Living Off the Land(LOTL)攻撃とは何か?
攻撃者が長期間にわたりネットワーク内部に潜伏します。カスタムマルウェアは使用しません。不審な実行ファイルもありません。すべての操作は、オペレーティングシステムに標準搭載されているツールを利用します。これは、CISAのアドバイザリによると、Volt Typhoonという中国国家支援の脅威アクターが、米国の重要インフラ(通信、エネルギー、交通、水道システムを含む)に対して、ネイティブシステムツールと有効な認証情報を用いてアクセスを維持したという、文書化された現実です。
Living off the land、すなわちLOTLは、標的システムに既に存在するネイティブツールやプロセスを悪用する攻撃者の行動クラスです。攻撃者は、Living Off the Land Binaries(LOLBins)と呼ばれる信頼されたプリインストール済みバイナリを利用し、通常のシステム活動に紛れ込み、目立たずに動作し、セキュリティ制御の検知を回避します。2025年3月に公開されたCISAのガイダンスでは、この手法を「カスタムツールの開発・展開への投資を回避しつつ、発見やブロックされる可能性を低減する」ものと定義しています。
LOTLはWindows、Linux、macOS、クラウド、ハイブリッド環境全体で機能します。macOSでは、同等の概念を「Living Off the Orchard」またはLOOBinsと呼びます。この手法は、初期実行から永続化、ラテラルムーブメント、認証情報アクセス、データ流出まで、攻撃ライフサイクル全体にわたります。防御側にとっては、既知の悪意あるファイルのシグネチャよりも、行動の可視性と信頼されたツールの厳格な制御が重要となります。
セキュリティツールがシグネチャマッチや隔離できるマルウェアを作成する代わりに、攻撃者はPowerShell、WMI、certutilなど、ITチームが日常的に使用するツールを利用します。アンチウイルスはこれらを信頼します。許可リストも承認します。SIEMも想定しています。CISAのレッドチーム自身も「実行、永続化、ラテラルムーブメント、探索、認証情報アクセスのために、公開されているLOTL手法を頻繁に使用しているが、ネットワーク防御者がその活動を発見することはまれである」と 2025年のガイダンスで述べています。なぜこれが非常に有効なのかを理解するには、攻撃者が依存する具体的な手法とツールから始める必要があります。
.jpg)
Living Off the Land攻撃の手法とツール
LOTL攻撃は共通の構成要素を持っています。これらの要素を理解することで、通常の管理作業と侵害活動を区別できます。
- Living Off the Land Binaries(LOLBins): これは攻撃者が再利用するネイティブでOS署名済みの実行ファイルです。 LOLBAS ProjectはCISAが直接参照しているWindows LOLBinsのカタログであり、 GTFOBinsはUnix/Linux、LOOBinsはmacOSをカバーしています。
- 有効な認証情報: LOTLは盗まれた、または侵害されたアカウントなしではほとんど機能しません。Volt Typhoonは被害ネットワーク内でRDPによるラテラルムーブメントのために侵害されたドメイン管理者の認証情報を使用しました。
- ファイルレス実行: ペイロードはメモリ上または既存ソフトウェア経由で実行され、実行ファイルをディスクに書き込みません。これによりアンチウイルスのシグネチャ回避が可能となります。SANSが文書化した手法では、PowerShellのGet-ClipboardとInvoke-Expressionを組み合わせて IOCを回避するコードを実行します。
- システムバイナリプロキシ実行: MITRE T1218に分類され、信頼された署名済みバイナリを用いて悪意あるペイロードを実行します。バイナリ自体は正規(多くはMicrosoft署名)ですが、起動されるペイロードは正規ではありません。
- コマンドおよびスクリプトインタープリタ: PowerShell(T1059.001)、Windowsコマンドシェル(T1059.003)、Unixシェル(T1059.004)は、エンタープライズが依存するツールを通じて攻撃者に完全なスクリプト機能を提供します。
これらの手法は、複数のキャンペーンで繰り返し登場する少数のバイナリに集中しています。
代表的なLOLBinsとその悪用例
以下の表は、最も頻繁に悪用されるLOLBinsを本来の用途と攻撃者による再利用方法にマッピングしています。
| Binary | Legitimate Purpose | Attacker Abuse | MITRE ID |
| PowerShell | システム管理、自動化 | メモリ上でのコード実行、認証情報の収集 | |
| WMI / WMIC | リモートシステム管理、インベントリ | リモートプロセス実行、永続化 | |
| certutil.exe | 証明書管理 | ファイルダウンロード、Base64エンコード/デコード | |
| rundll32.exe | DLL関数のロード | 悪意あるDLLのプロキシ実行 | |
| mshta.exe | HTMLアプリケーションの実行 | リモートURLからの悪意あるHTAペイロード実行 | |
| netsh.exe | ネットワーク構成 | ポートフォワーディング、ファイアウォールルールの変更 |
これらの構成要素が組み合わさることで、既知の悪性シグネチャやバイナリの評判に主に依存するツールでは検知が困難な攻撃チェーンが形成されます。次は、攻撃者がこれらをどのように連携させるかを理解することです。
Living Off the Land攻撃の仕組み
典型的なLOTL攻撃チェーンは、システムに存在するネイティブツールを各段階で利用しながら進行します。
ステージ1:初期アクセス
攻撃者はフィッシングメール、脆弱性の悪用、または認証情報の侵害を通じて侵入します。Volt Typhoonは公開ネットワーク機器を悪用しました。APT28の「Nearest Neighbor」キャンペーンは 標的近傍のWi-Fiを利用して初期アクセスを獲得しました。
ステージ2:実行
カスタムバイナリを配置するのではなく、攻撃者はネイティブインタープリタを呼び出します。PowerShellはメモリ上でコードを実行します。WMIはリモートでプロセスを生成します。Black Bastaランサムウェアオペレーションは、Cobalt Strike経由で WMIを利用し、被害ネットワーク全体にペイロードを展開し、ネイティブシステムツールを連鎖させてラテラル実行を行いました。
ステージ3:探索と認証情報アクセス
ntdsutilのようなツールでActive Directoryデータベースを抽出します。CISAは、Volt Typhoonがntdsutil "ac i ntds" ifm "create full C:\Windows\Temp\pro"コマンドを実行して 認証情報をダンプしたことを文書化しています。PowerShellはイベントログを照会します。net localgroup administratorsは権限の境界をマッピングします。
ステージ4:ラテラルムーブメント
RDPセッションは有効な管理者認証情報を使用します。SMBはホスト間でファイルを転送します。netshはポートプロキシルールを作成してトラフィックをリダイレクトします。各ステップは、ITチームが正当な理由で実行する可能性のあるツールを利用します。
ステージ5:永続化と影響
スケジュールタスク、WMIサブスクリプション、レジストリ変更によりアクセスを維持します。ランサムウェアオペレーションでは、暗号化ツール自体がチェーン内で唯一の非ネイティブツールとなり、攻撃者がLOLBinsでターゲットのマッピング、アクセス、ステージングを完了した後にのみ展開されます。
このプロセス全体は、 ATT&CK戦術の複数にまたがり、実行から防御回避、永続化、認証情報アクセス、コマンド&コントロール、 ラテラルムーブメントまで含みます。LOTLを段階ごとに分解することで、なぜセキュリティ制御がこれを見逃しやすいのかが明確になります。攻撃者の本当の優位性は、環境がこれらのツールを信頼するように設計されている点にあります。
Living Off the Land攻撃が成功する理由
LOTL攻撃が成功するのは、セキュリティスタックや運用ワークフローに組み込まれたアーキテクチャ上の前提を悪用するためです。
- 設計上の信頼。 LOLBinsは有効なファイルハッシュとOSベンダー発行のデジタル署名を持ちます。CISAは、これらの「信頼された属性がネットワーク防御者を誤認させる」可能性があると述べています。
- シグネチャに対する不可視性。 Cybersecurity誌の査読論文では、攻撃者がコマンドラインコードに特殊文字を挿入し、Windowsインタープリタが実行時にそれを除去することで、実際に実行されるコマンドがルール評価時と異なるという特定のバイパスが記録されています。
- デフォルトログでの不可視性。 CISAは、LOTL手法が意図的に 「ログ上の活動を制限」していることを確認しています。デフォルトのWindowsログ設定では、コマンドライン引数、PowerShellスクリプトブロック内容、プロセスの親子関係が記録されません。
- アラート疲労による増幅。 広範なLOLBinルールは高い偽陽性率を生みます。ロシアGRUの標的に関するCISAのアドバイザリでは、LOTLバイナリの効果的なハンティングには 「より多くのヒューリスティックが必要」であり、偽陽性に圧倒されないようにする必要があると警告しています。アナリストがアラートを信頼しなくなると、LOTLオペレーターの活動範囲が広がります。
- 潜伏期間の長期化。 Volt Typhoonは長期間にわたり潜伏しました。特定されない日々が、偵察、認証情報収集、事前配置のための時間となります。
これらの条件により、成熟した環境でもLOTLの発見は困難です。実際のキャンペーンは、これらの優位性がどのように現実化するかを示しています。
実際のLOTLキャンペーン:国家主体とランサムウェアオペレーター
実際の攻撃者がLOLBinsをどのように連鎖させているかを理解することで、脅威が具体的になります。
- Volt Typhoon(中国)は、米国の通信、エネルギー、交通、水道システムへのアクセスを長期間維持しました。文書化されたツールには、
wmic, ntdsutil, netsh、PowerShell、RDPが含まれ、すべて Volt Typhoonプロファイルで記載されています。 - APT28 / Fancy Bear(ロシア/GRU)は、 Nearest Neighborキャンペーンを複数年にわたり実行し、
reg saveでSAMハイブをダンプ、vssadminでNTDS.dit抽出、netsh portproxyで内部プロキシを作成、PowerShellで認証情報アクセスとデータ圧縮後の流出を行いました。 - FIN7は、カスタム難読化されたPowerShell、POWERTRASH、改変PowerSploit、
rundll32.exeによるDLL実行、有効なアカウントを金融分野で FIN7プロファイルに基づき使用しています。
これらのキャンペーンに共通するパターンは一貫しています:信頼されたツール、有効な認証情報、最小限のカスタムコード。このパターンは、防御側が直面する具体的な課題も明らかにします。
Living Off the Land攻撃を阻止する際の課題
成熟したセキュリティプログラムを持つ組織でさえ、LOTLに苦戦します。なぜなら、これらの手法は従来のツールが想定していなかったギャップを突くからです。
- 大規模環境での文脈の崩壊。 同じPowerShellコマンドが通常の管理作業にも侵害活動にもなり得ます。ICS/OT環境では、SANSが極端な例として、攻撃者が HMIを変更し、標準的なエンジニアリングワークフローでコントローラを再プログラムしたことを記録しています。
- SIEMの構造的な限界。 SIEMは、デフォルト設定でコマンドライン引数が記録されないなどのログカバレッジギャップ、既知の悪性パターンに一致しない動作への静的パターンマッチングによるルールの脆弱性、偽陽性による麻痺により、LOTLに対して機能しません。
- クラウドおよびハイブリッド環境での可視性ギャップ。 SANSは、攻撃者がクラウドツールを悪用して管理権限を取得し、クラウド間でラテラルムーブメントを行っていることを指摘しています。Windowsエンドポイントのみを防御対象とするのでは不十分です。
- 国家主体とランサムウェアの手法の収束。 MITRE ATT&CKのクロスアクターマッピングでは、Volt TyphoonやAPT28などの国家主体と、Black BastaやFIN7などのランサムウェアオペレーターが、PowerShell、RDP、WMI、ntdsutil、システムバイナリプロキシ実行など、ほぼ同一の手法を使用していることが示されています。脅威アクターの種類ごとに防御を分離することはできません。
これらの課題は日々の運用に直結します。克服するには、自組織のテレメトリでLOTL活動がどのように見えるかを知ることから始まります。
Living Off the Land攻撃の検知方法
LOTL活動には従来型の侵害指標がありません。検知には、何が実行されているかではなく、どのように・なぜ実行されているかという行動文脈に注目し、ファイルの評判ではなく行動ベースで判断する必要があります。
監視すべき行動シグナル
CISAの 2025年共同ガイダンスは、時刻、ユーザーロール、プロセスの親子関係などのヒューリスティックを適用し、悪意あるLOLBins利用と通常利用を区別することを推奨しています。重要なシグナル例:
- Officeアプリケーション(Word、Excel、Outlook)からPowerShellまたはcmd.exeが生成される
ntdsutilやvssadminが非管理者アカウントで実行されるcertutilが証明書管理以外でファイルダウンロードに使用されるnetshが変更ウィンドウ外でポートプロキシルール作成やファイアウォール設定変更に使用されるrundll32.exeが一時ディレクトリやユーザー書き込み可能ディレクトリからDLLをロードする- メンテナンスウィンドウ外でのスケジュールタスクや WMIサブスクリプション作成
SANSは、PowerShellの正規表現をイベントログフィールドに適用し、環境の通常パターンを学習しながらルールを反復的に洗練する 柔軟なベースラインアプローチを推奨しています。これらのシグナルは、適切なテレメトリが分析に供給されている場合にのみ表面化します。
重要なログソース
デフォルトのログ設定では、ほとんどのLOTL活動を見逃します。CISAは 以下の有効化を優先しています:
- PowerShell ScriptBlockおよびモジュールロギング
- コマンドラインプロセス作成監査(Event ID 4688と引数)
- Sysmonによるプロセス作成、ネットワーク接続、ファイルイベント
- WMI活動ログ(Event ID 5857–5861)
これらのログを集中管理された書き込み専用の場所に集約し、ユーザー・エンティティ行動分析(UEBA)を適用して、確立されたベースラインに対する異常を可視化します。
適切なテレメトリがあっても、チームは検知態勢を損なう回避可能なミスを犯しがちです。
Living Off the Land防御における一般的なミス
LOTL脅威を認識しているセキュリティチームでも、運用上のギャップにより防御を損なうことがあります。
- LOLBinsへの一律許可ポリシー。 正規ITツールをグローバルに許可することで、 攻撃対象領域が拡大します。CISAの2025年ガイダンスはこれを明確に警告しています。
- デフォルトのログ設定のまま運用。 PowerShell ScriptBlock Logging、Module Logging、コマンドラインプロセス監査、WMI活動ログを有効化していない場合、LOTL分析に必要なテレメトリが不足します。
- アラートがないことを侵害がないことと見なす。 沈黙は安全を意味しません。
- ITインシデント対応プレイブックをICS/OTに適用。 SANSは、IT制御を直接産業環境に適用すると 害を及ぼす可能性があると警告しています。
- ツールに頼りすぎてアナリスト能力を軽視。 ツールはLOTL文脈評価のためのアナリストスキルを代替できません。脅威ハンティングへの投資なしにルールを構築しても、ノイズが増えるだけで防御にはなりません。
これらのミスを回避するには、可視性を高め、信頼の乱用を減らし、アナリストにより多くの文脈を提供する制御が必要です。
Living Off the Land攻撃の防止方法
防止策は、LOTLが悪用する攻撃対象領域(過度に許可されたツールアクセス、弱い認証、不十分なスクリプト環境制約)の縮小に重点を置きます。
- 集中型かつ詳細なロギングを有効化。 CISAの最優先事項は、アウトオブバンドかつ書き込み専用の場所に集約された広範なロギングです。PowerShell、プロセス作成、WMI活動をカバーする詳細なテレメトリがなければ、行動分析は機能しません。
- アプリケーション許可リストの導入。 AppLockerやWindows Defender Application Control(WDAC)を使用し、ユーザー、パス、発行元ごとにLOLBinsの実行を制限します。
mshta.exe, psexec.exe, certutil.exe, wmic.exe、rundll32.exeは承認済み管理アカウント以外でブロックまたは制限します。強制前に監査モードで開始してください。 - PowerShell制約付き言語モードの強制。 CLMは高度なスクリプト機能を制限し、
[Convert]::FromBase64String()のような.NETメソッドをブロックしつつ、基本的なコマンドレット機能は維持します。AllSigned実行ポリシーやJust Enough Administration(JEA)と組み合わせて運用します。 - フィッシング耐性MFAの実装。 CISAはこれをLOTL防御の 即時優先事項としています。RDP、VPN、リモート監視・管理(RMM)ソフトウェアアクセスに対してMFAを強制し、 CISA RMMガイダンスに従ってください。
- ゼロトラストアーキテクチャの採用。 CISAとNSAは長期戦略としてゼロトラストを強く推奨しています。LOTLが成功するのは、境界防御が内部ツールや認証済みセッションを暗黙的に信頼しているためです。 ゼロトラストは、マイクロセグメンテーション、最小権限アクセス、継続的な検証により、その暗黙的信頼を排除します。
これらの実践により、攻撃者にとってのLOTLのコストが上昇します。これらを機械速度で強制するには、行動文脈を中心に構築されたプラットフォームが必要です。
重要なポイント
Living off the land攻撃は、信頼されたネイティブシステムツールを悪用し、シグネチャベースの防御を回避します。国家主体やランサムウェアオペレーターは、Windows、Linux、クラウド、OT環境全体で同様のLOTL手法を使用しています。
これらを阻止するには、詳細なロギング、行動ベースライン、アプリケーション制御、ゼロトラストアーキテクチャ、そして正当なツール利用と悪意ある意図を区別する行動型 AIサイバーセキュリティが必要です。Singularityのように攻撃チェーン全体を自律的に相関分析できるプラットフォームは、LOTLが悪用する手動調査の負担を置き換えます。
FAQ
Living Off the Land攻撃は、攻撃者がカスタムマルウェアではなく、ネイティブで事前インストールされたシステムツールや信頼されたバイナリを利用して目的を達成する攻撃手法の一種です。
PowerShell、WMI、certutilなど、ターゲットシステム上に既に存在し承認されているツールを利用することで、攻撃者は通常の管理者活動に紛れ込み、シグネチャベースのセキュリティ制御の検知を回避します。
LOTLは、ツールの出所に着目し、正規のプリインストールされたシステムバイナリを悪用します。ファイルレスマルウェアは、実行方法に着目し、ディスクへのファイル書き込みを回避します。これらはしばしば重複し、攻撃者はネイティブOSバイナリを使用してファイルレスなPowerShellペイロードを実行することができます。
ただし、ファイルレス攻撃はカスタムツールを使用する場合があり、LOTLはMITRE ATT&CK T1218に分類されるような信頼された署名付きバイナリを介してディスクにファイルを書き込むこともあります。
PowerShell (T1059.001)、WMI/WMIC (T1047)、rundll32.exe (T1218.011)、certutil.exe (T1105)、および cmd.exe (T1059.003) は、文書化されたキャンペーンで頻繁に確認されています。攻撃者は、これらのバイナリが事前にインストールされており、OSベンダーによってデジタル署名されていること、コードの実行、ファイルのダウンロード、またはプロセスの生成がアラートを発生させずに可能であることから、これらを好んで使用します。
LOLBAS Project は Windows の権威あるカタログを管理しており、GTFOBins は Linux、LOOBins は macOS をカバーしています。
シグネチャに依存する従来型アンチウイルスでは対応できません。なぜなら、LOLBinsは有効なOSベンダーのハッシュおよびデジタル署名を持っているためです。行動AIベースのエンドポイント保護であれば、プロセスの関連性、コマンドライン引数、確立されたベースラインからの逸脱をリアルタイムで追跡することで対応可能です。
プラットフォームは、エンドポイント、 アイデンティティシステム、およびネットワークテレメトリ全体でプロセスチェーンを相関させ、LOTLの挙動を検出する必要があります。このクロスドメインの可視性がなければ、個々のLOTLイベントは無害に見えてしまいます。
バイナリ名ではなく、挙動のコンテキストから始めてください。Officeアプリケーションから起動されたPowerShell、非管理者アカウントによるntdsutilの実行、ファイルダウンロードに使用されたcertutilなどを検出します。CISAは、時刻、ユーザーロール、プロセスの親子関係などの追加ヒューリスティックを用いて結果を絞り込むことを推奨しています。
SANSは、イベントログフィールドに正規表現を適用する柔軟なベースラインアプローチを推奨しています。環境の通常パターンを学習しながら、ルールを段階的に調整してください。
カスタムマルウェアは、脅威インテリジェンスチームが特定・属性付け・シグネチャ作成できる固有のアーティファクトを残します。LOTLは、すべてのコマンドがシステムに存在するツールを利用するため、そのリスクを低減します。
CISAは、PRCの攻撃者が「通常のシステムおよびネットワーク活動に紛れ込み、ネットワーク防御による識別を回避し、一般的なログ設定で記録される活動量を制限する」ためにLOTLを利用していることを確認しています。
