2017年02月09日 08時00分 UPDATE
特集/連載

「PowerShellは凶器」から約1年なぜPowerShellが危険なのか? 増え続ける悪用の現状

セキュリティ専門家に「PowerShellが凶器と化した」と警告されてから約1年。事態はさらに悪化している。PowerShellが悪用されている現状と、PowerShellが狙われる理由を再確認しよう

[Warwick Ashford,Computer Weekly]
Computer Weekly

 Microsoftの「Windows PowerShell」構成管理フレームワークがサイバー攻撃に悪用される状況が続いており、研究者によるとPowerShellに関連する脅威は急増しているという。

Computer Weekly日本語版 2月8日号無料ダウンロード

本記事は、プレミアムコンテンツ「Computer Weekly日本語版 2月8日号」(PDF)掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。

なお、同コンテンツのEPUB版およびKindle(MOBI)版も提供しています。

ボタンボタン

 2016年3月、セキュリティの専門家はPowerShellが完全なる凶器と化したと警告した。その翌月には、2015年に確認されたサイバー攻撃の38%にPowerShellが使用されていたことをセキュリティ企業のCarbon Blackとそのパートナー企業が裏付けた(訳注)。

訳注:「別冊Computer Weekly Windows PowerShellが凶器になるとき(転載フリー版)」参照。

 本稿執筆時点では、Symantecの研究者が解析したPowerShellスクリプトの95%以上が悪質なものと判明しており、111種類の脅威にPowerShellが使用されている。

 Symantecで脅威を研究するキャンディッド・ウィースト氏によると、悪意のあるPowerShellスクリプトは増加傾向にあり、攻撃側はPowerShellフレームワークの柔軟性を利用して攻撃用のペイロードをダウンロードさせ、侵入したネットワークを渡り歩いて偵察しているという。

 「このことは、外部から入手したPowerShellスクリプトは企業にとって大きな脅威になることを示している」と同氏は自身のブログに書いている。

 また研究者は、標的型攻撃グループの多くが一連の攻撃にPowerShellを使用している理由について、PowerShellが「Windows」の全ての主要機能に簡単にアクセスできることを挙げた。

 攻撃者にとってPowerShellが魅力的なのは、Windowsを実行するコンピュータにデフォルトでインストールされる点や、解析の痕跡をほとんど残さない点にある。それは、PowerShellがペイロードをメモリから直接実行できるためだ。

 PowerShellを簡単に悪用できるのは、多くの場合、企業の大半がPC上で監視機能と拡張ログ機能を有効にしていないためだ。その結果、PowerShellがもたらす脅威の検出が難しくなる。

企業への攻撃に使用されるPowerShellスクリプト

この記事が気に入ったらTechTargetジャパンに「いいね!」しよう

この記事を読んだ人にお薦めのホワイトペーパー

この記事を読んだ人にお薦めの関連記事

Loading

注目テーマ

ITmedia マーケティング新着記事

news105.jpg

ソニーマーケティング、顧客満足度の向上につなげるカスタマーサービスのノウハウを外販
ソニーマーケティングは、企業と顧客との円滑なコミュニケーションをサポートし、顧客満...

news122.jpg

BIからAI(拡張知能)への進化、QlikのCTOが語る
さまざまな洞察を得るため、最適化されたビジュアルを提供するツールへ進化するセルフサ...

news024.jpg

Adobe Systems、テレビ広告運用プラットフォーム「Adobe Advertising Cloud TV」を発表
Adobe Systemsは、データに基づき自動的にテレビ広告のプランニングとバイイングができる...