2018年7月号
PowerShellはWindows環境に基本ツールとしてインストールされているだけではなく、スクリプト言語という柔軟性から、システム管理ツールなどのあらゆる場面で利用されています。
しかし柔軟性が仇となって攻撃者に有用なツールとして利用される状況となっており、単なる標的型攻撃に留まらず、金銭目的でのトロイの木馬攻撃や仮想通貨の採掘処理などに利用されています。
またPCへの侵入に成功した攻撃者が、PC内の環境に合わせてPowerShellのスクリプトを自動調整するといったことを可能とし、その攻撃自体を検知することを難しくしています。さらに実体ファイルを伴わず、PCのメモリ 上だけで動作するファイルレス攻撃を実現することも可能とし、一般的なウイルス対策ソフトウェアではその存在すら検知できない状況を生み出しています。
シマンテック社の調査によると、2018年前半(1-6月期)でブロックされたPowerShellを使った攻撃の件数は、2017年後半(7-12月期)と比べて、661%の増加が見られたとのことです。
また、2018年第1四半期と第2四半期の比較だけでも、その攻撃状況は倍増しているとのことです。さらに外部の調査レポートとして、PCを狙った攻撃の半数以上がPowerShellなどを使ったファイルレス攻撃であるとの報告もあります。
このようなPowerShellを使った攻撃への対策としては、Symantec Endpoint Protection (SEP)などのウイルス対策ソフトウェアと連携して、PC内部で動作しているプロセスの状況を監視し、攻撃検知や対応を可能とするEndpoint Detection and Response機能を有するSymantec Advanced Threat Protection 3.xを利用するなどの対策を検討する必要があります。
■標的型攻撃対策ソリューション
Symantec Advanced Threat Protection(ATP)
■Symantec Endpoint Detection and Response
Symantec Endpoint Detection and Response
■セキュリティブログ
PowerShell Threats Grow Further and Operate in Plain Sight(英語)
サイバネットでは、Broadcom製品に関するお役立ち情報や、サイバネットのIT ソリューションに関する最新情報やセミナー・展示会情報など多彩な内容をメールニュースでお届けしています。
この機会に定期購読をお申し込みください。