はじめに
「サーバー攻撃=マルウェアを利用する!」と思っている方は多いかもしれません。私もセキュリティについて学び始めるまではそう考えていました。しかし、マルウェアを用いなくても認証情報の取得や情報漏洩を引き起こせる手法が存在します。それが 「Living off the Land(LotL)」攻撃 です。あまり名前は知られていないかもしれませんが、東京都産業労働局やJPCERTのサイトでも紹介されている、いわば 「知っていて損はない」 というより、もはや 「知っておくべき」 といえる攻撃手法 です。
本記事ではその「Living off the Land」の概要について、ざっくりとご紹介したいと思います。
※本投稿は、2026年3月時点の情報、及び、あくまで一個人のメモ書きと思ってお読みください
Living off the Land(LotL)攻撃とは
「Living off the Land」攻撃とは、マルウェアなどではなく、システムに標準で組み込まれているOSの正規管理ツールやコマンドを利用して行う攻撃手法 です。
「Live off the land」という表現は、「自給自足をして生活をする」という意味をもつ英語の慣用句から来ています。攻撃者は事前に用意したマルウェアを使うのではなく、攻撃対象となる組織内にすでに存在している正規ツールを現地で調達し、これらを利用して攻撃を行います。まさに、その言葉通りの手法と言えるでしょう。
それぞれ分解すると次のような訳になります。
- live off:~で生計を立てる
- the land:その土地
これは余談ですが、初めてこの名前を聞いた時、少年時代にドはまりしていた遊戯王カードの「リビングデッドの呼び声」を思い出しました。墓地からモンスターを呼び出すという恐ろしいカードでした。たしか大会での禁止カードにも指定されていたはず。(苦笑)
同様にLiving off the Landも非常に厄介です。この攻撃の大きな特徴は、 PowerShellやコマンドプロンプトなど、運用の現場でも使われるツールを攻撃者が悪用すること です。
何が恐ろしいのかというと、 正規ツールを利用するため、攻撃の痕跡が残りにくく、エンドポイントセキュリティ製品で検知しづらい という点です。
過去事例
Living off the Landが注目される大きな要因となった事件が、NotPetya攻撃です。2017年にウクライナの税務管理ソフトが改ざんされたことでマルウェア感染が始まり、 Windows標準の管理ツール(WMICやPSExecなど)を悪用して社内ネットワークへ爆発的に拡散 されました。これにより物流、医薬品、通信など世界中の大企業で業務停止や莫大な経済損失が発生しました。
この攻撃は、 正規ツールを用いた拡散(=Living off the Land)の典型例 であり、従来のセキュリティ製品が検知しづらい攻撃手法としてLiving off the Landの脅威が世界的に強く認識されるきっかけとなりました。
対策
Living off the Landの被害を受けないようにするためには、灯台下暗しとならないよう、正規ツールについても、セキュリティ対策を実施することがカギとなります。実施できる対策としては、以下が挙げられます。
- 業務上不要なツールやコマンドは、端末ごとに「禁止」または「権限管理」をすること
- 権限・アクセス管理やネットワーク区分けを徹底すること
補足
近年何かと注目されがちなLiving off the Landですが、JPCERTでは、実は2015年の段階から既に攻撃者が悪用するWindowsコマンドという内容で紹介されています。
概要としては、攻撃におけるどの段階(①初期調査②探索活動③感染拡大)においてもWindowsの標準コマンドが利用されていることが紹介され、特に利用されやすいコマンドTop10をまとめてくれているため、対策を講じるうえで参考になります。
おわりに
Living off the Land攻撃の怖さは、「マルウェアなどを使用しなくても普段慣れ親しんだ正規ツールを用いることで攻撃ができる」 ことにあると思います。そのため、組織として不必要なコマンドの利用は制限すること、それが難しい場合は、正規ツールも対象に利用の監視を徹底していくことが重要だと感じました。
また、攻撃の対策を講じるためには、日頃からどのような攻撃手法があるか、を知っておくことが重要だなと感じています。「千里の道も一歩から」、私自身まだまだ知らないことばかりなので、これからもコツコツとキャッチアップを頑張ります。
参考文献