この記事のポイント
- Living off the Land攻撃の本質は、悪性ツールより『正規機能がそのまま悪用されること』です。
- 危険なのは、PowerShell や管理ツールの単発実行ではなく、横移動や持ち出しと組み合わさることです。
- ASM診断 PRO は OS 機能悪用を止める製品ではありませんが、公開された外部導線の棚卸しに役立ちます。
まず無料で確認する
無料でASM診断を開始
Living off the Land攻撃で触れている論点は、自社ドメインを実際に診断すると優先順位が掴みやすくなります。まずは外部公開資産を無料で可視化してください。
Living off the Land攻撃とは何か
Living off the Land攻撃は、専用 malware ではなく、正規機能がそのまま攻撃導線へ転用される問題として見ると理解しやすくなります。
正規ツールや OS 機能を悪用して侵入後活動を進めます
Living off the Land攻撃は、PowerShell、WMI、スケジュールタスク、圧縮機能、管理共有などの正規機能や標準ツールを悪用し、専用 malware を目立たせずに侵入後活動を進める問題です。
そのため「未知 malware を止めれば十分」という発想では足りません。正常業務でも使う機能が主役なので、検知は単語マッチより文脈が重要になります。
ラテラルムーブメントと近いですが、主役は正規機能悪用です
ラテラルムーブメント対策は横移動全体が主役です。本記事では、横移動や持ち出しに使われる正規ツール・正規機能の悪用を主役にします。
だから対策も、network segmentation だけでは不十分です。正規ツールの normal usage をどう定義し、何を例外扱いするかが重要になります。
Webシェルや token theft の後段としても起きやすいです
Living off the Land攻撃は、単独よりもWebシェルやセッショントークン窃取の後段で現れやすくなります。つまり前段の侵入と後段の活動を分けすぎないことが大切です。
なぜ成立するのか、どこが盲点になるのか
| 盲点 | なぜ成立しやすいか | 実務上の弱点 |
|---|---|---|
| 正規ツール実行を正常とみなす | 業務利用と区別しにくいためです。 | baseline 不足 |
| コマンド単体でのみ監視する | 単発実行だけでは異常の文脈が見えにくいためです。 | 相関不足 |
| 高権限端末での使用条件が曖昧 | 悪用時の影響が大きくなるためです。 | 権限統制不足 |
| 前段の侵入と後段の正規機能悪用を別調査にする | 攻撃 chain 全体が見えなくなるためです。 | incident 分断 |
| 委託先や運用スクリプトの例外が多い | 何が normal か曖昧になるためです。 | 例外過多 |
単独コマンドより、前後の文脈を見ないと見抜けません
正規ツール悪用は、PowerShell 1回、圧縮 1回だけでは異常に見えないことがあります。問題は、認証変更、横移動、外向き通信、持ち出し、権限変更と連続した時に初めて見えてくることです。
そのため監視も、単発 IOC より event correlation を重視する必要があります。
CISA や NISC も TTP としての正規機能悪用を重視しています
CISA のTTP 資料や NISC の注意喚起は、専用 malware だけでなく、正規ツール悪用を含む継続的な TTP を重視しています。これは、正規機能悪用が既知の攻撃パターンであり続けることを意味します。
被害の広がり方と企業側のリスク
正常に見えるからこそ、被害が深くなるまで気づきにくいです
Living off the Land攻撃は、悪性 binary のダウンロードがなくても進むため、発見が遅れやすくなります。結果として、横移動やデータ持ち出しが深くなるまで気づけないことがあります。
公開導線の整理も補助線になります
正規機能悪用そのものは内部の話ですが、前段の侵入点を減らす意味で外部接続点の可視化を進める価値があります。前段と後段を分けすぎないことが大切です。
検知・防御・運用で押さえるべき対策
管理者・運用で使う正規ツールを棚卸しする
PowerShell、certutil、bitsadmin、wmic、schtasks など、業務でも使う正規機能を洗い出し、利用用途を明確にします。
正常利用の基準作り高リスク端末と高権限での利用条件を絞る
管理者端末、委託先端末、共有サーバでは、使ってよい正規ツールと時間帯、権限を明確にし、例外を減らします。
悪用余地の縮小コマンド列ではなく挙動の組み合わせで監視する
単独の PowerShell 実行だけでなく、認証変更、横移動、外向き通信、圧縮、持ち出しの組み合わせで異常を見ます。
検知強化管理経路と正規ツール悪用を同じ incident として扱う
正規ツール悪用は単独ではなく、RMM、Webシェル、token theft の後段で起きやすいため、前段と分断せずに見ます。
調査の一体化正常利用の基準を月次で見直す
新しい管理スクリプト、委託先運用、OS 更新で normal baseline は変わるため、監視ルールも見直します。
継続運用実務では、正常利用 baseline の策定、高権限での利用条件制限、event correlation の整備を一緒に進めると、正規機能悪用を見つけやすくなります。
どの正規機能が悪用されやすく、なぜ見分けにくいのか
狙われるのは「珍しい機能」ではなく、管理で日常的に使う機能です
Living off the Land攻撃で悪用されやすいのは、PowerShell、WMI、タスクスケジューラ、圧縮機能、証明書関連コマンド、管理共有、正規のリモート操作機能など、管理者や運用担当が日常的に使う機能です。つまり、攻撃者は専用のツールを持ち込むより、既に社内で信用されている機能を借りる方が目立たないと考えています。
そのため、単純に「危険なコマンドを禁止する」だけでは追い付きません。どの端末で、誰が、どの時間帯に、どんな目的で使うのが通常かを決めていない環境では、正規機能悪用と通常運用の境界が曖昧なまま残ります。
単発イベントは正常に見え、前後の並び方で異常になります
Living off the Land攻撃が見えにくい最大の理由は、単発のイベントだけを見ると正常操作に見えることです。PowerShell 実行、タスク登録、圧縮、ファイルコピーのどれも業務上あり得ます。しかし、短時間に認証変更、共有フォルダ探索、外部通信、圧縮、持ち出しが連続すると、その並び方自体が異常になります。
したがって、監視は「このコマンドを見たらアラート」ではなく、「どの端末で、どの権限で、前後に何が起きたか」を見る必要があります。ここが弱いと、malware を使わない侵害後活動はとても長く潜伏できます。
監視を誤ると見逃しやすいポイント
セキュリティ製品のログだけでは、運用上の正当性を判断できません
EDR や SIEM があっても、運用台帳、変更申請、委託先作業予定、管理者当番表と結び付いていなければ、「この PowerShell は保守作業か、侵害後活動か」を判定しにくくなります。Living off the Land攻撃では、技術ログと業務文脈を切り離した時点で、防御側が不利になります。
実務では、予定外の時間帯、予定外の端末、予定外の管理者、予定外の接続元から正規機能が使われていないかを見る方が有効です。コマンド名そのものより「誰の正当業務として説明できるか」を先に問う方が、現場では誤判定が減ります。
前段の侵入経路と切り離して調べると、再発防止が薄くなります
Living off the Land攻撃は、しばしばWebシェル、RMM悪用、デバイスコードフィッシングの後段で起きます。にもかかわらず、前段の侵入と後段の正規機能悪用を別チームで別 incident として扱うと、なぜその権限でその機能が使えたのかが見えなくなります。
再発防止に必要なのは、後段のコマンド列だけを覚えることではなく、どの侵入口から入り、どの資格情報を使い、どの管理面へ届いたかを一本の流れで持つことです。ここまでつながると、正規機能悪用は「見えない攻撃」ではなく、前後関係で説明できる攻撃になります。
通常運用の基準線をどう作り、どう維持するか
高権限端末・委託先端末・運用サーバごとに normal を分けるべきです
正規機能悪用を見つけるには、「何が正常か」を一つの会社共通ルールで決めるのではなく、端末や役割ごとに定義し直す必要があります。管理者端末、委託先端末、業務サーバ、公開 Web サーバでは、使ってよい機能も時間帯も違います。ここを分けずに一律で運用すると、監視は多すぎるか弱すぎるかのどちらかになります。
実務では、端末種別ごとに「通常使う正規機能」「原則禁止の機能」「使う場合の申請」「高権限での例外」「ログの保管先」を決めておくと、incident 時の切り分けがかなり速くなります。基準線は検知ルールの前にある運用設計です。
月次点検では、スクリプト追加と委託先例外の増減を重点確認します
normal baseline は一度決めたら終わりではありません。新しい運用スクリプト、委託先追加、OS 更新、管理ツール変更があるたびに、何が通常で何が例外かは変わります。だから月次点検では「新しく追加されたスクリプト」「新しく高権限で使えるようになった機能」「期限切れのはずの委託先例外」を重点的に見るべきです。
ここまで整うと、Living off the Land攻撃への対策は製品依存ではなく、運用設計として回せるようになります。管理者と運用担当が「その機能が本当に必要か」「なぜその権限が続いているか」を継続的に見直すことが、防御の土台になります。
委託先・運用チーム・管理者で例外を閉じる方法
例外利用を口頭で済ませると、normal baseline は壊れます
Living off the Land攻撃が見つけにくくなる最大の理由の一つは、例外利用が口頭や暗黙知で増えることです。「この委託先はこの時間だけ PowerShell を使う」「この運用チームは障害時に管理共有へ直接入る」といった運用が文書化されないまま残ると、監視側は何を正常とみなせばよいか分からなくなります。
そこで必要なのは、例外の起票、承認、期限、対象端末、利用者、終了確認を必ず残すことです。例外が記録されるだけでも、正規機能悪用は「全部が怪しい」状態から、「説明できない例外だけを疑う」状態へ改善します。
管理者教育では「危険なコマンド一覧」より、危険な並び方を教えるべきです
管理者教育でありがちなのは、PowerShell や certutil の危険性を単語で覚えさせることです。しかし現場で役立つのは、「予定外の端末で」「予定外の権限で」「予定外の時間に」「別の認証変更や通信と一緒に」使われたら危険、という並び方の理解です。つまり必要なのは禁止語集ではなく、異常な文脈を見抜く視点です。
ここまで共有されると、運用チームもセキュリティ担当も同じ基準で会話できます。Living off the Land攻撃はツールの話に見えて、実際には「通常運用をどこまで説明できるか」の問題です。教育と運用をつなげることが、防御側の質を大きく左右します。
検知ルールと演習をどう育てるか
ルールは一度作って終わりではなく、誤検知理由まで残すべきです
Living off the Land攻撃の検知ルールは、作って終わりにするとすぐ陳腐化します。新しい運用スクリプト、委託先変更、OS 更新があるたびに正常利用の形は変わるからです。だから運用では、アラートを閉じる時に「本当に正常だった理由」「今後も正常とみなす条件」「例外の期限」を残す方が重要になります。
誤検知を単に黙らせるのではなく、どの端末、どの役割、どの時間帯なら正常かをルールへ戻していくと、監視は次第に強くなります。逆に、誤検知を嫌って広く許可し過ぎると、正規機能悪用は再び見えなくなります。運用改善の履歴を残すこと自体が、防御の資産になります。
演習では、前段侵入から後段悪用までを一本で確認します
演習をするなら、PowerShell 単発だけを見るのではなく、前段の侵入、認証情報取得、正規機能悪用、横移動、持ち出し兆候までを一本のシナリオで確認する方が実務に近づきます。そうすると、どのチームがどこで見失うのか、どのログが不足しているのかが見えやすくなります。
とくに、委託先作業や障害対応と誤認しやすい流れを演習へ含めると、正規機能悪用の難しさが共有されます。Living off the Land攻撃は派手な malware より地味に見えるため、平時の演習で文脈判断を鍛えておかないと、本番で「あり得そう」に流されやすくなります。
事後レビューで残すべき論点
どの正規機能が問題だったかより、なぜそこまで届いたかを残します
事後レビューでは、「PowerShell が使われた」「スケジュールタスクが作られた」といった現象だけでなく、どの侵入口から、どのアカウントで、どの端末へ届き、なぜその正規機能を高権限で実行できたのかを残す必要があります。これが無いと、次の incident でも同じように後段の挙動だけを追い、前段の運用穴を見逃します。
レビューで有効なのは、入口、権限、正規機能、横移動、検知、封じ込めの6列で並べることです。この並びがあると、どこで説明が途切れたかが見え、改善の責任者も決めやすくなります。Living off the Land攻撃は分かりにくいからこそ、事後レビューを構造化する価値があります。
委託先例外と管理者権限の見直しを、レビューの必須項目にします
正規機能悪用の後では、委託先例外、高権限端末、管理者グループの見直しをレビューの必須項目にするべきです。理由は、攻撃者が正規機能を使えたのは、多くの場合その前に「使える権限」が残っていたからです。ここを変えないと、次回は別の正規機能が使われるだけです。
つまりレビューの目的は、使用されたコマンドの一覧を作ることではありません。正規機能悪用が成立した前提条件を減らし、normal baseline を育て直すことです。そこまで踏み込めると、Living off the Land攻撃への対策は個別検知から運用改善へ進めます。
定着させるための管理指標と会議体
運用会議では、コマンド数ではなく例外件数と説明不能件数を見ます
Living off the Land攻撃対策を定着させるには、監視会議で大量のイベント一覧を眺めるより、「説明不能な正規機能利用が何件あったか」「期限切れ例外が何件残っているか」「委託先由来の高権限利用が何件あったか」を追う方が有効です。指標が業務説明と結び付くと、管理者も運用担当も同じ論点で改善しやすくなります。
逆に、検知数だけを見ると、正常運用が増えたのか異常が増えたのかが分かりません。正規機能悪用は「どれだけ使われたか」より「どれだけ説明できないか」で見る方が、現実の判断に近づきます。
会議体はセキュリティ部門だけでなく、運用と委託先管理を含めます
例外件数を減らすには、セキュリティ部門だけでは足りません。運用部門、委託先管理、端末管理、ID 管理の担当が同じ場で「どの例外をいつまで残すか」を確認する必要があります。Living off the Land攻撃は内部運用に寄り添って成立するため、改善も内部運用の連携が前提です。
ここまで仕組み化できると、正規機能悪用は個々の担当者の勘に頼らず、運用指標で継続的に抑えられるようになります。結果として、見えにくい post-exploitation を「検知の強さ」だけでなく「運用の硬さ」でも減らせるようになります。
つまり、Living off the Land攻撃への対策は SOC の仕事だけではありません。例外承認、委託先管理、運用設計、教育、レビューを同じ会議体で回すことで、正規機能悪用が「誰の責任でもない領域」になるのを防げます。
この状態まで持っていけると、正規機能悪用は見えにくい攻撃であっても、説明不能な例外を減らすことで少しずつ管理可能になります。運用指標と会議体を持つことは、技術的な監視強化と同じくらい重要な防御策です。
つまり、Living off the Land攻撃への対策は「危険なコマンドを覚えること」より、説明不能な正規利用を減らす運用へ移れるかどうかにかかっています。ここが定着すると、防御はかなり強くなります。
そのため、最後に効いてくるのは監視製品の数ではなく、正規機能の利用理由をどこまで説明できるかです。説明不能な例外を減らし続ける運用こそが、正規機能悪用への最も持続的な対策になります。
加えて、例外利用を認めた案件ほど事後に振り返り、「本当にその権限や機能が必要だったのか」を見直すと、翌月以降の不要な例外をかなり減らせます。こうした小さな見直しの積み重ねが、正規機能悪用を成立しにくくします。
公開導線や古い管理面の棚卸しなら ASM診断 PRO
ASM診断 PRO 公式サイト
ASM診断 PRO は OS 正規機能悪用を直接止める製品ではありませんが、前段になる公開導線、古い管理面、委託先接続の棚卸しを補助する入口として使えます。
正規ツール悪用は前段の侵入があって初めて成立します。公開導線を減らしておくことは、Living off the Land攻撃の補助対策として意味があります。
とくに、正規機能悪用は内部の挙動に見えるため、前段の侵入面がどこにあるかを見失うと再発防止が弱くなります。ASM診断 PRO で外から見える実際の状態を先に整理しておくと、公開管理面、古いサブドメイン、委託先導線のどこが入口になりうるかを運用チームと共有しやすくなります。
また、正規機能悪用を止めるには、内部監視だけでなく「どの外部導線からその権限へ届くのか」を把握することが重要です。外部導線の棚卸しは、EDR や SIEM の代わりではなく、その前段で攻撃者に渡る入口を減らす作業として意味があります。
つまり ASM診断 PRO は、Living off the Land攻撃そのものを検知しなくても、前段になる公開面の整理を通じて incident 全体の難易度を上げる補助線になります。外から見える資産と責任者を結び付け、不要な管理面を減らすことが、後段の正規機能悪用までつながる連鎖を細くします。
よくある質問
Living off the Land攻撃とは何ですか?
OS 標準機能や正規ツールを悪用して、専用 malware を目立たせずに侵入後活動を進める攻撃です。
ラテラルムーブメントと同じですか?
同じではありません。ラテラルムーブメントは横移動全体が主役で、Living off the Land攻撃はその際に使われる正規機能悪用が主役です。
PowerShell を止めれば十分ですか?
十分ではありません。PowerShell 以外にも多くの正規機能が悪用されるため、利用条件と event correlation を整える必要があります。
何を監視すべきですか?
正規ツール単発ではなく、認証変更、横移動、外向き通信、持ち出し、権限変更を含む連続挙動を監視してください。
ASM診断 PRO は OS 内部の挙動を監視する製品ですか?
いいえ。ASM診断 PRO は前段の公開導線や外部露出面の棚卸しを補助する位置づけです。
まとめ
Living off the Land攻撃対策は、単一コマンドの検知ではなく、最小権限、文脈監視、管理経路整理、見直しを重ねてこそ実務で効きやすくなります。
Living off the Land攻撃の本質は、悪性ツールより正規機能がそのまま攻撃導線になることです。だから IOC だけでなく、normal baseline と挙動相関が重要になります。
高権限での利用条件、委託先例外、前段の侵入点までまとめて見直すことで、見えにくい post-exploitation を止めやすくなります。
次のアクション
読み終えたら、無料でASM診断を開始
外部公開資産の現状を無料で確認し、管理漏れや優先して見るべきリスクを洗い出してください。記事で読んだ内容を、そのまま自社の判断へつなげやすくなります。
参考にした一次ソース
重要論点の根拠として参照した一次ソースだけを掲載しています。
正規機能悪用を含む TTP 文脈整理に使用。
日本語 reader 向けの正規ツール悪用文脈整理に使用。
最近の研究論点整理に使用。