セキュリティ専門家に「PowerShellが凶器と化した」と警告されてから約1年。事態はさらに悪化している。PowerShellが悪用されている現状と、PowerShellが狙われる理由を再確認しよう
Microsoftの「Windows PowerShell」構成管理フレームワークがサイバー攻撃に悪用される状況が続いており、研究者によるとPowerShellに関連する脅威は急増しているという。
本記事は、プレミアムコンテンツ「Computer Weekly日本語版 2月8日号」(PDF)掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。
なお、同コンテンツのEPUB版およびKindle(MOBI)版も提供しています。
2016年3月、セキュリティの専門家はPowerShellが完全なる凶器と化したと警告した。その翌月には、2015年に確認されたサイバー攻撃の38%にPowerShellが使用されていたことをセキュリティ企業のCarbon Blackとそのパートナー企業が裏付けた(訳注)。
訳注:「別冊Computer Weekly Windows PowerShellが凶器になるとき(転載フリー版)」参照。
本稿執筆時点では、Symantecの研究者が解析したPowerShellスクリプトの95%以上が悪質なものと判明しており、111種類の脅威にPowerShellが使用されている。
Symantecで脅威を研究するキャンディッド・ウィースト氏によると、悪意のあるPowerShellスクリプトは増加傾向にあり、攻撃側はPowerShellフレームワークの柔軟性を利用して攻撃用のペイロードをダウンロードさせ、侵入したネットワークを渡り歩いて偵察しているという。
「このことは、外部から入手したPowerShellスクリプトは企業にとって大きな脅威になることを示している」と同氏は自身のブログに書いている。
また研究者は、標的型攻撃グループの多くが一連の攻撃にPowerShellを使用している理由について、PowerShellが「Windows」の全ての主要機能に簡単にアクセスできることを挙げた。
攻撃者にとってPowerShellが魅力的なのは、Windowsを実行するコンピュータにデフォルトでインストールされる点や、解析の痕跡をほとんど残さない点にある。それは、PowerShellがペイロードをメモリから直接実行できるためだ。
PowerShellを簡単に悪用できるのは、多くの場合、企業の大半がPC上で監視機能と拡張ログ機能を有効にしていないためだ。その結果、PowerShellがもたらす脅威の検出が難しくなる。
本記事は抄訳版です。全文は、以下でダウンロード(無料)できます。
■Computer Weekly日本語版 最近のバックナンバー
Computer Weekly日本語版 1月25日号 ARMが進めるIoT戦略
Computer Weekly日本語版 1月11日号 家庭内のIoTデバイスを守れ!
Computer Weekly日本語版 12月21日号 知らないと損をするライセンス監査の罠
Copyright © ITmedia, Inc. All Rights Reserved.
なぜクラウドセキュリティは複雑ではなく「包括的でシンプル」にすべきなのか? (2025/6/13)
「見える化」ではもう守れない アタックサーフェス管理の限界と次世代の対策 (2025/6/12)
中小企業が買うのは信用 L2スイッチ&認証技術で2つの企業が組んだ理由 (2025/6/5)
脱PPAPの壁はこう超える――PPAP文化を終わらせる現実解 (2025/5/19)
EDR、XDR、MDR それぞれの違いと導入企業が得られるものとは (2025/5/15)
「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ
ネットワークの問題は「帯域幅を増やせば解決する」と考えてはいないだろうか。こうした誤解をしているIT担当者は珍しくない。ネットワークを快適に利用するために、持つべき視点とは。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...