【かんきょうきせいがたこうげき】
環境寄生型攻撃(LotL) とは?
💡 家の中の道具だけで空き巣を働く、マルウェア不要の忍者攻撃
📌 このページのポイント
- OSの正規ツールを悪用するためウイルス対策ソフトに検出されにくい
- LOLBins(Living Off the Land Binaries)とも呼ばれる
- PowerShell・wmic・certutil・mshta等が悪用されやすいツールの代表例
- EDR(エンドポイント検知)による振る舞い監視が有効な対策
ひよこ 環境寄生型攻撃って、何が「寄生」しているの?
ペンギン先生 攻撃者がOSにもともと入っている正規のツールを利用して悪いことをする手法だよ。マルウェアを外から持ち込まずに攻撃できるんだ
ひよこ 正規のツールってたとえば何があるの?
ペンギン先生 Windowsなら PowerShell・wmic・certutil・mshta などが代表的だよ。これらは管理者が日常的に使うツールでもあるから、攻撃に使われても怪しまれにくいんだ
ひよこ ウイルス対策ソフトでは検出できないの?
ペンギン先生 マルウェアのファイルを持ち込まないから、従来のシグネチャベースの検出はほとんど効かないよ。だから「ファイルレスマルウェア」と組み合わせて使われることも多いんだ
ひよこ どうやって防げばいいの?
ペンギン先生 EDRという振る舞い監視ツールが効果的だよ。「PowerShellが普段と違う動きをしている」といった異常な行動パターンを検知できるんだ
ひよこ LotLって英語の略語もあるんだね。どういう意味なの?
ペンギン先生 Living Off the Land(現地調達)の略だよ。サバイバルで現地にあるものだけで生き延びるイメージと同じで、攻撃者がターゲット環境にあるツールだけで攻撃を完結させるから、この名前がついたんだ
まとめ:ざっくりこれだけ覚えればOK!
「LotL攻撃」って出てきたら「OSの標準ツールを武器に使う検出困難な攻撃」と思えればだいたいOK!
📖 おまけ:英語の意味
「Living Off the Land」 = 現地調達(で生き延びる)
💬 軍事・サバイバル用語の「現地にあるものだけで生活する」から来ていて、攻撃者が標的環境のツールだけで攻撃することを指すよ