2016年06月10日 08時00分 UPDATE
特集/連載

攻撃者にとっても便利なPowerShell「セキュリティ製品はノーマーク」のPowerShellを使ったサイバー攻撃増加中

かねて危険性が指摘されてきたPowerShellのリスクが、Carbon Blackの脅威レポートによって初めて定量化された。PowerShellを使ったサイバー攻撃が増加する中、防御策はあるのか?

[Warwick Ashford,Computer Weekly]
Computer Weekly

 セキュリティ企業Carbon Blackとそのパートナーは、「Windows PowerShell」を使ったサイバー攻撃が2015年は全攻撃の38%に達したと報告した。

Computer Weekly日本語版 6月8日号無料ダウンロード

本記事は、プレミアムコンテンツ「Computer Weekly日本語版 6月8日号」(PDF)掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。

なお、同コンテンツのEPUB版およびKindle(MOBI)版も提供しています。

ボタンボタン

 セキュリティの専門家は、「PowerShellが2015年には完全に凶器と化してしまった」と警告していたが(訳注)、Carbon Blackの脅威レポートでそのリスクが初めて定量化された。

訳注:「5月11日号:新トランジスタで蘇るムーアの法則」収録の「『Windows PowerShellは凶器』セキュリティ専門家が今、警鐘を鳴らす理由」参照。

 このレポートは、1100件のサイバーセキュリティインシデントデータに基づいている。このデータは、BTB Security、EY、Kroll、Optiv、Rapid7、Red Canaryなど、Carbon Blackのパートナープログラムに参加している企業系サービスプロバイダーとインシデント対応企業28社が調査したものだ。

 調査に参加した企業の3分の2以上が、2015年にPowerShellのエクスプロイトに遭遇したという。

 PowerShellエクスプロイトの増加は、マルウェア作成者がOSのツールを悪用して検出を逃れる方法を試す傾向が高まっていることを示している。PowerShellを使った攻撃は、検出されずにとどまることで効果を発揮する。Carbon Blackパートナーの31%がPowerShell関連のインシデントはセキュリティの警告を発しなかったと報告している。つまり、攻撃側はPowerShellを使って企業のシステムに入り込むことに成功し、検出されずにそこにとどまっていることになる。

 PowerShell攻撃の大半は、基本的脅威または日和見的脅威の形態を取り、クリック詐欺、偽のウイルス対策ソフトウェア、ランサムウェアなど、普段のマルウェア攻撃が用いられる。だが、PowerShellに関わる攻撃の13%は、標的型または「進化型」と考えられる。

マルウェア共通の種類と拡散方法

 PowerShell攻撃に最もよく使われる共通のマルウェアは、「VAWTRAK」(調査した攻撃の53%)、「Poweliks」(47%)、「Power Worm」(42%)の3種類だ。

 Carbon Blackパートナーによれば、PowerShellベースの攻撃の拡散手法には、ソーシャルエンジニアリングが依然として好まれているという。

 「PowerShellは非常に強力なツールだ。システムのクエリやコマンドの実行に大きなメリットがある上、リモートコンピュータでも機能する」とCarbon Blackの共同設立者で主任セキュリティストラテジストのベン・ジョンソン氏は話す。

 「だが、PowerShellが従来のエンドポイントセキュリティ製品からはノーマークで実行されるため、最近は悪意のある目的に利用されるようになっている」

 「PowerShellはWindowsの一部なので攻撃者に大きな力を与えることになり、セキュリティチームの対応を困難にする。一方、IT担当者はさまざまなタスクの自動化にPowerShellを利用している。そのため、この2つの部門が連携してITの自動化とセキュリティを両立させる必要がある」と同氏は指摘する。

 2016年3月、Carbon Blackの脅威調査チームが、「PowerWare」と称するランサムウェアバリアントに関する勧告を出した。PowerWareは、「Microsoft Word」とPowerShellを使って組織を標的にする。

 調査担当者によると、PowerWareはPowerShellを使って悪意のあるコードを取り込んで実行することによって正当な操作に紛れ込むため、検出が一層難しくなるという。

MicrosoftによるWindows10の強化

この記事を読んだ人にお薦めの関連記事

この記事を読んだ人にお薦めのホワイトペーパー

Loading

注目テーマ

ITmedia マーケティング新着記事

news134.jpg

Oracle、IBM、Adobeが語るデジタルマーケティングの新潮流
主要マーケティングツールベンダーは現在のマーケティングトレンドをどう見ているのか。...

news112.jpg

KDDI、ショッピングモール「Wowma!」出店店舗の中国向け越境EC参入をサポート
KDDIは、越境ECプラットフォーム「豌豆 (ワンドウ) プラットフォーム」を運営するInagora...

news064.jpg

シャノンの「イベント受付来場認証」がPepperと連携
シャノンは、MAツール「SHANON MARKETING PLATFORM」において、展示会・イベントの来場者...