Table of Contents
インストールフェーズ(Installation)の詳細
インストールフェーズは、悪用フェーズで侵入に成功した攻撃者が「居場所を確保する」段階です。一時的な侵入を長期的・安定的な足がかりへと変える、攻撃の転換点です。このフェーズが完了すると、システムが再起動されても、パスワードが変更されても、攻撃者は戻ってくることができます。
このフェーズの目的:「永続化」
インストールフェーズの核心は永続化(Persistence)です。攻撃者の視点では、苦労して侵入したシステムを「一度限りのアクセス」で終わらせたくありません。次のような状況でも接続を維持できる仕組みを作ります。
- PCが再起動される
- ユーザーがログアウトする
- セキュリティソフトが一部のファイルを削除する
主な永続化の手法
1. レジストリへの登録(Windows環境)
Windowsの起動設定を管理するレジストリに悪意あるプログラムを登録します。PCが起動するたびに自動実行されるため、ユーザーが気づきにくい定番手法です。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
→ ここに登録されたプログラムはログイン時に自動起動する
2. スケジュールタスクへの登録
WindowsのタスクスケジューラやLinuxのcronジョブに悪意あるコマンドを登録し、定期的に実行させます。「毎朝3時にバックドアプログラムを起動」といった設定が密かに仕込まれます。
3. サービスとしての登録
OSのサービス(常駐プログラム)としてマルウェアを登録します。正規のWindowsサービスに偽装することで、タスクマネージャーで見ても怪しまれにくい状態を作ります。
4. DLLハイジャッキング
Windowsが正規のDLLファイルを読み込む際の仕組みを悪用し、偽のDLLファイルを先に読み込ませる手法です。正規プロセスの中に悪意あるコードが紛れ込むため、検知が非常に困難です。
5. Webシェルの設置
WebサーバーへのアクセスがあるケースではWebシェル(サーバー上に設置する遠隔操作用スクリプト)を仕込みます。HTTPSの通常通信に偽装できるため、ファイアウォールをすり抜けやすい特徴があります。
6. ファイルレスマルウェア
ディスク上にファイルを一切書き込まず、メモリ上だけで動作する手法です。従来のウイルス対策ソフトはファイルを検査するため、ファイルが存在しない攻撃には対応できません。PowerShellやWMIなど正規のOSツールを悪用する「環境寄生型(Living off the Land)」攻撃と組み合わせて使われます。
攻撃者が特に重視すること:「目立たないこと」
インストールフェーズで攻撃者が最も気を遣うのは、いかに正規のシステム動作に溶け込むかです。代表的な偽装パターンを示します。
| 偽装対象 | 具体例 |
| 正規のWindowsプロセス | svchost.exeに似たsvch0st.exeを配置 |
| 正規のシステムフォルダ | C:\Windows\System32\内に不審ファイルを混在 |
| 正規のソフトウェア | Antivirus更新プログラムに偽装 |
| 正規の証明書 | 盗んだコード署名証明書でマルウェアに署名 |
防御のポイント
予防:インストールさせない
- アプリケーション許可リスト(ホワイトリスト):あらかじめ許可したプログラムしか実行できないよう制限する
- 最小権限の原則:一般ユーザーにはシステムへのソフトウェアインストール権限を与えない
- PowerShell・WMIの実行ポリシー強化:攻撃者が悪用しやすいOSツールの使用を制限・ログ取得
検知:インストールされたことを早期に発見する
- EDR(Endpoint Detection and Response):プロセスの起動履歴・レジストリ変更・ファイル操作をリアルタイムで監視し、不審な挙動を検知する
- ファイル整合性監視(FIM):重要なシステムファイルやフォルダへの変更を即座に検知する
- ログ収集・SIEM:タスクスケジューラへの登録やサービスの新規作成といったイベントを集中管理・分析する
封じ込め:発見後の被害を最小化する
- ネットワークセグメンテーション:侵害されたホストを隔離し、横展開を防ぐ
- 特権アカウントの保護:攻撃者が管理者権限を奪取しても動ける範囲を制限する
なぜこのフェーズが特に危険か
インストールフェーズが完了した時点で、攻撃者はシステム内に**「見えない拠点」**を持つことになります。以降のC2通信・目的達成フェーズは、この拠点を起点に行われます。
そして最も問題なのは、このフェーズで気づかれないことが前提で設計されている点です。実際、多くの企業では侵害から発見までに平均200日以上かかると言われており、その間攻撃者は静かに次の準備を進めています。
「侵入を防ぐ」と同時に、「侵入されても素早く気づける」検知能力を持つことが、インストールフェーズへの現実的な答えです。
セキュリティの基礎
- サイバーキルチェーン C2通信フェーズ(Command&Control)
- サイバーキルチェーン インストールフェーズ(Installation)
- サイバーキルチェーン 悪用フェーズ(Expolitation)
- サイバーキルチェーン 武器化フェーズ(Weaponization)
- サイバーキルチェーン 目的達成フェーズ(Actions on Objectives)
- サイバーキルチェーン 配送フェーズ(Delivery)
- サイバーセキュリティ用語10選
- セキュリティの目的 ~機密性/完全性/可用性~
- セキュリティの脅威と対策の概要
- マルウェア ~ユーザにとって有害なソフトウェア~
- 認証の基礎 ~正規のユーザ/デバイスですか?~
- 覚えやすくて推測されにくい安全なパスワードの作り方
- 暗号化の概要
- ハッシュ関数とは
- SSLとは? ~アクセス先は本物です!データは盗聴/改ざんされません!~
- SSLとWi-Fiの暗号化の違い
- ファイアウォールの概要 ~正規の通信のみを転送~
- IDS/IPS ~不正アクセス対策~
- Cisco アクセスコントロールリストの概要
- パケットフィルタ ~不正な通信をブロックするCisco ACLの最も多い用途~
- SPI(Stateful Packet Inspection)の概要
- Cisco ACLによるパケットフィルタの設定と確認
- 標準ACLと拡張ACLのパケットフィルタをより深く理解するための演習 ~標準ACL~
- 名前付きACL(Named ACL)
- タイムベース(Time-based)ACL
- Cisco ACLによるパケットフィルタの設定例
- 標準ACLと拡張ACLのパケットフィルタリングをより深く理解するための演習 ~標準ACL~
- 標準ACLと拡張ACLのパケットフィルタリングをより深く理解するための演習 ~拡張ACL~
- リフレクシブ(Reflexive)ACL ~戻りの通信を自動的に許可~
- リフレクシブ(Reflexive)ACLの設定例
- Catalystスイッチのパケットフィルタリング RACL/VACL/PACL
- RACL/VACL/PACLの設定と確認コマンド
- uRPFの設定例
- VTYアクセス制御
- DHCPスプーフィング ~DHCPサーバを偽装~
- DHCPスヌーピング
- Cisco DHCPスヌーピングの設定と確認コマンド
- Cisco DHCPスヌーピングの設定例
- ARPスプーフィング
- Dynamic ARP Inspection
- Cisco Dynamic ARP Inspectionの設定と確認コマンド
- TCPインターセプトの設定例
- WAF(Web Application Firewall)の概要
- 電子メールのセキュリティ
- サイバーキルチェーンとは?
- サイバーキルチェーン 偵察フェーズ(Reconnaissance)