PowerShellは「2015年に」凶器と化したと警告するスコーディス氏。同氏がこのタイミングでPowerShellを危険視するようになった理由とは?
SANS Instituteでインストラクターを務めるセキュリティの専門家、エド・スコーディス氏は、Microsoftのシェル/スクリプト言語「Windows PowerShell」は2015年に完全なる凶器と化したと警告する。
本記事は、プレミアムコンテンツ「Computer Weekly日本語版 5月11日号」(PDF)掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。
なお、同コンテンツのEPUB版およびKindle(MOBI)版も提供しています。
「2015年に『PowerShell Empire』と呼ばれるプロジェクトがリリースされた。プロジェクト自体はすばらしい。侵入テストやレッドチーム編成を行う場合の他、脆弱(ぜいじゃく)性を評価するなら、PowerShell Empireを試してみることをお勧めする」とスコーディス氏は米サンフランシスコで行われた「RSA Conference 2016」で述べた。
PowerShell Empireは、無料でダウンロードできるオープンソースセキュリティツールだ。このツールは防御側に大きなメリットをもたらす。だが皮肉なことに、攻撃側にも同様にメリットをもたらすとスコーディス氏は指摘する。同氏はPowerShell Empireを「Windows環境への攻撃の転換点となるツール」で、「攻撃用に作成、最適化」される「侵入後に使える言語」だと表現する。
PowerShell Empireの目的は、PowerShellをフル活用することで可能になる攻撃を示すことにある。PowerShell Empireには、さまざまな機能を備えた「強力なエージェント」が搭載されている。攻撃者は、このエージェントを利用することで、2008年以降にリリースされた全バージョンのWindowsに組み込まれているPowerShellを悪用できるとスコーディス氏は説明する。
「このエージェントを使うとリモート制御が可能になる。エージェントがユーザーと通信するタイミングと方法はユーザーが構成できる。また、運用と緊密に統合するため、動作を削除するタイミングの指定や、エージェントをアクティブ/非アクティブにする時間帯の設定が可能になる」(スコーディス氏)
スコーディス氏によると、PowerShell EmpireエージェントはPowerShellを使用してメモリに読み込まれるが、ディスクにはアクセスしない。そのため、ウイルス対策ソフトウェアなどのセキュリティ機構に検出される可能性は非常に低いという。
エージェントには特権の昇格機能も含まれる。この機能を使用すればシステムの全特権を手に入れることができる。また、特権を昇格したかどうかにかかわらず、使用できる永続性メカニズムも備える。そのため、侵入後もシステムへのアクセスを確保できる。
スコーディス氏はPowerShell Empireを「攻撃者にとって非常に便利で柔軟に扱えるツール」だと評価する。同氏がその引き合いとして挙げるのが、ユーザーがセッションにラベルを付ける機能だ。
本記事は抄訳版です。全文は、以下でダウンロード(無料)できます。
■Computer Weekly日本語版 最近のバックナンバー
Computer Weekly日本語版 4月20日号:多くの企業がやっているセキュリティミステイク
Computer Weekly日本語版 4月6日号:モバイルアプリのあきれた実態
Computer Weekly日本語版 3月16日号:Microsoftが米国政府と全面対決
Copyright © ITmedia, Inc. All Rights Reserved.
「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ
ネットワークの問題は「帯域幅を増やせば解決する」と考えてはいないだろうか。こうした誤解をしているIT担当者は珍しくない。ネットワークを快適に利用するために、持つべき視点とは。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
