Living Off the Land(LOTL)攻撃とは何か?
攻撃者が長期間にわたりネットワーク内部に潜伏します。カスタムマルウェアは使用しません。不審な実行ファイルもありません。すべての操作は、オペレーティングシステムに標準搭載されているツールを利用します。これは、CISAのアドバイザリによると、Volt TyphoonというPRC(中華人民共和国)国家支援型脅威アクターが、米国の重要インフラ(通信、エネルギー、輸送、水道システムを含む)へのアクセスを、ネイティブシステムツールと有効な認証情報を用いて維持していたという、文書化された現実です。
Living off the land、すなわちLOTLは、標的システムに既に存在するネイティブツールやプロセスを悪用する攻撃者の行動クラスです。攻撃者は、Living Off the Land Binaries(LOLBins)と呼ばれる信頼されたプリインストール済みバイナリを利用し、通常のシステム活動に紛れ込み、目立たずに動作し、セキュリティ制御の検知を回避します。2025年3月に公開されたCISAのガイダンスでは、この手法を「カスタムツールの開発・展開への投資を回避しつつ、発見やブロックされる可能性を低減する」ものと定義しています。
LOTLはWindows、Linux、macOS、クラウド、ハイブリッド環境全体で機能します。macOSでは、同等の概念を「Living Off the Orchard」またはLOOBinsと呼びます。この手法は、初期実行から永続化、ラテラルムーブメント、認証情報アクセス、データ流出まで、攻撃ライフサイクル全体にわたります。防御側にとっては、既知の悪意あるファイルのシグネチャよりも、行動の可視性と信頼されたツールの厳格な制御が重要となります。
セキュリティツールがシグネチャマッチや隔離できるマルウェアを作成する代わりに、攻撃者はPowerShell、WMI、certutilなど、ITチームが日常的に使用するツールを利用します。アンチウイルスはこれらを信頼します。許可リストも承認します。SIEMも想定しています。CISAのレッドチーム自身も「実行、永続化、ラテラルムーブメント、探索、認証情報アクセスのために、公開されているLOTL手法を頻繁に使用しているが、ネットワーク防御者がその活動を発見することは稀である」と 2025年のガイダンスで述べています。なぜこれが非常に有効なのかを理解するには、攻撃者が依存する具体的な手法とツールから始める必要があります。
Living Off the Land攻撃の手法とツール
LOTL攻撃は共通の構成要素を持っています。これらの要素を理解することで、通常の管理作業と積極的な侵害を区別できます。
- Living Off the Land Binaries(LOLBins): これは攻撃者が再利用するネイティブのOS署名付き実行ファイルです。 LOLBAS ProjectはCISAが直接参照しており、WindowsのLOLBinsをカタログ化しています。 GTFOBinsはUnix/Linux、LOOBinsはmacOSをカバーします。
- 有効な認証情報: LOTLは盗用または侵害されたアカウントなしではほとんど機能しません。Volt Typhoonは、被害ネットワーク内でRDPによるラテラルムーブメントのために、侵害されたドメイン管理者の認証情報を使用しました。
- ファイルレス実行: ペイロードはメモリ上または既存ソフトウェアを通じて実行され、実行ファイルをディスクに書き込みません。これにより、攻撃者はアンチウイルスのシグネチャを回避します。SANSが文書化した手法では、PowerShellのGet-ClipboardとInvoke-Expressionを組み合わせて、 IOCを回避するコードを実行します。
- システムバイナリプロキシ実行: MITRE T1218に分類され、信頼された署名付きバイナリを用いて悪意あるペイロードを実行します。バイナリ自体は正規(多くはMicrosoft署名)ですが、起動されるペイロードは正規ではありません。
- コマンドおよびスクリプトインタープリタ: PowerShell(T1059.001)、Windowsコマンドシェル(T1059.003)、Unixシェル(T1059.004)は、エンタープライズが依存するツールを通じて攻撃者に完全なスクリプト機能を提供します。
これらの手法は、複数のキャンペーンで繰り返し登場する少数のバイナリに集中しています。
代表的なLOLBinsとその悪用例
以下の表は、最も頻繁に悪用されるLOLBinsを本来の機能と攻撃者による再利用方法にマッピングしています。
| バイナリ | 本来の目的 | 攻撃者による悪用 | MITRE ID |
| PowerShell | システム管理、自動化 | メモリ上でのコード実行、認証情報の収集 | |
| WMI / WMIC | リモートシステム管理、インベントリ | リモートプロセス実行、永続化 | |
| certutil.exe | 証明書管理 | ファイルダウンロード、Base64エンコード/デコード | |
| rundll32.exe | DLL関数のロード | 悪意あるDLLのプロキシ実行 | |
| mshta.exe | HTMLアプリケーションの実行 | リモートURLからの悪意あるHTAペイロード実行 | |
| netsh.exe | ネットワーク構成 | ポートフォワーディング、ファイアウォールルールの変更 |
これらの構成要素が組み合わさることで、既知の悪性シグネチャやバイナリの評判に主に依存するツールでは検知が困難な攻撃チェーンが形成されます。次は、攻撃者がこれらをどのように連携させるかを理解することです。
Living Off the Land攻撃の仕組み
典型的なLOTL攻撃チェーンは、各段階でシステムに存在するネイティブツールを使用して展開されます。
第1段階:初期アクセス
攻撃者はフィッシングメール、脆弱性の悪用、または認証情報の侵害を通じて侵入します。Volt Typhoonは公開ネットワーク機器を悪用しました。APT28の「Nearest Neighbor」キャンペーンは、 標的近くのWi-Fiを利用して初期アクセスを獲得しました。
第2段階:実行
カスタムバイナリを配置する代わりに、攻撃者はネイティブインタープリタを呼び出します。PowerShellはメモリ上でコードを実行します。WMIはリモートでプロセスを生成します。Black Bastaランサムウェアオペレーションは、 WMIをCobalt Strike経由で利用し、被害ネットワーク全体にペイロードを展開し、ネイティブシステムツールを連鎖させてラテラル実行を行いました。
第3段階:探索と認証情報アクセス
ntdsutilのようなツールでActive Directoryデータベースを抽出します。CISAは、Volt Typhoonがntdsutil "ac i ntds" ifm "create full C:\Windows\Temp\pro"コマンドを実行して 認証情報をダンプしたことを文書化しています。PowerShellはイベントログを照会します。net localgroup administratorsで権限の境界をマッピングします。
第4段階:ラテラルムーブメント
RDPセッションは有効な管理者認証情報を使用します。SMBはホスト間でファイルを転送します。netshはポートプロキシルールを作成してトラフィックをリダイレクトします。各ステップは、ITチームが正当な理由で実行する可能性のあるツールを使用します。
第5段階:永続化と影響
スケジュールタスク、WMIサブスクリプション、レジストリ変更でアクセスを維持します。ランサムウェアオペレーションでは、暗号化ツール自体がチェーン内で唯一の非ネイティブツールであり、攻撃者がLOLBinsでマッピング、アクセス、ステージングを完了した後にのみ展開されます。
このプロセス全体は、 ATT&CK戦術の複数にまたがり、実行、防御回避、永続化、認証情報アクセス、コマンド&コントロール、 ラテラルムーブメントまで含みます。LOTLを段階ごとに分解することで、なぜセキュリティ制御がこれを見逃しやすいのかが明確になります。攻撃者の本当の優位性は、環境がこれらのツールを信頼するように設計されている点にあります。
Living Off the Land攻撃が成功する理由
LOTL攻撃が成功するのは、セキュリティスタックや運用ワークフローに組み込まれたアーキテクチャ上の前提を悪用するためです。
- 設計上の信頼。 LOLBinsは、OSベンダーが発行した有効なファイルハッシュとデジタル署名を持ちます。CISAは、これらの「信頼された属性がネットワーク防御者を誤認させる可能性がある」と述べています。
- シグネチャに対して不可視。 Cybersecurity誌の査読論文では、攻撃者がコマンドラインコードに特殊文字を挿入し、Windowsインタープリタが実行時にそれを除去することで、実際に実行されるコマンドがルール評価時と異なるという特定のバイパスが記録されています。
- デフォルトログで不可視。 CISAは、LOTL手法が意図的に 「ログ内の活動を制限」していることを確認しています。デフォルトのWindowsログ設定では、コマンドライン引数、PowerShellスクリプトブロック内容、プロセスの親子関係が記録されません。
- アラート疲労による増幅。 広範なLOLBinルールは高い偽陽性率を生みます。CISAのロシアGRUに関するアドバイザリでは、 「LOTLバイナリの効果的なハンティングには、より多くのヒューリスティックが必要」と警告しています。アナリストがアラートを信頼しなくなると、LOTLオペレーターの活動範囲が広がります。
- 潜伏期間の長期化。 Volt Typhoonは長期間潜伏しました。特定されない日々が、偵察、認証情報収集、事前配置の時間となります。
これらの条件により、成熟した環境でもLOTLの発見は困難です。実際のキャンペーンは、これらの優位性がどのように現実化するかを示しています。
実際のLOTLキャンペーン:国家支援型・ランサムウェアオペレーター
実際の攻撃者がLOLBinsをどのように連鎖させているかを理解することで、脅威が具体的になります。
- Volt Typhoon(PRC)は、米国の通信、エネルギー、輸送、水道システムへのアクセスを長期間維持しました。使用ツールには、
wmic, ntdsutil, netsh、PowerShell、RDPが含まれ、すべて Volt Typhoonプロファイルで文書化されています。 - APT28 / Fancy Bear(ロシア/GRU)は、 Nearest Neighborキャンペーンを複数年にわたり実行し、
reg saveでSAMハイブをダンプ、vssadminでNTDS.dit抽出、netsh portproxyで内部プロキシ、PowerShellで認証情報アクセスとデータ圧縮後の流出を行いました。 - FIN7は、カスタム難読化を施したPowerShell、POWERTRASH、改変PowerSploit、
rundll32.exeによるDLL実行、有効なアカウントを金融分野で FIN7プロファイルに基づき使用しています。
これらのキャンペーンに共通するパターンは一貫しています:信頼されたツール、有効な認証情報、最小限のカスタムコード。このパターンは、防御側が直面する具体的な課題も明らかにします。
Living Off the Land攻撃を阻止する際の課題
成熟したセキュリティプログラムを持つ組織でさえ、LOTLに苦戦します。なぜなら、これらの手法は従来のツールが想定していなかったギャップを突くからです。
- 大規模環境での文脈崩壊。 同じPowerShellコマンドが通常の管理作業にも積極的な侵害にもなり得ます。ICS/OT環境では、SANSが極端な例として、攻撃者が HMIを変更し、標準的なエンジニアリングワークフローでコントローラを再プログラムした事例を記録しています。
- SIEMの構造的な限界。 SIEMは、デフォルト設定でコマンドライン引数が記録されないなどのログカバレッジギャップ、既知の悪性パターンに一致しない動作への静的パターンマッチングによるルールの脆弱性、偽陽性による麻痺により、LOTLに対して機能しません。
- クラウド・ハイブリッド環境での可視性ギャップ。 SANSは、攻撃者がクラウドツールを悪用して管理権限を取得し、クラウド間でラテラルムーブメントを行っていることを指摘しています。Windowsエンドポイントのみを防御対象とするのでは不十分です。
- 国家支援型とランサムウェアの手法収束。 MITRE ATT&CKのクロスアクターマッピングでは、Volt TyphoonやAPT28などの国家支援型アクターと、Black BastaやFIN7などのランサムウェアオペレーターが、PowerShell、RDP、WMI、ntdsutil、システムバイナリプロキシ実行など、ほぼ同一の手法を使用していることが示されています。脅威アクターの種類ごとに防御を分断することはできません。
これらの課題は日々の運用に直結します。克服するには、自組織のテレメトリでLOTL活動がどのように見えるかを知ることから始まります。
Living Off the Land攻撃の検知方法
LOTL活動には従来型の侵害指標がありません。検知には、何が実行されているかではなく、どのように・なぜ実行されているかという行動文脈に注目し、ファイルの評判ではなく行動ベースで判断する必要があります。
監視すべき行動シグナル
CISAの 2025年共同ガイダンスは、時刻、ユーザーロール、プロセスの親子関係などのヒューリスティックを適用し、悪意あるLOLBins利用と通常利用を区別することを推奨しています。重要なシグナル例:
- Officeアプリケーション(Word、Excel、Outlook)から起動されたPowerShellまたはcmd.exe
ntdsutilやvssadminが非管理者アカウントで実行されるcertutilが証明書管理以外でファイルダウンロードに使用されるnetshが変更ウィンドウ外でポートプロキシルール作成やファイアウォール設定変更を行うrundll32.exeが一時ディレクトリやユーザー書き込み可能ディレクトリからDLLをロードする- メンテナンスウィンドウ外でのスケジュールタスクや WMIサブスクリプション作成
SANSは、 柔軟なベースラインアプローチを提唱しており、PowerShellの正規表現をイベントログフィールドに適用し、環境の通常パターンを学習しながらルールを段階的に洗練します。これらのシグナルは、適切なテレメトリが分析に供給されている場合にのみ表面化します。
重要なログソース
デフォルトのログ設定では、ほとんどのLOTL活動を見逃します。CISAは 以下の有効化を優先しています:
- PowerShell ScriptBlockおよびモジュールロギング
- コマンドラインプロセス作成監査(Event ID 4688と引数)
- Sysmonによるプロセス作成、ネットワーク接続、ファイルイベント
- WMI活動ロギング(Event ID 5857–5861)
これらのログを集中管理された書き込み不可の場所に集約し、ユーザー・エンティティ行動分析(UEBA)を適用して、確立されたベースラインに対する異常を抽出します。
適切なテレメトリがあっても、チームは検知態勢を損なう回避可能なミスを犯しがちです。
Living Off the Land防御における一般的なミス
LOTL脅威を認識しているセキュリティチームでも、運用上のギャップにより防御を損なうことがあります。
- LOLBinsへの一律許可ポリシー。 正規ITツールは安全だと信じてグローバルに許可すると、 攻撃対象領域が拡大します。CISAの2025年ガイダンスはこれを明確に警告しています。
- デフォルトのログ設定のまま運用。 PowerShell ScriptBlock Logging、Module Logging、コマンドラインプロセス監査、WMI活動ロギングを有効化していない場合、LOTL分析に必要なテレメトリが不足します。
- アラートがないことを侵害がない証拠とみなす。 沈黙は安全を意味しません。
- ITインシデント対応プレイブックをICS/OTに適用。 SANSは、IT制御が産業環境に直接適用されると 害を及ぼすと警告しています。
- ツール導入をアナリスト能力の代替とする。 ツールはLOTL文脈評価においてアナリストのスキルを代替できません。脅威ハンティングへの投資なしにルールを構築しても、ノイズが増えるだけで防御にはなりません。
これらのミスを回避するには、可視性を高め、信頼の悪用を減らし、アナリストにより多くの文脈を提供する制御が必要です。
Living Off the Land攻撃の防止方法
防止策は、LOTLが悪用する攻撃対象領域(過度に許可されたツールアクセス、弱い認証、不十分なスクリプト環境制約)の縮小に重点を置きます。
- 集中型・詳細ロギングの有効化。 CISAの最優先事項は、アウトオブバンドかつ書き込み不可の場所に集約された広範なロギングです。PowerShell、プロセス作成、WMI活動をカバーする詳細なテレメトリがなければ、行動分析は機能しません。
- アプリケーション許可リストの導入。 AppLockerやWindows Defender Application Control(WDAC)を使用し、ユーザー、パス、発行元ごとにLOLBinsの実行を制限します。
mshta.exe, psexec.exe, certutil.exe, wmic.exe、rundll32.exeは、承認された管理者アカウント以外ではブロックまたは制限します。まず監査モードで開始し、段階的に強制します。 - PowerShell制約付き言語モードの強制。 CLMは高度なスクリプト機能を制限し、
[Convert]::FromBase64String()のような.NETメソッドをブロックしつつ、基本的なコマンドレット機能は維持します。AllSigned実行ポリシーやJust Enough Administration(JEA)と組み合わせて運用します。 - フィッシング耐性MFAの実装。 CISAはこれを 即時優先事項としています。RDP、VPN、リモート監視・管理(RMM)ソフトウェアアクセスに対し、 CISA RMMガイダンスに従いMFAを強制します。
- ゼロトラストアーキテクチャの採用。 CISAおよびNSAは、長期的戦略としてゼロトラストを強く推奨しています。LOTLが成功するのは、境界防御が内部ツールや認証済みセッションを暗黙的に信頼しているためです。 ゼロトラストは、マイクロセグメンテーション、最小権限アクセス、継続的検証により、その暗黙的信頼を排除します。
これらの実践により、攻撃者にとってのLOTLのコストが上昇します。これらをマシンスピードで強制するには、行動文脈を中心に構築されたプラットフォームが必要です。
重要なポイント
Living off the land攻撃は、信頼されたネイティブシステムツールを悪用し、シグネチャベースの防御を回避します。国家支援型アクターやランサムウェアオペレーターは、現在、Windows、Linux、クラウド、OT環境全体で同様のLOTL手法を使用しています。
これらを阻止するには、詳細なロギング、行動ベースライン、アプリケーション制御、ゼロトラストアーキテクチャ、そして正当なツール利用と悪意ある意図を区別する行動型 AIサイバーセキュリティが必要です。Singularityのように攻撃チェーン全体を自律的に相関分析できるプラットフォームは、LOTLが悪用する手動調査の負担を置き換えます。
FAQ
Living off the land攻撃は、攻撃者がカスタムマルウェアではなく、ネイティブで事前インストールされたシステムツールや信頼されたバイナリを利用して目的を達成する攻撃手法の一種です。
PowerShell、WMI、certutilなど、ターゲットシステム上に既に存在し承認されているツールを利用することで、攻撃者は通常の管理者活動に紛れ込み、シグネチャベースのセキュリティ制御の検知を回避します。
LOTLは、ツールの出所に着目し、正規のプリインストールされたシステムバイナリを悪用します。ファイルレスマルウェアは、実行方法に着目し、ディスクへのファイル書き込みを回避します。これらはしばしば重複し、攻撃者はネイティブOSバイナリを使用してファイルレスなPowerShellペイロードを実行することができます。
ただし、ファイルレス攻撃はカスタムツールを使用する場合があり、LOTLはMITRE ATT&CK T1218に分類されるような信頼された署名付きバイナリを介してディスクにファイルを書き込むことが含まれる場合があります。
PowerShell (T1059.001)、WMI/WMIC (T1047)、rundll32.exe (T1218.011)、certutil.exe (T1105)、および cmd.exe (T1059.003) は、文書化されたキャンペーンで頻繁に確認されています。攻撃者は、これらのバイナリが事前にインストールされており、OSベンダーによってデジタル署名されていること、コードの実行、ファイルのダウンロード、またはプロセスの生成がアラートを発生させずに可能であることから、これらを好んで使用します。
LOLBAS Project は Windows の権威あるカタログを管理しており、GTFOBins は Linux、LOOBins は macOS をカバーしています。
シグネチャに依存する従来型アンチウイルスでは対応できません。なぜなら、LOLBinsは有効なOSベンダーのハッシュおよびデジタル署名を持っているためです。行動AIベースのエンドポイント保護であれば、プロセスの関連性、コマンドライン引数、確立されたベースラインからの逸脱をリアルタイムで追跡することで対応可能です。
プラットフォームは、エンドポイント、 アイデンティティシステム、およびネットワークテレメトリ全体でプロセスチェーンを相関させ、LOTLの挙動を検出する必要があります。このクロスドメインの可視性がなければ、個々のLOTLイベントは無害に見えてしまいます。
バイナリ名ではなく、挙動のコンテキストから始めてください。Officeアプリケーションから起動されたPowerShell、非管理者アカウントによるntdsutilの実行、ファイルダウンロードに使用されたcertutilなどを検出します。CISAは、時刻、ユーザーロール、プロセスの親子関係などの追加ヒューリスティックを用いて結果を絞り込むことを推奨しています。
SANSは、イベントログフィールドに正規表現を適用する柔軟なベースラインアプローチを推奨しています。環境の通常パターンを学習しながら、ルールを段階的に調整してください。
カスタムマルウェアは、脅威インテリジェンスチームが特定・属性付け・シグネチャ作成できる固有のアーティファクトを残します。LOTLは、すべてのコマンドがシステムに存在するツールを利用するため、そのリスクを低減します。
CISAは、PRCの攻撃者がLOTLを「通常のシステムおよびネットワーク活動に紛れ込み、ネットワーク防御による識別を回避し、一般的なログ設定で記録される活動量を制限する」ために特に使用していることを確認しています。
