ある火曜日の深夜、Elena の携帯電話に会社の SIEM(セキュリティ情報イベント管理)のアラートが鳴り響きました。彼女のチームでは、whoami、nltest、nslookup といった特定のシステムツールが立て続けに実行されたときに警告を出すルールを設定していました。まさにそのパターンが財務部のコンピュータで発生したのです。時刻は午前 2 時 13 分でした。
心配になり自宅からログインして調査を始めると、すぐにまた 2 つのアラートが表示されました。1 つは財務部の同じマシンで Mimikatz(ログイン情報を窃取するために攻撃者がよく使うツール)が使用されたことを知らせるものであり、もう 1 つはドメインコントローラで PsExec(プロセス実行用のコマンドラインツール)がダウンロードされたことを示すものでした。
Elena のチームはシステムの隔離とアクティビティのトレースを開始し、これ以上の拡散を阻止することにしました。当初は日常的なシステムコマンドのように見えたものが、明らかにより深刻な事態を示唆していたからです。
この話は、Cisco Talos インシデント対応チームの業務で非常によく見られるようになった事例の一端です。攻撃者は独自のツールを開発するのではなく、使い慣れた正当なソフトウェアをまったく別の目的で利用しています。
LOLBin とは
多くの場合、この流れの中心には「環境寄生型バイナリ(Living Off The Land Binary、LOLBin)」が存在します。LOLBin とは、オペレーティングシステムに組み込まれたツールであり、攻撃者はこれを使用することで、新しいソフトウェアやユーティリティをダウンロードまたはインストールすることなく、悪意のある操作を実行できます。
LOLBin が特に懸念される理由は、インストール済みで信頼されており、通常の IT タスクで頻繁に使用されているため、業務を中断せずに検出またはブロックすることが難しいことです。
既知の LOLBin のリストについては、GitHub
の LOLBAS プロジェクト、「環境寄生型バイナリ、スクリプト、ライブラリ(Living Off The Land Binaries, Scripts and Libraries)」を参照してください。
問題は LOLBin だけではない
2024 年の Talos IR 業務では LOLBin の使用が頻繁に見受けられたものの、実際には商用ツールやオープンソースツールの方が幅広く使用されていました。攻撃者がこれらのツールを好むのは、ニーズに最適なツール(あるいは被害者の環境に溶け込む商用ツール)を選べるからだと考えられます。
たとえば DonPAPI について考えてみましょう。このオープンソースツールは、複数の Windows コンピュータにあるログイン情報をリモートから自動的にダンプしていることが最近の Talos IR 業務で確認されています。Windows Data Protection API(DPAPI)で保護されたログイン情報を見つけて取得するこのプロセスは、「DPAPI ダンプ」とも呼ばれます。DonPAPI は、Wi-Fi キー、RDP パスワード、Web ブラウザに保存されたログイン情報といった特定のファイルを検索し、認証とラテラルムーブメントによって環境内の他の資産を識別します。
アイデンティティの観点から見ると、DonPAPI のようなオープンソースツールは、GitHub などのコードリポジトリで誰でも入手でき、インストールも簡単なので、組織に重大なリスクをもたらします。
正当なツールに潜む不審な意図
Cisco Talos の 2024 年版『一年の総括』に示した使用頻度の最も高い 3 つのツールを例に、これらのツールが実際にどのように機能するかを紹介します。
これらのツールは攻撃者のために作られたものではありませんが、ランサムウェアや Advanced Persistent Threat(APT)による攻撃で最もよく使用される要素となっています。
『Talos 脅威の視点(The Talos Threat Perspective)』の最近のエピソードで、Talos IR のシニアコンサルタントが、正当な目的で作成されたものの 2025 年に Talos IR が調査したランサムウェア攻撃で大きな役割を果たしたツール(HRSword、REMCOS RAT、Cobalt Strike など)について解説しています。
リモートアクセス管理ツール
最近、Talos が確認したところによれば、攻撃でリモートモニタリングおよび管理(RMM)ツールが使用されるケースが増加しています。これらのツールは、IT チームやマネージド サービス プロバイダーがリモートシステムにアクセスするために使用するソフトウェアと同種のものであり、正当な目的で作成されています。しかし悪意のあるユーザーの手に渡ると、アラームを発することなく、攻撃者が侵入先のシステムに潜み続ける手段となります。
同僚から聞いた話が印象に残っています。あるインシデントで、RMM ソフトウェアのツールキット一式を持つ攻撃者が、見つからずにセキュリティを突破できる(あるいはブロックされない)ツールを特定するためにツールを 1 つずつテストしていたそうです。多くの場合、攻撃者は ScreenConnect や AnyDesk など、標的やサービスプロバイダーがすでに信頼しているツールとまったく同じものを使っていました。
これはまるで、鍵束を持って玄関の前に立ち、ドアが開くまで 1 本ずつ試しているようなものです。しかも、その鍵が環境内ですでに知られている、つまりすでに信頼されているものだとしたら、次のような疑問が浮かびます。「自分の家の鍵を使っている侵入者を、どうやって見抜けばいいのだろうか?」
正常に見えるものを検出する方法
Elena の話に戻りましょう。彼女のチームが攻撃を阻止できたのは、アラートがあったからだけではなく、そのワークステーションで何が実行されるべきかを把握していたからです。チームは、資産リストとネットワーク動作基準を明確にし、異常を継続的にモニタリングしていました。
これこそが、この種の攻撃を検出する最適な方法の核心なのです。
- 資産管理:何がどこにインストールされているかを把握します。また、誰がどの資産を所有しているか、高い権限を持つアカウントが何のために使われているかも把握します。
- 動作基準の設定:どのような状態が「正常」かを把握します。
- 継続的なモニタリング:検出ルールを設定して、既知の TTP と、基準からのわずかな逸脱を検知するようにします。
- 脅威インテリジェンスの活用:DonPAPI の急増といった最新動向に基づいて、何を記録して監視するかを判断します。業界の動向を把握するために、Talos のブログと IR レポートをお読みになることをお勧めします。
正当なツールの不正利用を見抜くには、何が実行されているかを認識するだけでは不十分です。重要なのは、なぜ実行されているのかと疑問に思うことです。
時として、通常の動作と侵入の唯一の違いはそのタイミングにあります。「なぜ午前 2 時 13 分に実行されていたのか」と異変に気づけるかどうかがポイントです。
本稿は 2025 年 6 月 18 日にTalos Group
Authors