なぜPowerShellが危険なのか？ 増え続ける悪用の現状：Computer Weekly

セキュリティ専門家に「PowerShellが凶器と化した」と警告されてから約1年。事態はさらに悪化している。PowerShellが悪用されている現状と、PowerShellが狙われる理由を再確認しよう。

[Warwick Ashford，Computer Weekly]

　Microsoftの「Windows PowerShell」構成管理フレームワークがサイバー攻撃に悪用される状況が続いており、研究者によるとPowerShellに関連する脅威は急増しているという。

Computer Weekly日本語版　2月8日号無料ダウンロード

本記事は、プレミアムコンテンツ「Computer Weekly日本語版　2月8日号」（PDF）掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。

• Computer Weekly日本語版　2月8日号：NVMe over Fabricsに高まる期待

なお、同コンテンツのEPUB版およびKindle（MOBI）版も提供しています。

　2016年3月、セキュリティの専門家はPowerShellが完全なる凶器と化したと警告した。その翌月には、2015年に確認されたサイバー攻撃の38％にPowerShellが使用されていたことをセキュリティ企業のCarbon Blackとそのパートナー企業が裏付けた（訳注）。

訳注：「別冊Computer Weekly　Windows PowerShellが凶器になるとき（転載フリー版）」参照。

　本稿執筆時点では、Symantecの研究者が解析したPowerShellスクリプトの95％以上が悪質なものと判明しており、111種類の脅威にPowerShellが使用されている。

　Symantecで脅威を研究するキャンディッド・ウィースト氏によると、悪意のあるPowerShellスクリプトは増加傾向にあり、攻撃側はPowerShellフレームワークの柔軟性を利用して攻撃用のペイロードをダウンロードさせ、侵入したネットワークを渡り歩いて偵察しているという。

　「このことは、外部から入手したPowerShellスクリプトは企業にとって大きな脅威になることを示している」と同氏は自身のブログに書いている。

　また研究者は、標的型攻撃グループの多くが一連の攻撃にPowerShellを使用している理由について、PowerShellが「Windows」の全ての主要機能に簡単にアクセスできることを挙げた。

　攻撃者にとってPowerShellが魅力的なのは、Windowsを実行するコンピュータにデフォルトでインストールされる点や、解析の痕跡をほとんど残さない点にある。それは、PowerShellがペイロードをメモリから直接実行できるためだ。

　PowerShellを簡単に悪用できるのは、多くの場合、企業の大半がPC上で監視機能と拡張ログ機能を有効にしていないためだ。その結果、PowerShellがもたらす脅威の検出が難しくなる。

企業への攻撃に使用されるPowerShellスクリプト

　システム管理者の多くがPowerShellスクリプトを日常の管理作業に使用している一方、攻撃側もその活動の中でPowerShellを利用する機会が増えていることを研究者が確認している。

　Symantecによれば、最近実行された標的型攻撃の多くにPowerShellスクリプトが使用されているという。「Odinaffグループが世界中の金融機関を攻撃したとき、同グループは悪意のあるPowerShellスクリプトを使用していた」とウィースト氏は話す。

　「Trojan.Kotverの背後に潜む攻撃者など、一般的なサイバー犯罪者もPowerShellを悪用している。こうしたサイバー犯罪者は、ファイルを使わず、完全にレジストリ内部で感染を生み出すためにPowerShellスクリプトを使用する」

　ウィースト氏によると、悪意のあるPowerShellスクリプトは「Microsoft Office」マクロなどで主にダウンローダーとして使用され、ラテラルムーブメント段階で用いられることが多いという。この段階では、脅威がネットワーク内部で拡散しながら、その脅威によってコードがリモートPC上で実行される。

　最もよく目にするマルウェアの中でPowerShellを使用しているのは「W97M.Downloader」「Trojan.Kotver」「JS.Downloader」の3種類だ。

　ここ6カ月間で、悪意のあるJavaScriptが含まれたメールを1日当たり平均46万6028通ブロックしているとSymantecは述べる。

　「悪意のあるJavaScriptファイルの全てが、ファイルをダウンロードさせるためにPowerShellを使用しているわけではない。だが、PowerShellの悪用は着実に増えている」とウィースト氏はいう。

　「PowerShellを使用した最新のダウンローダー攻撃の中には、複数の段階を経るものも存在する。つまり、添付されたスクリプトが別のスクリプトをダウンロードし、それがペイロードをダウンロードするといった具合だ。攻撃者は複雑に入り組んだ感染方法を用いることで、セキュリティ保護をすり抜けようとしている」（同氏）

　ダウンロードを目的としたペイロード以外にも、悪意あるPowerShellスクリプトはさまざまなタスクの実行に使用されている。セキュリティ製品のアンインストール、サンドボックス環境の検出、パスワード取得を目的としたネットワーク傍受などがその例だ。

　PowerShellの柔軟性により、コマンドショートカット、エスケープ文字、エンコード機能など、さまざまな方法でスクリプトを難読化できることを研究者は発見している。

　PowerShellの脅威は今後さら表面化するとSymantecは予測する。「当社では、PowerShellを最新バージョンにアップグレードし、拡張ログ機能と監視機能を有効にすることをシステム管理者に強く推奨している」（ウィースト氏）

別冊Computer Weekly　企業導入が進むIBM Watson（転載フリー版）も公開中！

IBMの「Watson」を導入する企業が増えてきた。どのような分野、どのような用途に使わ

れているのか？ 導入するにはどのようなプロセスが必要なのか？

• 別冊Computer Weekly　企業導入が進むIBM Watson（転載フリー版）

※本PDFは、TechTargetジャパン会員でなくても無料でダウンロードできます。