現代のトロイの木馬:攻撃者が陸上でどのように生活し、どのように阻止するか

オデュッセウスは力ずくでトロイを突破したわけではありません。

彼は彼らに内部から潜入し、トロイア人が贈り物だと考えた木馬の中に隠れていました。その夜、彼の軍隊が現れ、都市を内部から占領した。‍

それは完璧な欺瞞でした:信頼できるものを使用し、警告は与えず、戦略、忍耐、そして敵の盲点を知るだけです。

今日の最も高度なサイバー攻撃は、同じプレイブックに従っています。攻撃者は、システム内にすでに存在するネイティブツールを悪用します。彼らは静かに動き、隠れたままです。オデュッセウスのように、彼らは信頼できるものを使って、気づかれずに突破します。

信頼できるツール、隠れた脅威

サイバーセキュリティでは、 LIVING-off-the-land (LOTL) サイバー攻撃は、PowerShell や WMI などの正規の組み込みシステム ツールを使用して検出を回避します。

これらのツールは、悪意のあるペイロードをダウンロードし、横方向に移動し、データを盗み出し、すべて通常のネットワークトラフィックと並行して行います。マルウェアはインストールされておらず、疑わしいファイルもドロップされないため、これらの攻撃は何ヶ月も気づかれないことがよくあります。

現在、LOTL攻撃は現代のサイバー侵入の大部分を占めています。2025 年に 700,000 件を超えるインシデントを分析したところ、大規模な攻撃の 84% が LOTL 手法に関係していることがわかりました。

なぜ彼らはそんなに効果的なのでしょうか?オペレーティングシステムには管理者向けの強力なツールがプリロードされており、攻撃者はそれらを武器に変えています。中に入ると、彼らは同じツールを使用して溶け込み、アクセスを維持し、静かにリーチを拡大します。

2025 年に 700,000 件を超えるインシデントを分析したところ、大規模な攻撃の 84% が LOTL 手法に関係していることがわかりました。

これにより、Living off the Land の攻撃の検出が難しくなり、阻止することもはるかに困難になります。

多くの LOTL 攻撃は Windows で発生しますが、信頼できるツールを使用し、メモリ内でコードを実行することは、 macOS や Linux にも当てはまる可能性があります。  

macOS では、攻撃者は AppleScript や launchd コマンドなどのネイティブ サービスを悪用して、コマンドを永続化して実行することができます。Linux では、Bash、SSH、cron ジョブ、およびメモリ内実行に依存して、ファイルをディスクに書き込んだり、従来の検出を回避したりすることなく動作できました。

最近の SharePoint ToolShell エクスプロイトは「陸上で生きている」のでしょうか?

2025 年 7 月、Microsoft は、 ToolShell として総称される 2 つの SharePoint ゼロデイ脆弱性 ( CVE202553770 と CVE202553771) の積極的な悪用を明らかにしました。

この欠陥(Linen Typhoon、Violet Typhoon、Storm2603)は、インターネットに接続するオンプレミスサーバーに影響を及ぼし、 国家が支援する攻撃者によって悪用されました。

これらの脅威グループは、脆弱性を利用して、リモート コードを実行し、マシン キーを盗み、権限を昇格させ、 Warlock や LockBit の亜種を含むランサムウェアを何百もの脆弱なシステムに展開しました。

イルミオのシステムエンジニアリング担当ディレクターであるマイケル・アジェイ氏は、ToolShellのエクスプロイトで際立っている点について次のように述べています。このインシデントは、防御側がマルウェアだけを監視しているのであれば、すでに遅れをとっているという重要な現実を裏付けています。」

ランサムウェア + 陸外生活: 強力なコンボ

このステルス アプローチのもう 1 つの強力な例は、 Medusa ランサムウェアです。

2024年2月、FBIとCISAは、重要インフラに対する脅威の増大を警告する共同勧告(#StopRansomware:Medusa Ransomware)を発表しました。病院、金融機関、学校、政府サービスなど、すでに300以上の組織が被害を受けています。  

Medusa は派手なゼロデイや明らかなマルウェアに依存していません。代わりに、PowerShell、 WMI、 RDP、 SSH などの信頼できるツールや、ScreenConnect などのリモート アクセス ソフトウェアを使用して、ハイブリッド環境間を移動し、検出を回避します。

最新のランサムウェアは玄関から侵入するのではなく、スパイのように溶け込みます。

NSAがLOTLに警鐘を鳴らした理由

2024年、NSA、CISA、および国際パートナーは、LOTL侵入の急増に関する 共同勧告 警告を発表しました。

これは 1 つの侵害によって引き起こされたのではなく、国家支援グループを含む高度な脅威アクターが、重要なインフラストラクチャに密かに侵入するためにネイティブ ツールを使用することが増えているという不穏な傾向によって引き起こされました。

転換点は?Volt Typhoon のようなキャンペーンでは、攻撃者が従来のマルウェアを展開せずに米国の通信、エネルギー、輸送システムに侵入しました。

この勧告は明確で、LOTLの手法は国民国家の攻撃者にとって頼りになる戦略となっており、防御側はすぐに適応する必要がある。

SolarWinds:LOTLのマスタークラス

LOTL の取引の初期で最も有害な例の 1 つは、2020 年に脅威アクターが SolarWinds からの定期的な Orion アップデートにマルウェアを密かに挿入したときに発生しました。

顧客がインストールすると、攻撃者は 米国政府機関 やフォーチュン 500 企業 など 、世界で最も機密性の高いネットワークのいくつかにアクセスできるようになりました 。

ネイティブのWindowsツールを使用し、通常のOrionアクティビティを模倣することで、攻撃者は数か月間検出を回避しました。このマルウェアは、価値の高いターゲットでのみアクティブ化されました。中に入ると、広範囲にわたるデータ流出があり、彼らはその痕跡を隠しました。  

ホワイトハウスは後に、この攻撃はロシア諜報機関によるものだと主張した。

LOTL を止めるには、他の人が見逃しているものを確認する必要があります

これらの攻撃はマルウェアに依存せず、ネットワーク内にすでに存在する正規のツールを悪用します。セキュリティチームは、異常な動作を検出し、脅威をリアルタイムで隔離できるように、システムが通常どのように通信しているかを可視化する必要があります。  

主な防御策は次のとおりです。

• ラテラルムーブメントの検出:システム間通信の可視性は、環境内を移動する攻撃者を発見するために不可欠です。
• 動作脅威の検出: ネイティブ ツールの異常な使用を特定する分析は、通常の運用に溶け込むアクティビティを明らかにするのに役立ちます。‍
• アラートの優先順位付け: 攻撃者が信頼できるプロセスを使用する場合、日常的な動作を除外し、疑わしいパターンを強調表示することが重要です。‍
• 迅速な封じ込め:マルウェアのシグネチャを待たずに、侵害された資産を迅速に隔離できるため、LOTL手法が拡散する前に阻止できます。

攻撃者が陸地から離れて暮らす世界では、防御側は環境がどのように使用されているかを確認し、制御する力を必要としています。

Illumio InsightsがLOTLの脅威を拡散する前に阻止する方法をご覧ください。開始 無料トライアル 今日。