攻撃者がネットワーク内部への侵入に成功した後、すぐに派手なマルウェアや専用ツールを使うとは限りません。実際には、Windowsに標準で備わっているコマンドや正規ツールを用いて、環境調査や横展開を進めるケースが数多く確認されています。
国家支援型攻撃グループとして知られるLazarusも例外ではなく、侵入後のフェーズでは既存のツールや一般的な管理機能を巧みに利用しながら、情報収集や感染拡大を図ってきました。本記事では、Lazarusの事例を通じて、内部侵入後にどのようなツールが使われ得るのかを整理します。
ネットワーク内部での横展開
ネットワーク内部への侵入後、攻撃者が次に行うのは、単一端末での活動に留まらず、ネットワーク全体の構造を把握し、活動範囲を広げていくことです。この工程は一般に「横展開(Lateral Movement)」と呼ばれます。
横展開において特徴的なのは、専用の高度なツールよりも、管理用途として正規に利用されているツールや一般公開されているユーティリティが多用される点です。これは検知を回避しやすく、管理者の操作と区別が付きにくいためです。
たとえば AdFind は、Active Directory 環境においてユーザーやコンピュータ、グループ構成などの情報を効率的に収集できるコマンドラインツールです。Lazarusに限らず、複数の攻撃キャンペーンで利用されていることが確認されており、内部構造の把握という観点で非常に有用なツールとされています。
また SMBMap は、ネットワーク内でアクセス可能なSMB共有を列挙・確認するためのツールです。共有フォルダの権限設定を把握することで、追加の侵入ポイントやマルウェア配置先を探索する用途に使われることがあります。
さらに、内部ネットワークにおける情報収集の一環として、Responder(Windows版) が用いられていた事例も報告されています。名前解決プロトコルを利用してクライアントを誘導し、認証情報を取得しようとする点は、本記事で解説したResponderと本質的に同じ考え方です。
これらのツールに共通しているのは、「特別な脆弱性を突く」のではなく、内部ネットワークの設計や運用上の前提を利用して活動範囲を拡大するという点です。横展開は、単一のツールによって成立するものではなく、こうした情報収集と権限把握の積み重ねによって実現されます。
| ツール名 | 概要 | 参考 |
| AdFind | Active Directoryから情報を収集するコマンドラインツール | http://www.joeware.net/freetools/tools/adfind/ |
| SMBMap | ネットワーク内のアクセス可能なSMB共有を一覧したり、アクセスしたりするツール | https://github.com/ShawnDEvans/smbmap |
| Responder-Windows | LLMNR、NBT-NS、WPADになりすまして、クライアントを誘導するツール | https://github.com/lgandx/Responder-Windows |
情報窃取
内部ネットワークでの調査や横展開が進んだ後、攻撃者が最終的に狙うのは、価値のある情報を選別し、外部へ持ち出すことです。この工程が情報窃取フェーズにあたります。
多くの攻撃では、マルウェア自体にスクリーンショット取得、ファイル収集、通信ログ取得などの機能が組み込まれており、専用ツールが常に使われるわけではありません。しかし、ブラウザーやメールクライアントに保存された認証情報など、特定の情報を効率的に取得したい場合には、既存のユーティリティが補助的に利用されることがあります。
その一例として、ブラウザーやメーラーに保存されたパスワード情報を抽出するツールが挙げられます。これらは本来、ユーザー自身のパスワード管理や復旧を目的とした正規ツールですが、攻撃者にとっても扱いやすく、短時間で成果が得られる点が特徴です。
また、収集した情報を外部へ送信する前段階として、ファイルを圧縮する工程が挟まれることも珍しくありません。圧縮によって転送効率が向上するだけでなく、ファイル数や構造を隠蔽しやすくなるためです。実際の攻撃事例では、汎用的な圧縮ツールがそのまま利用されるケースが多く確認されています。
Lazarusの事例においても、こうした一般的な手法と同様に、情報抽出用のツールや圧縮ツールが使用されていました。ただし、これは特定グループに固有の手法ではなく、侵入後攻撃において広く見られる行動パターンと捉えるべきでしょう。場合によっては、マルウェア自体が圧縮や送信機能を備えており、ツールを介さずに情報が持ち出されるケースもあります。
このように、情報窃取フェーズで注目すべきなのは、どのツールが使われたか以上に、どの情報が狙われ、どの経路で外部へ送信され得るかという点です。ツールはあくまで手段であり、環境や目的に応じて柔軟に使い分けられます。
| ツール名 | 概要 | 参考 |
| XenArmor Email Password Recovery Pro | メールクライアントやサービスのパスワード情報を抽出するツール | https://xenarmor.com/email-password-recovery-pro-software/ |
| XenArmor Browser Password Recovery Pro | ブラウザーに保存されたパスワード情報を抽出するツール | https://xenarmor.com/browser-password-recovery-pro-software/ |
| WinRAR | RAR圧縮ツール | https://www.rarlab.com/ |
その他
横展開や情報窃取に加えて、攻撃者は侵入状態を維持し、必要に応じて再接続できる手段を確保しようとします。この段階では、専用のマルウェアだけでなく、一般的に利用されているリモート管理ツールやOS標準ツールが使われることも少なくありません。
リモートアクセス手段の確保
侵入後の環境において、攻撃者はRDPやVNC、TeamViewerといった正規のリモート接続手段をバックドア的に利用することがあります。これらのツールは管理用途として広く使われているため、不正利用されていても異常として検知されにくい場合があります。
Lazarusの事例でも、VNCを用いて感染端末へ継続的にアクセスしていたケースが確認されています。これは特定の攻撃グループに限った話ではなく、「既に存在する管理機能を悪用する」典型的な手法と位置づけられます。
正規ツールを用いた認証情報取得
また、マイクロソフト純正ツールである ProcDump が使用されていた点も注目に値します。ProcDumpは本来、トラブルシューティングや解析用途のツールですが、攻撃者はこれを利用して LSASSプロセスのメモリダンプ を取得し、そこから認証情報を抽出しようとすることがあります。
このように、署名付きで信頼されている正規ツールが悪用されるケースでは、単純なファイルベースの検知が難しく、防御側にとって厄介な状況を生み出します。
補助的に使われる汎用ツール
そのほか、通信の取得やファイル転送といった補助的な目的で、tcpdump や wget といったツールの Windows 版が利用されることもあります。これらはLinux環境では一般的なユーティリティであり、Windows環境に持ち込まれても不自然に見えにくい点が特徴です。
攻撃者にとって重要なのは、新しいツールを導入することではなく、環境に溶け込むことです。この章で挙げたツール群は、その考え方をよく表しています。
| ツール名 | 概要 | 参考 |
| TightVNC Viewer | VNCクライアント | https://www.tightvnc.com/download.php |
| ProcDump | プロセスのメモリダンプを取得するマイクロソフト純正ツール | https://docs.microsoft.com/en-us/sysinternals/downloads/procdump |
| tcpdump | パケットキャプチャツール | https://www.tcpdump.org/ |
| wget | ダウンロードツール |
おわりに
本記事では、特定のマルウェアではなく、侵入後の攻撃フェーズで用いられる各種ツールに焦点を当てて整理しました。Lazarusの事例は一つの参考に過ぎませんが、そこで確認された手法は、特定の攻撃グループに限らず、多くの侵入型攻撃に共通するものです。
近年の攻撃では、高機能なマルウェアだけですべてを完結させるのではなく、不足する機能を正規ツールや一般公開ツールで補うという手法が広く用いられています。これにより、攻撃の柔軟性が高まるだけでなく、管理者の操作と区別がつきにくくなるという問題も生じます。
特に、OS標準ツールや正規に署名されたユーティリティは、ウイルス対策ソフトだけでは検知が難しい場合があります。そのため、防御側は「不正なファイルがあるか」だけでなく、どのツールが、どの文脈で使われているかを監視・分析する視点を持つ必要があります。
重要なのは、攻撃者が使ったツールそのものではなく、それらが使えてしまう環境や設計の前提です。内部侵入を前提とした検知・制御・運用ができているかどうかが、被害の拡大を左右します。
本記事で取り上げた内容が、侵入後攻撃への理解を深めるとともに、自組織のネットワークや運用を見直すきっかけになれば幸いです。