マルウェアを一切持ち込まずに侵入し、横展開し、データを盗む——。そんな攻撃が、いまや例外ではなく主流になっています。CrowdStrike によれば、2024年のサイバー攻撃検出の79%はマルウェアを伴っていません。攻撃者は独自のマルウェアの代わりに、OSに最初から入っている正規のツールを悪用しているのです。
この手口を Living off the Land(環境寄生型攻撃、LOTL)、悪用される正規バイナリを LOLBins(Living off the Land Binaries) と呼びます。本記事は、なぜこの「武器を持ち込まない攻撃」がこれほど厄介なのか、よく悪用されるツールと MITRE ATT&CK 技法の対応、実際の攻撃キャンペーン、そして検知・防御の勘所を実務目線で整理します。
Living off the Land とは何か
Living off the Land は本来「現地調達で生き延びる」という意味です。サイバー攻撃では、攻撃者が標的の環境にすでにある正規ツールだけで目的を達成することを指します。Windows には管理・運用のための強力なツールが標準で揃っており、それらはMicrosoft が署名した正規バイナリです。
これが防御側にとって極めて不利な3つの理由があります。
- 「ファイルレス」で痕跡が残りにくい:ディスクに不審な実行ファイルを置かず、メモリ上やスクリプトで完結する。シグネチャ型のアンチウイルスは検出対象(不審なファイル)を見つけられない。
- 正規ツールなので「正常」に見える:PowerShell や certutil は管理者も日常的に使う。単体の実行はブロックも警告もしにくい。
- 誰でも使えるほど一般化した:LOLBAS Project には悪用可能な Windows バイナリが100種類以上カタログ化されており、国家支援型からランサムウェアの犯罪者まで広く使う「コモディティ」になっている。
よく悪用される LOLBins と ATT&CK 技法
代表的な正規ツールと、その典型的な悪用、対応する MITRE ATT&CK 技法IDを挙げます。脅威ハンティングの出発点として有用です。
- PowerShell(T1059.001):LOTL攻撃の71%に登場する主役。外部スクリプトのメモリ実行、難読化、情報収集、横展開まで何でもこなす。
- cmd.exe(T1059.003):バッチ実行・コマンド連結の起点。
- mshta.exe(T1218.005):遠隔の HTA(HTML Application)を実行。 ClickFix やフィッシングで定番。
- rundll32.exe(T1218.011):DLL やスクリプトを正規プロセスとして実行。
- regsvr32.exe(T1218.010):いわゆる Squiblydoo。遠隔スクリプトをCOM経由で実行。
- certutil.exe(T1105):本来は証明書ユーティリティだが、ファイルのダウンロードや Base64 デコードに悪用される。
- wmic.exe / WMI(T1047):偵察・横展開・永続化。Ryuk ランサムウェアが横展開に使用。
- MSBuild.exe:Visual Studio のビルドツール。インラインタスクでメモリ上から任意コードを実行でき、2026年に悪用が急増。
- bitsadmin / curl / schtasks / PsExec:ダウンロード・永続化・遠隔実行の補助に。
実際の攻撃キャンペーン
LOLBins はもはや高度な攻撃者の専売特許ではありません。近年の事例を見れば、その広がりがわかります。
- Flax Typhoon(中国系APT):2026年初頭の Remcos/NetSupport RAT キャンペーンで、初期侵入から永続化まで独自マルウェアをゼロに。純粋な LOLBins だけで活動した。
- MSBuild × PlugX(2026年2月、Lab52報告):会議招待を装ったアーカイブ添付から MSBuild を悪用し、PlugX をファイルレスで展開。
- PipeMagic バックドア(2025年):certutil が配信チェーンに登場。CVE-2025-29824 を悪用したランサムウェア作戦で、米・スペイン・ベネズエラ・サウジの標的に使われた。
- TA505(金銭目的の犯罪グループ):LOLBins を連鎖させてランサムウェアやバンキングトロジャンの配信パイプラインを構築。手口が完全にコモディティ化している証左。
- 歴史的にも FIN7(mshta フィッシング)、Emotet(PowerShell)、Dridex(rundll32)、APT29(PowerShell ファイルレス) など枚挙にいとまがない。
なぜ EDR でも捕まえにくいのか
最大の難所は「チェイン(連鎖)」です。攻撃者は5〜8個の正規バイナリを順番につなぎますが、一つひとつの実行はどれも正常に見えます。「certutil がファイルを取得」「rundll32 がDLLを読み込み」——個別には日常的な操作で、単独のルールでは止められません。捕まえる唯一の道は、一連の流れ(ふるまいの系列)を文脈で見ることです。
さらに、ふるまい検知に引っかかりそうになると、攻撃者は BYOVD(Bring Your Own Vulnerable Driver) にエスカレートします。正規だが脆弱なカーネルドライバを読み込んで EDR 自体を無効化し、その後は LOLBins も独自マルウェアも検知されずに動く——という展開です。
図解案:LOLBinsチェインの一例
[Officeマクロ/ClickFix]
│ プロセス系譜の異常 = winword.exe → powershell.exe
▼
[powershell] ── certutil ──▶ ペイロード取得(T1105)
│
▼
[rundll32 / mshta] メモリ実行(T1218)
│
▼
[wmic / schtasks] 横展開・永続化(T1047 / T1053)
│
▼
[必要なら BYOVD] 脆弱ドライバでEDRを無効化 → 検知不能
★ 各ステップは“正常”。点ではなく「線(系列)」で見ないと捕まらない検知のポイント
CISA の2025年ガイダンスは、単体シグネチャではなくヒューリスティック(文脈)での検知を推奨しています。価値の高いシグナルの例です。
- プロセス系譜:Office アプリ(winword.exe / excel.exe)が powershell.exe や cmd.exe を生成する。ブラウザやエクスプローラーが mshta を起動する( ClickFix の典型)。
- certutil がファイルをダウンロードしている、rundll32 が一時ディレクトリのDLLを読み込む。
- 実行の時間帯・ユーザー権限・端末の役割との不一致(深夜の管理コマンド、一般ユーザーによる wmic 横展開など)。
- Sysmon(Sysinternals)を導入し、プロセス生成・ネットワーク・イメージロードを詳細記録して系列分析に回す。
防御策
- アプリケーション制御(WDAC / AppLocker)と ASR ルール:mshta.exe・certutil.exe・wmic.exe・rundll32.exe・psexec.exe などを、承認した管理アカウント以外で実行・悪用できないよう制限する。
- PowerShell の防御強化:Constrained Language Mode、スクリプトブロックロギング、AMSI 連携を有効化。難読化された
iex実行を可視化する(ExecutionPolicy はセキュリティ境界ではない点に注意)。 - 最小権限と横展開の抑制:一般ユーザーから管理ツールを使わせない。ネットワーク分割で wmic / PsExec による横展開を狭める。
- BYOVD 対策:Microsoft の脆弱ドライバブロックリストや HVCI(メモリ整合性)を有効化し、EDR のタンパープロテクションをオンにする。
- 脅威ハンティング:ATT&CK にマッピングして「正常に見える系列」を能動的に探す。インフォスティーラー( セッション窃取 )やランサムウェアの前段に LOLBins が潜む前提で監視する。
まとめ
LOLBins・環境寄生型攻撃の本質は、「持ち込んだ悪意」ではなく「もともと正規にあるもの」を武器に変える点にあります。だからマルウェアの有無で守る発想は通用せず、検出の79%が無マルウェアという現実が生まれました。守りの軸は「点ではなく線で見る」こと——プロセス系譜とふるまいの系列を捉え、アプリ制御で不要な正規ツールを封じ、PowerShell を可視化し、BYOVD でEDRを殺させないことです。
入口は ClickFix や Quishing のようなソーシャル攻撃、出口は 認証情報・セッション窃取 やランサムウェア——LOLBins はその「中間」をつなぐ常套手段です。全体像を ATT&CK で捉えると、各記事の手口が一本の攻撃ストーリーとして見えてきます。
※ 本記事の統計値・キャンペーン名・技法IDは、CrowdStrike/CISA/MITRE ATT&CK/各セキュリティベンダーの公表内容および報道に基づきます。攻撃・防御とも変化が速いため、対策時は最新の公式情報をご確認ください。