T1059 コマンド＆スクリプティングインタプリタとは？攻撃手法と検知方法【MITRE ATT&CK】

T1059Tactic: Execution (TA0002)|ATT&CK v16|非公式日本語解説

※本記事にはアフィリエイトリンクが含まれます。詳しくはプライバシーポリシー・広告掲載についてをご覧ください。

サイバー攻撃の多くは、OSに標準搭載されたスクリプト環境やコマンドラインを悪用して実行されます。MITRE ATT&CKフレームワークでは、こうした手法をT1059 Command and Scripting Interpreter（コマンド＆スクリプティングインタプリタ）として体系的に分類しています。本記事では、T1059の概要から具体的な攻撃シナリオ、検出方法、緩和策までを日本語で詳しく解説します。SOCアナリスト、セキュリティエンジニア、IT管理者の方を対象に、実務で活用できる情報をお届けします。

※本サイトはMITRE ATT&CK®の非公式日本語解説サイトです。Based on MITRE ATT&CK® v16。

T1059 コマンド＆スクリプティングインタプリタの概要
1. 攻撃チェーンにおけるT1059の位置づけ
T1059のSub-technique一覧
攻撃シナリオ例
検出方法
緩和策（Mitigations）
実装チェックリスト
おすすめセキュリティ対策ツール
まとめ：T1059対策の3つのポイント
関連記事

T1059 コマンド＆スクリプティングインタプリタの概要

T1059は、MITRE ATT&CKのExecution（実行 / TA0002）タクティクスに分類されるテクニックです。攻撃者は、ターゲットシステム上のコマンドラインインターフェースやスクリプトエンジンを悪用して、不正なコマンドやスクリプトを実行します。

このテクニックが特に危険な理由は、攻撃者が利用するツールがOSの正規機能であるという点です。PowerShell、cmd.exe、Bash、Pythonなどはシステム管理やアプリケーション実行に日常的に使われるため、悪用されてもセキュリティ製品による検出が困難になりがちです。これは「Living off the Land（環境寄生型攻撃）」と呼ばれる手法の中核を成しています。

攻撃チェーンにおけるT1059の位置づけ

典型的な攻撃チェーンでは、T1059は以下のような流れで使用されます：

T1566（フィッシング）→ T1204（ユーザー実行）→ T1059（コマンド＆スクリプティングインタプリタ）

攻撃者はフィッシングメールで悪意のある添付ファイルやリンクを送信し、ユーザーがそれを開くと、バックグラウンドでPowerShellやcmd.exeなどのスクリプトインタプリタが起動され、マルウェアのダウンロードや横展開（Lateral Movement）が実行されます。

T1059のSub-technique一覧

T1059には以下の8つのSub-techniqueが定義されています。各手法には固有の攻撃パターンと検出方法があります。

ID	名称	概要
T1059.001	PowerShell	Windows環境で最も悪用されるスクリプト環境。難読化やリモート実行が容易
T1059.002	AppleScript	macOS環境でのスクリプト実行。アプリケーション間連携を悪用
T1059.003	Windows Command Shell	cmd.exeによるバッチファイル・コマンドライン実行
T1059.004	Unix Shell	Linux/macOSのBash、sh等による実行
T1059.005	Visual Basic	VBAマクロ・VBScriptによるOffice文書経由の攻撃
T1059.006	Python	クロスプラットフォームで動作するスクリプト実行
T1059.007	JavaScript	JScript/Node.jsによるWSH経由の実行
T1059.008	Network Device CLI	ネットワーク機器のCLIを悪用した操作

攻撃シナリオ例

実際の攻撃グループがT1059をどのように使用しているかを紹介します。

APT29（Cozy Bear）によるPowerShell悪用

ロシアの国家支援型攻撃グループAPT29は、フィッシングメールを起点に、PowerShellスクリプトを用いてC2（Command and Control）サーバーとの通信を確立します。エンコードされたPowerShellコマンド（-EncodedCommand）を使用し、セキュリティ製品の検出を回避するのが特徴です。

FIN7によるVBAマクロ攻撃

金融犯罪グループFIN7は、Word/Excel文書に悪意のあるVBAマクロを埋め込み、ユーザーがマクロを有効化すると、cmd.exeやPowerShellを経由してペイロードをダウンロード・実行します。請求書や発注書を装った文書で受信者の信頼を得る手口が典型的です。

Lazarus GroupによるPython利用

北朝鮮系のLazarus Groupは、Pythonスクリプトを使用して暗号資産取引所への攻撃を実行した事例があります。Pythonのクロスプラットフォーム性を利用し、Windows・Linux両環境で動作するバックドアを展開しました。

検出方法

T1059に関連する不審な活動を検出するための主要なアプローチを紹介します。

プロセス監視

スクリプトインタプリタの実行を監視することが最も基本的な検出手法です。

PowerShell: powershell.exe / pwsh.exe の起動。特に -EncodedCommand、-ExecutionPolicy Bypass、-NoProfile パラメータの使用
cmd.exe: 親プロセスがOfficeアプリケーション（winword.exe、excel.exe）の場合は高リスク
Python/JavaScript: python.exe、wscript.exe、cscript.exe の不審な起動パターン

コマンドラインログ

Windowsイベントログの以下のIDを監視します：

イベントID 4688: プロセス作成（コマンドライン引数を含む）
イベントID 4104: PowerShell ScriptBlock Logging（実行されたスクリプトの全文を記録）
イベントID 4103: PowerShell Module Logging
Sysmon Event ID 1: 詳細なプロセス作成情報

ネットワーク監視

スクリプトインタプリタからの外部通信を検出します。PowerShellのInvoke-WebRequestやPythonのurllibによる不審な外部接続、難読化されたBase64ペイロードのダウンロードなどがアラート対象になります。

緩和策（Mitigations）

ID	緩和策名	概要
M1042	機能の無効化・削除	不要なスクリプトエンジンの削除、VBAマクロの無効化
M1049	ウイルス対策/マルウェア対策	AMSI（Antimalware Scan Interface）連携でスクリプト実行時のスキャン
M1045	コード署名	PowerShellの実行ポリシーで署名済みスクリプトのみ許可
M1038	実行防止	AppLocker/WDACによるスクリプト実行の制限
M1026	特権アカウント管理	管理者権限でのスクリプト実行を制限

実装チェックリスト

☐ PowerShell ScriptBlock Logging（イベントID 4104）を有効化
☐ コマンドラインプロセス監査（イベントID 4688）を有効化
☐ AppLockerまたはWDACでスクリプト実行ポリシーを設定
☐ Office文書のVBAマクロをデフォルト無効に設定
☐ 不要なスクリプトエンジン（wscript.exe、cscript.exe等）の実行を制限
☐ エンドポイント保護ソフトのAMSI連携を確認

まとめ：T1059対策の3つのポイント

正規ツールの悪用に注意：PowerShell、cmd.exe、Python等のOS標準ツールが攻撃の入口になる。「Living off the Land」攻撃は従来のシグネチャ検出では見逃されやすい
ログの充実が検出の鍵：ScriptBlock Logging、コマンドラインプロセス監査、Sysmonを有効化し、SIEM/EDRで相関分析を行うことで不審なスクリプト実行を早期に検出できる
多層防御で緩和する：AppLocker/WDAC、マクロ無効化、コード署名ポリシー、AMSI連携を組み合わせてスクリプト実行リスクを最小化する

参考資料：MITRE ATT&CK T1059 – Command and Scripting Interpreter / 情報セキュリティ10大脅威 2026（IPA） / JPCERT/CC