 監視を重視すること。T1218(System Binary Proxy Execution)では、疑わしい親子関係やコマンドラインパラメータがないか、プロセスの作成を監視する。T1059(Command and Scripting Interpreter)の検出では、エンコードされたコマンド、疑わしいスクリプトの内容、異常なインタープリタの使用法に注目します。T1047(WMI) 検出では、WMI アクティビティのロギングと WMI 永続化メカニズムの分析が必要です。T1053(Scheduled Tasks)検知は、タスクの作成、変更、実行パターンを監視します。

ミティゲーション戦略は、LOTL の攻撃対象領域を減らすために予防的な制御を重ねます。アプリケーションのホワイトリスト化による実行防止は、許可されていないツールの使用をブロックする。特権アカウント管理により、管理ツールにアクセスできるユーザを制限します。監査ポリシーの設定により、検知のための包括的なロギングを保証する。ネットワークのセグメンテーションにより、成功した攻撃を阻止します。Windows 10 以降のエクスプロイト保護機能は、特定の LOTL 手法に対する追加のバリアを提供します。レイヤーアプローチは、単一のコントロールですべての LOTL 攻撃を阻止することはできないことを認識するものです。

LOTL防衛への現代的アプローチ

AI振る舞い 検知は、LOTL防御の最先端を行くもので、機械学習を活用して微妙な攻撃パターンを特定します。最新のプラットフォームは、何百万ものイベントを分析して基本動作を確立し、LOTL 攻撃を示唆する異常を特定します。これらのシステムは、エンドポイント、ネットワーク、クラウド環境にわたる弱いシグナルを相関させ、従来のツールが見逃していた攻撃チェーンを特定します。AI アプローチは、ルールの継続的な更新を必要とせずに進化する技術に適応し、新しい LOTL 亜種に対する弾力的な防御を提供します。

クラウドネイティブ・セキュリティ・プラットフォームは、クラウド環境における LOTL の検出という独自の課題に対処します。これらのソリューションは、クラウド API 呼び出しを監視し、クラウドネイティブなツールの使用状況を分析し、マルチクラウドのデプロイメント全体のアクティビティを相関させます。AWS CLIやAzure PowerShellのようなツールの正当な使用パターンを理解し、従来のセキュリティ・ツールが見逃していた不正使用を特定します。クラウド・プロバイダーのセキュリティ・サービスと統合することで、インフラとアプリケーションの両方のレイヤーを包括的に可視化できる。

自動化された脅威ハンティングは、人手を介さずに攻撃指標を継続的に検索することで、LOTL検知に革命をもたらします。これらのシステムは、洗練されたハントクエリを実行し、結果を分析し、疑わしい発見を調査のためにエスカレーションします。通常とは異なる PowerShell の使用、不審な WMI アクティビティ、または数千のシステムにわたる異常なスケジュール・タスクのような LOTL テクニックを同時に特定することができます。自動化により、手作業によるハンティングでは不可能な規模でのプロアクティブな脅威検知が可能になります。

LOTL 技術に特化して調整された機械学習による異常検知は、顕著な可能性を示している。正規および悪意のあるツールの使用に関する膨大なデータセットで訓練されたモデルは、誤検出を最小限に抑えながら、高い精度で攻撃を識別することができる。最近の実装では、ルールベースのシステムと比較して検出率が 47%向上したと報告されています。この技術は進化を続けており、新しいモデルにはスクリプト分析のための自然言語処理や、攻撃の関係を理解するためのグラフ・ニューラル・ネットワークが組み込まれています。

NDR、EDR、XDRを統合することで、企業全体にわたる包括的なLOTL可視化を実現します。エンドポイント検出は、ツールの実行とプロセスの動作を特定します。ネットワーク検出は、ラテラルムーブメントとコマンドアンドコントロール通信を明らかにします。拡張検出は、あらゆるソースからのシグナルを相関させ、複雑な攻撃チェーンを特定します。この統合アプローチにより、監視の盲点を突いて単一のLOTL手法が検出を逃れることを防ぎます。

Vectra AI がLOTL検出をどのようにVectra AI

Vectra AIは、Attack Signal Intelligence™を通じてLOTL検知にアプローチします。AI主導の振る舞い分析を活用し、ネットワーク、クラウド、アイデンティティドメイン全体にわたる正規ツールの悪意ある利用を特定します。すぐに陳腐化するシグネチャやルールに頼るのではなく、このプラットフォームは正常な行動パターンを学習し、LOTL攻撃を示唆する逸脱を特定します。このアプローチは、特定のツールや手法ではなく、攻撃者の振る舞いに焦点を当てているため、LOTL手法に対して特に効果的です。

ハイブリッド環境全体にわたるプラットフォームの統合検知機能は、LOTLの包括的な可視性を確保します。攻撃者がオンプレミスでPowerShellを使用する場合でも、クラウドでAWS CLIを悪用する場合でも、Azure ADをパーシスタンスのために悪用する場合でも、Vectra AIはこれらの活動を統合された攻撃ナラティブに関連付けます。この包括的なビューにより、単独では無害に見えるLOTL攻撃チェーンが、相関関係にあると明らかに悪意のあるアクティビティであることが示されます。このアプローチは、現代のLOTL攻撃が複数の環境にまたがり、効果的に特定するには統合検知が必要であることを認識しています。

今後の動向と新たな考察

サイバーセキュリティの状況は急速に進化を続けており、新たな課題の最前線には、土地を離れて生活する技術があります。今後 12～24 カ月の間に、組織は LOTL 攻撃の実施と防御の方法を再構築するいくつかの重要な進展に備える必要があります。

クラウドネイティブの LOTL 手法は、組織がクラウド変革の旅を続けるにつれて広まるだろう。攻撃者は、クラウド管理プレーン、サーバーレス・コンピューティング・プラットフォーム、コンテナ・オーケストレーション・ツールを悪用する洗練された手法を開発している。TerraformやCloudFormationのようなInfrastructure as Code (IaC)ツールを悪用した永続化と横展開が増加すると予想される。クラウドセキュリティの責任共有モデルは、攻撃者が正規のクラウド管理ツールを使用してますます悪用するギャップを生み出す。

人工知能は、LOTL攻撃と防御の両方に変革をもたらすだろう。攻撃者は AI を利用して、新しい LOLBin テクニックを自動的に発見し、検出を回避するポリモーフィック・スクリプトを生成し、環境を介した攻撃経路を最適化する。逆に、防御側はAIを活用して、振る舞い 分析の改善、自動脅威ハンティング、予測脅威モデリングを行うようになるだろう。このAIの軍拡競争は、LOTLテクニックの進化のペースを加速させ、防御戦略の継続的な適応を必要とする。

規制の枠組みは、特に重要なインフラ部門に対して、特定の LOTL 検出機能を義務付ける可能性が高い。Volt Typhoonような著名な攻撃を受けて、各国政府は従来のコンプライアンスフレームワークでは LOTL 脅威への対応が不十分であることを認識しつつあります。組織は、PowerShell ロギング、振る舞い アナリティクスの実装、および脅威ハンティング・プログラムの義務化に関する要件に備える必要があります。規制の状況は世界的に細分化され、多国籍企業にとってコンプライアンス上の課題が生じる可能性が高い。

攻撃者は、ソフトウェア・ベンダーやマネージド・サービス・プロバイダを侵害することによる多重効果を認識しているため、サプライチェーンLOTL 攻撃は増加すると考えられます。このような攻撃は、最初の侵害ポイントから下流のターゲットに移動する間、ステルス性を維持するために LOTL テクニックを使用します。SolarWinds 社の攻撃はこの可能性を示したものであり、今後のキャンペーンではこれらのテクニックがさらに洗練されるでしょう。企業は、サードパーティのアクセスやソフトウェア・アップデートのメカニズムも含めて、LOTL の検出を拡張する必要があります。

量子コンピューティングの進展は、LOTL 防御、特に暗号保護や安全な通信に影響を与える可能性があります。完全な量子コンピューティングの脅威が発生するのはまだ数年先のことですが、古典的な LOTL 技術と量子暗号解読を組み合わせたハイブリッド攻撃が早期に出現する可能性もあります。組織は、強力な LOTL 防御を維持しながら、ポスト量子暗号への移行計画を開始する必要があります。

結論

Living Off the Land攻撃は、サイバー脅威の状況における根本的な変化であり、従来のセキュリティアプローチを時代遅れにするものである。現在、深刻度の高い攻撃の84%がこのような手法を採用しており、脅威行為者は何年もの間、検知されずに持続性を維持しているため、組織はもはやシグネチャ・ベースの防御や境界セキュリティに頼ることはできない。この課題は技術的なものだけでなく、哲学的なものであり、セキュリティ・チームは脅威の検知と防御に対するアプローチ全体を再考する必要がある。

今後の取り組みには、可視性の向上、振る舞い分析、そしてゼロトラスト原則の組み合わせが不可欠です。組織は、PowerShell、WMI、コマンドラインアクティビティの包括的なログ記録を実装するとともに、異常なパターンを特定するための高度な分析を導入する必要があります。アプリケーション制御ポリシーと特権アクセス管理によって攻撃対象領域を縮小し、ネットワークセグメンテーションによって侵入を阻止します。最も重要なのは、セキュリティチームがリアクティブからプロアクティブへと移行し、継続的な脅威ハンティングとパープルチーム演習を実施して防御を検証することです。

LOTL技術は進化を続けており、特にクラウド環境やAIを活用した攻撃においては、この脅威はますます深刻化していくでしょう。防御策を適応させられない組織は、数百万ドル規模の侵害や業務中断に見舞われる被害者の仲間入りを果たすリスクが高まります。しかし、行動検知を導入し、ゼロトラスト・アーキテクチャを実装し、綿密な監視を維持することで、高度なLOTL攻撃に対しても効果的に防御することが可能です。

問題は、組織がLOTL攻撃に直面するか否かではありません。攻撃が到来した際に、貴組織が準備を整えているか否かです。まずは管理ツールの使用状況に対する現在の可視性を評価し、強化されたログ記録と振る舞い を導入してください。さらに、Vectra AI Signal Intelligence™のようなプラットフォームが、こうしたステルス脅威を特定するために必要な統合型検知をどのように提供できるかを検討すべきです。攻撃者が貴組織の領域内で活動する時代において、防御も同様に適応性と知性を備えていなければなりません。