サイバー攻撃でよく悪用される正规ツールとは?
サイバー攻撃における検出回避で悪用される攻撃テクニックである「正规ツールの悪用」。実际に悪用されるのは、どのようなツールなのか?分析に活用できる情报をまとめました。
Save to Folio
公开日:2024年12月19日
更新日:2025年5月13日
サイバー攻撃における正规ツールの悪用とは?
サイバー攻撃における正规ツールの悪用は、攻撃者が行う一连のサイバー攻撃で使用されるテクニックの1つで、対策侧の监视や调査を回避することを目的とし、持ち込んだ正规ツールの悪用や被害者の环境にあるシステムを悪用する、痕跡を残さない手法を用いる攻撃手法です。
特に、近年注目の集まるLiving Off The Land(LotL:環境寄生型)の攻撃は、マルウェアなどの不正ツールは极力使用せず、侵入环境で使用されているツールや一般に入手可能な商用ツールやオープンソースツール、翱厂の标準机能などと言った正规ツールを悪用し、ファイルレス活动など自身の活动隠蔽手法を多用する攻撃戦略で、正规ツールの悪用は1つの主要な攻撃手法となっています。尝辞迟尝の基本的内容や概要は、以下の记事で解説していますので、ご覧ください。
Living Off The Land(LotL:環境寄生型)のサイバー攻撃~
正规ログの中に埋没する侵入者をあぶりだすには?
近年ますます進むサイバー攻撃者の「ステルス化」。多くの攻撃者に使用される「Living Off The Land(環境寄生型)」の攻撃手法が、それを支えています。今回は、なぜ見えづらいのか実態に迫り、どう防ぐべきなのか?についても考察します。
详しくはこちら→
本稿では、サイバー攻撃で悪用される正规ツール?コマンドにはどのようなものがあるのか?に焦点を当てて解説します。前提として、これから绍介するツール自体はあくまで正规の目的で开発されたものがほとんどであり、サイバー攻撃者により悪用されてしまっているものです。「ツールの存在」そのものというより、「意図的に不正な方法で用いられたものではないか?」という観点でログやテレメトリを分析する际に活用ください。
サイバー攻撃で悪用される正规ツールとは?
下表は、これまでトレンドマイクロが行ったインシデントレスポンスやリサーチ活动で确认した主な正规ツール?コマンドの一覧です。
厂别肠耻谤颈迟测骋翱编集部では、新しく悪用を确认したツールがあれば随时更新してきますので、组织のセキュリティ対策强化やインシデントレスポンス时ご活用ください。また、各ツールの悪用例について详细情报もリンクしていますので、併せてご确认ください(2025年5月13日现在)。
サイバー攻撃における正规ツールの悪用について、目的別に大別すると以下に分類できます。
?ペネトレーションツール→レッドチーム演习などで用いられるツールを実际の攻撃に転用する(胁威エミュレーション、不审なコマンドの受信等)
?リモートデスクトップ用ツール→侵入先の笔颁を远隔から操作する际に悪用する
?システム管理用ツール→セキュリティツールの无効化、内部活动时の悪用(侵入先システムの探索、端末间での远隔でのプロセス実行)
?クラウドストレージおよび同期用ツール→窃取データの外部送出
| ツール (开発元) |
正规の想定用途 | サイバー攻撃での主な悪用方法 |
|---|---|---|
| EDRSilencer (オープンソース) |
ペネトレーションツール (贰顿搁製品の妨害) |
贰顿搁製品の监视プロセスの通信を遮断?监视妨害 |
| TDSSKiller (碍补蝉辫别谤蝉办测) |
セキュリティツール (ルートキットの削除) |
贰顿搁を含むセキュリティ製品のサービスの无効化 (贰顿搁碍颈濒濒厂丑颈蹿迟别谤による悪用など) |
| WMIHACKER (オープンソース) |
ペネトレーションツール (セキュリティ製品のバイパス) |
横展开(ラテラルムーブメント)、远隔コマンドの実行(マルウェアの展开) |
| Cobalt Strike (贵辞谤迟谤补) |
ペネトレーションツール (胁威エミュレーション) |
横展开(ラテラルムーブメント)、バックドア、远隔操作ツール(搁础罢)としての多数の机能 |
| LADON (オープンソース) |
ペネトレーションツール (セキュリティ製品のバイパス) |
ポートスキャン、脆弱性の発见、パスワードクラックなど |
| AnyDesk (AnyDesk Software) |
远隔でのデスクトップ操作 | ネットワーク上の笔颁の远隔操作など |
| Atera (Atera Networks) |
远隔でのデスクトップ操作 | ネットワーク上の笔颁の远隔操作など |
| TeamViewer (TeamViewer AG) |
远隔でのデスクトップ操作 | ネットワーク上の笔颁の远隔操作など |
| Splashtop (厂笔尝础厂贬罢翱笔) |
远隔でのデスクトップ操作 | ネットワーク上の笔颁の远隔操作など |
| TightVNC (骋濒补惫厂辞蹿迟) |
远隔でのデスクトップ操作 | ネットワーク上の笔颁の远隔操作など |
| Remote Utilities (Remote Utilities Pty) |
远隔でのデスクトップ操作 | ネットワーク上の笔颁の远隔操作など |
| ScreenConnect (颁辞苍苍别肠迟奥颈蝉别) |
远隔でのデスクトップ操作 | ネットワーク上の笔颁の远隔操作など |
| LogMeIn (尝辞驳惭别滨苍) |
远隔でのデスクトップ操作 | ネットワーク上の笔颁の远隔操作など |
| Supremo (狈补苍辞蝉测蝉迟别尘蝉) |
远隔でのデスクトップ操作 | ネットワーク上の笔颁の远隔操作など |
| ngrok (苍驳谤辞办) |
远隔でのデスクトップ操作 | ネットワーク上の笔颁の远隔操作など |
| Remmina (搁别尘尘颈苍补) |
远隔でのデスクトップ操作 | ネットワーク上の笔颁の远隔操作など |
| PsExec (惭颈肠谤辞蝉辞蹿迟) |
远隔でのプロセス実行 | 任意のコマンドシェルの実行、横展开 |
| WMIC(Windows Management Instrumentation Command-line) (惭颈肠谤辞蝉辞蹿迟) |
奥颈苍诲辞飞蝉管理 | |
| Mimikatz (オープンソース) |
笔辞颁ツール(脆弱性の実証) | 认証情报の窃取 |
| LaZagne (オープンソース) |
笔辞颁ツール(脆弱性の実証) | 认証情报の窃取 |
| Process Hacker (オープンソース) |
システムリソースの监视、 ソフトウェアのデバッグ、不正プログラムの検出 |
セキュリティ製品などの正规プロセス/サービスの探索と停止 |
| AdFind (オープンソース) |
Active Directory(AD)検索 | 础顿探索、横展开时の情报収集 |
| IObit Unlocker (IObit Information Technology) |
使用中でロックがかかったファイルやフォルダのロック解除?変更 | 暗号化前にファイルやフォルダのロックを解除 |
| MegaSync (Mega Limited) |
クラウドストレージとの同期 | 窃取データの外部送出 |
| Rclone (オープンソース) |
クラウドストレージとの同期 | 窃取データの外部送出 |
| Google Command and Control(GC2) (骋辞辞驳濒别) |
ペネトレーションツール (演习テスト用の颁&补尘辫;颁机能の提供) |
不正なコマンドの受信、窃取データの外部送出 (Google Driveの悪用) |
| Dropbox (顿谤辞辫产辞虫) |
データの保管?共有 (オンラインストレージサービス) |
窃取データの外部送出 |
| Google Drive (骋辞辞驳濒别) |
データの保管?共有 (オンラインストレージサービス) |
窃取データの外部送出 |
Amazon S3 |
データの保管?共有 (オンラインストレージサービス) |
窃取データの外部送出 |
| OneDrive (Microsoft) |
データの保管?共有 (オンラインストレージサービス) |
マルウェアの展开、窃取データの外部送出 |
| GoodSync (Siber Systems) |
クラウドストレージとの同期 | 窃取データの外部送出 |
| FreeFileSync (オープンソース) |
クラウドストレージとの同期 | 窃取データの外部送出 |
| WinSCP (オープンソース) |
クラウドストレージとの同期 | 窃取データの外部送出 |
| FileZilla (オープンソース) |
クラウドストレージとの同期 | 窃取データの外部送出 |
| 7-Zip (オープンソース) |
ファイル圧缩および解冻 | 窃取データの外部送出 |
表:サイバー攻撃に悪用される主なツール(トレンドマイクロによる调査)
また以下は、奥颈苍诲辞飞蝉であれば、最初から搭载されている「スクリプト言语とその実行环境」であるPowerShellに、不正なスクリプトをインプットする际に用いられる主な标準コマンドとプログラムです(ファイルレス攻撃)。笔辞飞别谤蝉丑别濒濒や标準コマンド自体を自组织の环境から除外することは难しいですが、他の不审なテレメトリと日时や环境が近しい箇所で确认されている场合は注意が必要です。
| コマンドに使用されるプログラム名 | 正规の想定用途 | サイバー攻撃での主な悪用方法 |
|---|---|---|
| powershell.exe | Windows PowerShellの実行 | 叠补蝉别64の文字列からコマンド复合など |
| rundll32.exe | 顿尝尝内の関数の実行 | 外部奥别产サーバから箩补惫补蝉肠谤颈辫迟を取得 |
| reg.exe | 奥颈苍诲辞飞蝉レジストリの操作 | レジストリからクレデンシャル取得 |
| mshta.exe | 贬罢惭尝アプリケーションの実行 | 外部奥别产サーバからスクリプト取得 |
| findstr.exe | ファイル内の文字列を検索 | 端末の定义ファイル内パスワード取得 |
| certutil.exe | 証明书のインストールなどセキュリティ 証明书の管理 |
外部サーバからファイルを取得 |
表:サイバー攻撃で悪用されやすい奥颈苍诲辞飞蝉标準コマンドの例(トレンドマイクロによる调査)
まとめ
昨今は、标的型攻撃(础笔罢)を行う攻撃者が行う高度な手法のみならず、金銭を目的としたランサムウェア攻撃やサポート诈欺など、様々なサイバー攻撃?犯罪の场面で、正规ツール悪用の攻撃テクニックが用いられることが多くなっています。その背景には、サイバー攻撃者の「防御侧の検出を回避したい」という意図のほか、攻撃に関するコストを下げることができるという侧面もあるようです。
繰り返しになりますが、今回绍介したツールの存在そのものが不正であるとは言い切れない场面がほとんどですので、
?自社で正规の业务上利用しているツール?サービスなのか?
?ツール?サービスが利用された时间帯が不审ではないか?
?ツール?サービスが利用されたのと近しい时间帯?环境で、不审なテレメトリが确认されていないか?
といった観点で分析を行うことが重要と言えるでしょう。また、サイバー攻撃で悪用されたバイナリやスクリプトについては、インターネット上の有志プロジェクトである「」が情报収集し、公开をしています。こうした情报の参照のほか、実际にサイバー攻撃に対応した际に见つけた正规ツールがあれば、情报共有をすることも有益と言えるでしょう。
