2017年02月09日 08時00分 UPDATE
特集/連載

「PowerShellは凶器」から約1年なぜPowerShellが危険なのか? 増え続ける悪用の現状

セキュリティ専門家に「PowerShellが凶器と化した」と警告されてから約1年。事態はさらに悪化している。PowerShellが悪用されている現状と、PowerShellが狙われる理由を再確認しよう

[Warwick Ashford,Computer Weekly]
Computer Weekly

 Microsoftの「Windows PowerShell」構成管理フレームワークがサイバー攻撃に悪用される状況が続いており、研究者によるとPowerShellに関連する脅威は急増しているという。

Computer Weekly日本語版 2月8日号無料ダウンロード

本記事は、プレミアムコンテンツ「Computer Weekly日本語版 2月8日号」(PDF)掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。

なお、同コンテンツのEPUB版およびKindle(MOBI)版も提供しています。

ボタンボタン

 2016年3月、セキュリティの専門家はPowerShellが完全なる凶器と化したと警告した。その翌月には、2015年に確認されたサイバー攻撃の38%にPowerShellが使用されていたことをセキュリティ企業のCarbon Blackとそのパートナー企業が裏付けた(訳注)。

訳注:「別冊Computer Weekly Windows PowerShellが凶器になるとき(転載フリー版)」参照。

 本稿執筆時点では、Symantecの研究者が解析したPowerShellスクリプトの95%以上が悪質なものと判明しており、111種類の脅威にPowerShellが使用されている。

 Symantecで脅威を研究するキャンディッド・ウィースト氏によると、悪意のあるPowerShellスクリプトは増加傾向にあり、攻撃側はPowerShellフレームワークの柔軟性を利用して攻撃用のペイロードをダウンロードさせ、侵入したネットワークを渡り歩いて偵察しているという。

 「このことは、外部から入手したPowerShellスクリプトは企業にとって大きな脅威になることを示している」と同氏は自身のブログに書いている。

 また研究者は、標的型攻撃グループの多くが一連の攻撃にPowerShellを使用している理由について、PowerShellが「Windows」の全ての主要機能に簡単にアクセスできることを挙げた。

 攻撃者にとってPowerShellが魅力的なのは、Windowsを実行するコンピュータにデフォルトでインストールされる点や、解析の痕跡をほとんど残さない点にある。それは、PowerShellがペイロードをメモリから直接実行できるためだ。

 PowerShellを簡単に悪用できるのは、多くの場合、企業の大半がPC上で監視機能と拡張ログ機能を有効にしていないためだ。その結果、PowerShellがもたらす脅威の検出が難しくなる。

企業への攻撃に使用されるPowerShellスクリプト

この記事を読んだ人にお薦めの関連記事

注目テーマ

ITmedia マーケティング新着記事

news101.jpg

ソフトバンク・テクノロジー、チャットbotでWebサイトの分析や課題発見をサポートする「SIGNAL AI」を提供
ソフトバンク・テクノロジーは、Webサイト分析やアドバイスを行いながらデータ活用人材を...

news065.png

パイプドビッツなど3社、製薬企業向けマーケティングオートメーションパッケージ「BtoD」が提供開始
パイプドビッツは、メディコムとトライベック・ストラテジーの2社と共同で、製薬企業向け...

news108.jpg

EC・通販の広告クリエイティブは「製品・サービスを手に取ってもらう」ことに割り切る
豊富な実務知見に基づき、EC・通販で成功する方法について解き明かしていく本シリーズ。...