T1204 User Executionとは？MITRE ATT&CK日本語解説

※本記事にはアフィリエイトリンクが含まれます。詳しくはプライバシーポリシー・広告掲載についてをご覧ください。

サイバー攻撃の多くは、最終的にユーザー自身の操作によってマルウェアが実行されます。MITRE ATT&CKではT1204 User Executionとして、攻撃者がユーザーの操作に依存してコードを実行させる手法を体系化しています。フィッシングメールの添付ファイルを開く、悪意あるリンクをクリックする——これらは全てUser Executionに分類されます。本記事では、この手法の全体像、Sub-technique、検出方法と緩和策を日本語で詳しく解説します。

※本サイトはMITRE ATT&CK®の非公式日本語解説サイトです。Based on MITRE ATT&CK® v16。

ATT&CK情報

概要

T1204 User Executionは、Execution（実行 / TA0002）タクティクスに属するテクニックです。このテクニックは、攻撃者が悪意あるコードをユーザー自身に実行させることを指します。技術的なエクスプロイトとは異なり、ソーシャルエンジニアリングによってユーザーの信頼や不注意を利用する点が特徴です。

User Executionは多くの攻撃チェーンでInitial Access（初期侵入）からExecution（実行）への橋渡しとして機能します。典型的なパターンは、T1566（Phishing）で配信されたメールに含まれる悪意あるリンクやファイルを、ユーザーがクリック・実行するというものです。

攻撃者はユーザーの操作を誘導するために、業務に関連する内容を装ったメール、緊急性を煽るメッセージ、信頼できる送信元の偽装など、さまざまなソーシャルエンジニアリング手法を組み合わせます。

攻撃シナリオ例

Emotet — 大規模フィッシング経由のUser Execution

Emotetは、世界的に最も広く拡散したマルウェアの一つであり、User Executionを攻撃チェーンの中核に位置付けています。

1. T1566.001（Spearphishing Attachment）: 業務メールに見せかけたメールにWord/Excelファイルを添付
2. T1204.002（Malicious File）: ユーザーがファイルを開き、「コンテンツの有効化」をクリック
3. T1059.005（Visual Basic）: VBAマクロが実行され、PowerShellを起動
4. C2サーバーからEmotet本体をダウンロード・実行

このチェーンは、ユーザーが「ファイルを開く」「マクロを有効にする」という2つの操作を行うことで成立します。

APT29 — 標的型攻撃でのUser Execution

APT29（Cozy Bear）は、標的組織の業務内容を詳細に調査した上で、極めて精巧なフィッシングメールを送信します。受信者は業務上必要な文書と判断してファイルを開くため、User Executionの成功率が非常に高くなります。外交文書や政策レポートを装ったPDFやLNKファイルが頻繁に使用されています。

BEC（ビジネスメール詐欺）との組み合わせ

日本国内でも被害が急増しているBEC（Business Email Compromise）攻撃では、経営者や取引先を装ったメールで添付ファイルの確認やリンクのクリックを指示します。IPA「情報セキュリティ10大脅威 2026」でも、フィッシング・BEC関連の脅威が上位にランクインしています。

検出方法

メールゲートウェイ

• 添付ファイルのサンドボックス分析: Office文書、PDF、実行ファイルをサンドボックスで動的解析し、マクロ実行や外部通信の有無を確認
• URLレピュテーション: メール本文・添付ファイル内のURLをレピュテーションサービスで検査
• 送信元認証: SPF、DKIM、DMARCの検証結果を確認し、送信元偽装を検出

エンドポイント監視

• Officeプロセスからの子プロセス生成（Windows）: WINWORD.EXE→cmd.exe/powershell.exeのプロセスチェーンはUser Executionの典型的指標（Sysmon Event ID 1）
• ファイルダウンロード後の実行: ブラウザのダウンロードディレクトリから直接実行されたファイルを監視
• マクロ実行の監視: Officeアプリケーションの保護ビュー解除やマクロ有効化のイベントを記録

Windowsイベントログ

• Sysmon Event ID 1（Process Creation）: Officeプロセスからの子プロセス起動を検出
• Sysmon Event ID 11（File Created）: ダウンロードフォルダやTempフォルダへの不審なファイル作成を検出
• Event ID 4688（Process Creation with Audit Policy）: コマンドライン引数付きのプロセス作成を記録

緩和策（Mitigations）

実務での推奨対策

• Officeマクロの制限: グループポリシーでインターネットからダウンロードされたOfficeファイルのマクロ実行を無効化（Mark of the Web + マクロブロック）
• 定期的なフィッシング訓練: 四半期ごとにフィッシングシミュレーションを実施し、クリック率を計測・改善
• メール添付ファイルの自動サンドボックス: Microsoft Defender for Office 365やProofpoint等のサンドボックス機能を有効化
• AppLocker/WDACの導入: ダウンロードフォルダやTempフォルダからの実行ファイル起動をブロック
• SPF/DKIM/DMARC: メール送信元認証を厳格に設定し、なりすましメールを検出

関連するSub-techniques

T1204 User Executionには以下のSub-techniqueがあります：

• T1204.001 — Malicious Link: 悪意あるリンクをクリックさせてマルウェアをダウンロード・実行させる手法
• T1204.002 — Malicious File: 悪意あるファイル（Office文書、PDF、実行ファイル等）を開かせて実行させる手法
• T1204.003 — Malicious Image: 悪意あるコンテナイメージ等を実行させる手法

攻撃チェーンにおける関連テクニック

• T1566（Phishing）: User Executionの前段階としてフィッシングメールが配信される
• T1059（Command and Scripting Interpreter）: User Execution後にPowerShellやVBA等のスクリプトが実行される

おすすめセキュリティ対策ツール

本記事で紹介した対策を実施するうえで役立つ製品をご紹介します。

🛡️ まず今日から始めるなら：エンドポイント保護ソフトの導入
攻撃者がUser Executionを使用する場合、メールフィルタリングとエンドポイント保護の組み合わせが有効な緩和策となります。

• ESET（イーセット） ※PR — 軽量・企業向け実績あり
• ウイルスバスター ※PR — 日本語サポート充実・国産
• Norton（ノートン） ※PR — 世界最大手・VPN機能付き

※ 上記はアフィリエイトリンクです。料金・機能は各公式サイトで必ずご確認ください。

まとめ

• T1204 User Executionは、ソーシャルエンジニアリングによりユーザー自身にマルウェアを実行させる手法である
• フィッシングメール→ファイル/リンク→実行という攻撃チェーンが最も一般的なパターン
• Officeマクロの制限、メールサンドボックス、フィッシング訓練が有効な緩和策
• 技術的対策とユーザー教育の両面からアプローチすることが重要

参考文献

• MITRE ATT&CK — T1204 User Execution
• IPA（情報処理推進機構）セキュリティセンター
• MITRE ATT&CK公式サイト

Based on MITRE ATT&CK® v16, © The MITRE Corporation. Licensed under Apache License 2.0.
本ページは非公式翻訳・解説です。正確な情報はMITRE公式サイト（https://attack.mitre.org/）をご参照ください。