見過ごされがち!? LOLBinを使った巧妙な攻撃とその対策
セキュリティを知りたい
先生、「LOLBin」って最近よく聞くんですけど、一体何のことなんですか?セキュリティの本で見かけたんですけど、難しくてよく分からなくて…
セキュリティ研究家
なるほどね。「LOLBin」は「Living Off the Land Binary」の略で、攻撃者がコンピュータに侵入する時、あらかじめそのコンピュータに備わっている道具を使って攻撃する手法のことだよ。分かりやすく言うと、泥棒が入った時に、家にある道具を使って金庫破りをしようとするイメージかな。
セキュリティを知りたい
なるほど!つまり、外から持ち込んだ道具じゃなくて、元々家の中にある道具を使うから見つかりにくいってことですか?
セキュリティ研究家
その通り!セキュリティソフトは怪しい外部の道具を見つけるのが得意だけど、元々家の中にある道具は見分けがつかないことが多いんだ。だから攻撃者は「LOLBin」を使って見つかりにくくしているんだよ。セキュリティを高めるには、家にある道具にも気を配ることが重要だね!
LOLBinとは。
コンピュータを不正利用から守るための大切な知識として、「LOLBin」について説明します。「LOLBin」は、「Living off the Land Binary」の略語で、コンピュータに元々備わっている機能を悪用した「Living off the Land攻撃」(略して「LotL攻撃」)で使われる言葉です。
攻撃者は、セキュリティ対策ソフトに見つからないように、不正侵入したコンピュータに元々ある機能を悪用します。この時に使われるプログラムを「LOLBin」と呼びます。
「LOLBin」は、コンピュータのメモリ上にある悪意のあるプログラムを使う、「ファイルレス攻撃」にも関係しています。
よく知られている「LOLBin」の例としては、WindowsというOSに備わっている「PowerShell」や「WMI」といった機能を悪用することが挙げられます。
LOLBinとは
– LOLBinとはLOLBinとは、「Living Off the Land Binary」の略称で、直訳すると「その場にあるバイナリで生き延びる」という意味です。これは、OSなどに標準で搭載されている正規のプログラムを悪用した攻撃手法であるLiving Off the Land攻撃(LotL攻撃)において、攻撃者が悪意を持って使用するプログラムのことを指します。これらのプログラムは、システムの管理や運用など本来の目的のために開発されたものであり、Windows OSのPowerShellやLinux OSのBashなどが代表的な例です。攻撃者はこれらのプログラムを悪用することで、セキュリティ対策ソフトによる検知を回避し、システムへの侵入や権限の昇格、情報の窃取などを企みます。正規のプログラムが悪用されるため、セキュリティ対策ソフトはこれらのプログラム自体をブロックすることができません。そのため、LOLBin攻撃に対する防御は容易ではありません。しかし、LOLBin攻撃からシステムを守るためには、いくつかの対策を講じることが重要です。まず、システムの脆弱性を解消し、常に最新の状態に保つことが重要です。また、不必要なプログラムは無効化し、使用できるプログラムを必要最小限に抑えることで、攻撃のリスクを軽減できます。さらに、アプリケーションの動作を監視し、不審な挙動を検知した場合には、速やかに対応することが重要です。LOLBin攻撃は、高度な技術を持たない攻撃者でも比較的容易に実行できる可能性があります。そのため、企業や組織は、LOLBin攻撃に対する脅威を認識し、適切な対策を講じることが重要です。
| LOLBinとは | 攻撃者の目的 | 対策 |
|---|---|---|
| OSなどに標準搭載されている正規プログラムを悪用した攻撃手法(Living Off the Land攻撃)で使用されるプログラム 例: Windows OSのPowerShell, Linux OSのBash |
セキュリティ対策ソフトによる検知回避 システムへの侵入 権限の昇格 情報の窃取 |
システムの脆弱性を解消し、常に最新の状態に保つ 不必要なプログラムは無効化し、使用できるプログラムを必要最小限にする アプリケーションの動作を監視し、不審な挙動を検知した場合には、速やかに対応する |
LOLBinの特徴
– LOLBinの特徴LOLBinは、攻撃者が悪用する際に、外部から不正なプログラムをダウンロードして実行する従来の攻撃手法とは異なり、システムに標準でインストールされているプログラムを悪用する点が特徴です。セキュリティ対策ソフトは、既知のマルウェアの情報を元に、怪しいプログラムが実行されるとそれを検知してブロックします。しかし、LOLBinは、セキュリティ対策ソフトのチェックをかいくぐり、正規のプログラムを悪用します。そのため、セキュリティ対策ソフトによる検知が難しく、攻撃を許してしまう可能性が高くなります。また、LOLBinは、一見すると通常のシステム活動と見分けがつきません。そのため、仮に攻撃を受けていたとしても、発見が遅れてしまう可能性があります。さらに、LOLBinとして悪用されるプログラムの中には、PowerShellやWMIなど、システム管理者が必要とする強力な機能を持つものもあります。これらのプログラムが悪用されると、攻撃者にシステムを自由に操作できる権限を与えてしまう危険性があります。
| LOLBinの特徴 | 詳細 |
|---|---|
| 標準プログラムの悪用 | 外部プログラムのダウンロードや実行ではなく、システム標準のプログラムを悪用するため、セキュリティ対策ソフトの検知をかいくぐりやすい |
| 検知の困難さ | 正規プログラムを悪用するため、セキュリティ対策ソフトによる検知が難しく、攻撃を許してしまう可能性が高い |
| 発見の遅延 | 通常のシステム活動と見分けがつきにくいため、攻撃を受けていても発見が遅れる可能性がある |
| 強力な権限の悪用 | PowerShellやWMIなど、システム管理者が必要とする強力な機能を持つプログラムが悪用されると、攻撃者にシステムを自由に操作される危険性がある |
具体的なLOLBinの例
– 具体的なLOLBinの例Windowsには、システム管理や便利な機能を提供するために、様々なプログラムが標準搭載されています。しかし、これらのプログラムの中には、攻撃者によって悪用され、システムを危険にさらす可能性のあるものも存在します。こうした正規のプログラムが悪意のある目的で利用される場合、私たちはそれを「LOLBin(Living Off the Land Binaries)」と呼びます。LOLBinの代表的な例として、「PowerShell」と「WMI(Windows Management Instrumentation)」が挙げられます。PowerShellは、システム管理を自動化するための強力なスクリプト言語です。本来はシステム管理者にとって便利なツールですが、攻撃者は悪意のあるスクリプトを実行するために、このPowerShellを悪用します。WMIは、Windowsシステムの情報を取得・操作するための仕組みです。システム管理者はこのWMIを使って、離れた場所から多数のコンピュータを一括で管理することができます。しかし、攻撃者はこの仕組みを悪用し、本来許可されていないはずの遠隔操作を実行したり、悪意のあるコードを密かに実行したりします。PowerShellやWMIは、Windowsにとって標準的なプログラムであるため、セキュリティ対策のために安易に無効化することができません。そのため、LOLBinが悪用されないようにするためのセキュリティ対策は、非常に難しい課題となっています。
| LOLBin | 説明 | 悪用例 |
|---|---|---|
| PowerShell | システム管理を自動化するための強力なスクリプト言語 | 悪意のあるスクリプトの実行 |
| WMI (Windows Management Instrumentation) | Windowsシステムの情報を取得・操作するための仕組み | 遠隔操作、悪意のあるコードの実行 |
LOLBinを使った攻撃から身を守るには
– LOLBinを使った攻撃から身を守るにはLOLBinを使った攻撃は、悪意のあるプログラムを直接実行するのではなく、Windowsに標準で搭載されている正規のプログラムを悪用するため、発見が難しく、近年増加しています。このような巧妙な攻撃から身を守るためには、従来のセキュリティ対策に加え、多層的な防御策を講じることが重要です。まず、アプリケーションのホワイトリストを導入します。これは、あらかじめ許可したプログラム以外は実行できないように制限する仕組みです。ホワイトリストに登録されていないプログラムは、たとえそれが正規のものであっても実行をブロックするため、LOLBinのように正規プログラムを悪用した攻撃を効果的に防ぐことができます。また、PowerShellはシステム管理に便利な一方で、攻撃者にとっても悪用しやすいツールであるため、注意が必要です。PowerShellの操作履歴を記録するログを取得・監視することで、不審なスクリプトの実行を検知できる場合があります。さらに、システムやアプリケーションの脆弱性を悪用した攻撃を防ぐためには、こまめなアップデートが欠かせません。OSやソフトウェアの開発元から提供されるセキュリティ更新プログラムは、判明した脆弱性を修正するものですので、必ず最新の状態に保つようにしましょう。もちろん、セキュリティソフトの導入も有効な対策の一つです。ただし、セキュリティソフトだけに頼るのではなく、上記のような多層的な防御策と組み合わせることで、より強固なセキュリティ体制を構築することができます。
| LOLBin攻撃への対策 | 説明 |
|---|---|
| アプリケーションのホワイトリスト導入 | 許可したプログラム以外は実行を制限する。 |
| PowerShell操作履歴の監視 | 不審なスクリプトの実行を検知する。 |
| こまめなアップデート | OSやソフトウェアの脆弱性を解消する。 |
| セキュリティソフトの導入 | 多層的な防御策の一つとして有効。 |