用語集 › 🔒 セキュリティ › 永続化(攻撃手法)
【えいぞくか】

永続化(攻撃手法) とは?

💡 追い出されてもまた入れる「合鍵」をこっそり作る攻撃テクニック
📌 このページのポイント
永続化の仕組み ― 再起動しても消えない仕掛け 侵入 永続化設置 再起動 再接続成功 代表的な永続化テクニック レジストリ改変 起動時に自動実行 されるキーに登録 タスクスケジューラ 定期実行タスクに マルウェアを登録 サービス登録 正規サービスとして OS起動時に自動開始 永続化なし 再起動 → マルウェア消滅 攻撃者はアクセス不能 永続化あり 再起動 → マルウェア自動復活 攻撃者が再びアクセス
永続化(攻撃手法)のイメージ
ひよこ ひよこ

永続化って、攻撃者がずっと居座るってこと?

ペンギン先生 ペンギン先生

その通り。普通、パソコンを再起動したりセキュリティパッチを当てたりすると攻撃者の接続は切れるよね。でも永続化の仕掛けがあると、再起動後も自動的にマルウェアが動き出して、攻撃者がまたアクセスできるようになるんだよ。

ひよこ ひよこ

どんな方法で居座り続けるの?

ペンギン先生 ペンギン先生

代表的なのはWindowsレジストリに起動時実行プログラムを登録する方法や、タスクスケジューラに定期実行を仕込む方法だね。Linuxならcronジョブに悪意あるスクリプトを仕込んだり、.bashrcに紛れ込ませたりするんだ。

ひよこ ひよこ

そんなのセキュリティソフトで見つけられないの?

ペンギン先生 ペンギン先生

巧妙な攻撃者は正規のシステム機能を悪用するから見つけにくいんだ。例えばWindowsサービスとして登録すれば、一見すると普通のソフトウェアに見える。DLLサイドローディングといって、正規アプリの読み込むファイルをすり替える手法もあるよ。

ひよこ ひよこ

もっと深いレベルの永続化もあるの?

ペンギン先生 ペンギン先生

あるよ。UEFIファームウェアに感染するブートキットは、OSを再インストールしても消えないんだ。2022年に発見されたBlackLotusというブートキットはSecure Bootすら回避できたことで大きな話題になったよ。

ひよこ ひよこ

怖い…永続化を見つけるにはどうすればいいの?

ペンギン先生 ペンギン先生

EDRレジストリ変更やサービス登録をリアルタイム監視するのが基本だね。あとは「ベースライン比較」といって、正常な状態のシステム構成を記録しておいて、定期的に差分を確認する方法も有効だよ。MITRE ATT&CKのPersistenceタクティクスには20以上の手法が列挙されているから、防御側はそれを網羅的にチェックすることが大切だね。

ペンギン
まとめ:ざっくりこれだけ覚えればOK!
「永続化」って出てきたら「攻撃者が再起動後もアクセスを維持する仕掛け」と思えればだいたいOK!
📖 おまけ:英語の意味
「Persistence」 = 永続化・持続性
💬 Persistence(持続すること)で、攻撃者が侵入先に居座り続けるという意味で使われるよ
🔗 あわせて読みたい
← 用語集にもどる