身を隠し、鍵を奪う|防御回避と認証情報アクセス編【MITRE ATT&CK連載・第4回】

🎯 実務者向け・連載 第4回(防御回避・認証情報アクセス編)

身を隠し、鍵を奪う
防御回避と認証情報アクセス

第3回で攻撃者は“住みつき”ました。次は、検知の網を逃れて「身を隠し(防御回避)」、組織の奥へ進むための「より強い鍵を奪う(認証情報アクセス)」。攻撃が“1台の侵入”から“組織全体の制圧”へと転じる、もっとも危険な分岐点を、防御者の視点で深掘りします。連載・第4回。

🥷 防御回避 Defense Evasion 🔓 認証情報アクセス 🗝 LSASS・T1003 🧹 ログ消去 T1070 🎫 Pass-the-Hash

📋 連載 第4回の目次

  1. ① 第3回からの接続:地図上の現在地
  2. ② 防御回避:身を隠す3つのアプローチ
  3. ③ ログとの戦い:消される前に逃がす
  4. ④ 認証情報アクセス:鍵を奪う
  5. ⑤ 盗んだ鍵は“横展開の燃料”
  6. ⑥ 防御の実践:隠蔽を見抜き、鍵を守る
  7. ⑦ 用語集・FAQ・次に読む(第5回予告)

前回の第3回(実行・永続化編)で、攻撃者はコードを動かし、再起動でも消えない足場を築きました。家の中に住みついた、という状態です。では、住みついた侵入者が次に考えることは何か。2つあります。「家主に気づかれないよう身を隠すこと(防御回避)」と、「より多くの部屋を開けられる“合鍵”を手に入れること(認証情報アクセス)」です。今回は、ATT&CKの防御回避(TA0005)認証情報アクセス(TA0006)——攻撃が静かに、しかし決定的に深まっていく2つの戦術を扱います。第1回の地図でいえば、攻撃が“潜伏”から“拡大の準備”へと舵を切る、最大の山場です。

🗺️
📚 連載「MITRE ATT&CK 日本語完全連載」全6回 ─ 本記事は【第4回・防御回避と認証情報アクセス編】

全6回の地図・各回へのリンク・目的別の読み方(初学者/検知エンジニア/IR担当…)は、▶ 連載インデックス(総まとめ)はこちら

⚠ 大切な前提(隠蔽と窃取の手口を知るのは、それを暴くため)

この記事は、攻撃者がどう検知を逃れ、どう認証情報を盗むかを防御者が理解し、その兆候を捉えて防ぐために解説します。攻撃の手順書ではありません。認証情報を盗む具体的なツールの操作手順や悪用コードは扱わず、「どんな痕跡が残り、どう検知し、どう守るか」に徹します。ここで紹介する確認・監視は、必ず自分が管理する、または正式に許可された環境で行ってください。他者の認証情報を盗み取る行為は、不正アクセス禁止法等に触れる重大な犯罪です。相手の手口を知るのは、あくまで“奪われる前に守る”ためです。

01

🧭 第3回からの接続:地図上の現在地

住みついた侵入者は、次に“隠れ”ながら“合鍵”を集め始めます。ここが運命の分岐点です。

第3回の最後、永続化のところで「アカウントを使った勝手口」と「難読化」が次回への布石だと触れました。その2つが、今回まさに本題になります。攻撃者は、住みついた足場を守るために検知の網から身を隠し(防御回避)、同時に、もっと奥へ進むための認証情報という“合鍵”を奪い始めます(認証情報アクセス)。この2つは、攻撃者にとって“潜伏”と“拡大準備”を同時に進める、車の両輪なのです。

🔀

「1台の侵入」が「組織全体の制圧」に変わる分岐点

なぜここが最大の山場なのか。攻撃者が管理者の認証情報(合鍵)を1つ手に入れた瞬間、被害の規模が桁違いに跳ね上がるからです。1台のPCに留まっていた侵入が、ドメイン管理者の鍵を奪われれば、組織内のほぼすべての端末・サーバーへ手が届くようになります。これが次回・第5回の「横展開」につながり、最終的にはランサムウェアの全社一斉暗号化のような壊滅的被害へと至る。逆にいえば、ここで認証情報を守り切り、隠蔽を見抜ければ、攻撃を“1台の事故”で食い止められる。防御側にとっても、ここは絶対に踏ん張りたい関門なのです。

防御回避は、性質上「防御側の検知」との直接対決です。攻撃者は、私たちが仕掛けた監視やセキュリティ製品を、かいくぐり、止め、痕跡を消そうとします。いたちごっこに見えますが、ここに大事な逆説があります。「消す・隠す・止める」という行為そのものが、新たな痕跡になるのです。ログが突然消えた、セキュリティ製品が停止した、見慣れないプロセスが正規プロセスに化けている——こうした“不自然な静けさ”こそ、攻撃者がそこにいる何よりの証拠。防御回避は、見方を変えれば「攻撃者が必死に隠したがっている=重要な局面にいる」というサインでもあるのです。

02

🥷 防御回避:身を隠す3つのアプローチ

戦術ID TA0005。ATT&CKで最多の技術を抱える、攻撃者の“隠れ身”の総合芸術です。

防御回避(Defense Evasion)は、攻撃者が検知を逃れ、防御の目をかいくぐるための戦術です。ATT&CKの14戦術のなかでも最も多くの技術を抱える戦術で、それだけ攻撃者が「見つからないこと」に心血を注いでいる証拠でもあります。手口は多彩ですが、防御者の頭の中では3つのアプローチに整理すると見通しが良くなります。

🎭 防御回避の3アプローチ:隠す・消す・無効化する

共通の狙い =「検知の網から逃れる」 ① 隠す(紛れる) 難読化 T1027 偽装 T1036 プロセスインジェクション T1055 正規に見せかけ、紛れ込む ② 消す(足跡を拭く) ログ削除 T1070.001 タイムスタンプ改ざん T1070.006 ファイル削除 調べられても“何も残さない” ③ 無効化(目を潰す) AV/EDRの停止 T1562.001 ログ機能の無効化 AMSI/ETWバイパス そもそも記録させない いずれも“不自然さ”が残る:紛れ込みは振る舞いで、削除・無効化は「その行為自体」が痕跡になる

① 隠すの代表が、第3回でも登場した難読化(T1027です。コードをBase64でエンコードしたり、圧縮(パッキング)して中身を読めなくする。偽装(T1036は、悪性ファイルに svchost.exe のような正規っぽい名前をつけたり、正規フォルダに置いて紛れ込ませる手口。さらに高度なのがプロセスインジェクション(T1055で、正規のプロセスの内部に自分のコードを注入し、“正規プロセスの顔”で活動する——タスクマネージャーで見ても、一見ふつうのプロセスにしか見えません。

防御回避テクニックATT&CK ID検知の着眼点
難読化(エンコード・パッキング)T1027コマンドラインの異常(長いBase64・-enc
偽装(正規名・正規パスへの擬態)T1036正規名なのに置き場所・署名が不一致
プロセスインジェクションT1055不審なメモリ操作・リモートスレッド生成
痕跡削除(ログ・ファイル)T1070ログのクリア記録(EID 1102)・欠損
防御機能の無効化T1562セキュリティサービスの停止・設定変更

これらに共通する防御の発想は、第1回・第3回でも繰り返してきた「正規ツール・正規プロセスの“異常な使われ方”を見る」こと。そして、とりわけ防御側を悩ませる②消す③無効化——攻撃者がこちらの“目”そのものを攻撃してくる手口について、次の章でじっくり向き合います。

03

🧹 ログとの戦い:消される前に逃がす

攻撃者は、防御側の“目”であるログを狙います。だから設計で先回りするのです。

侵入に成功した攻撃者が、早い段階で手をつけるのが「証拠隠滅」です。具体的には、Windowsのイベントログをまるごと消去(T1070.001したり、ファイルのタイムスタンプを改ざん(タイムストンプ、T1070.006して、いつ何が起きたかを分からなくします。さらに踏み込むと、防御機能そのものの無効化(T1562——ウイルス対策やEDRを停止させ、ログ記録を止め、第3回で触れたAMSIやETW(イベント追跡)といった監視の仕組みを“目隠し”していきます。

ここで防御側が知っておくべき、痛快な逆説があります。「ログを消した」という事実自体が、消せない記録として残るのです。Windowsでは、セキュリティイベントログがクリアされると、その瞬間にイベントID 1102が記録されます。攻撃者がいくら証拠を消しても、「ここで誰かが証拠を消した」という足跡だけは残る。これは強力な検知ポイントです。Sigmaで書くと、こうなります。

# 「ログが消された」こと自体を検知する(Sigma) title: Windowsセキュリティログのクリア logsource: product: windows service: security detection: selection: EventID: 1102 # 監査ログがクリアされた condition: selection tags: – attack.defense_evasion – attack.t1070.001

▲ 正規の運用でセキュリティログを手動クリアすることは、まずありません。EID 1102 は“誰かが証拠を消そうとした”という、極めて優先度の高いアラートです。

🚨 ローカルのログだけに頼ってはいけない

攻撃者がログ消去を狙う以上、証拠を“事件現場”である端末の中だけに置いておくのは危険です。攻撃者に消されたら、もう取り戻せません。鉄則は「消される前に、安全な場所へ逃がす」こと——発生したログをリアルタイムで外部のSIEMやログ集約基盤へ転送しておけば、たとえ端末上のログが消されても、手元には“原本のコピー”が残ります。Splunk等のSIEMでログを集中管理する最大の価値は、まさにここにあります。さらに、ログ転送が突然止まった端末は、それ自体が「何かを隠そうとしている」疑わしいサインとして検知できます。

つまり、防御回避への対抗策は「検知ルールを増やす」ことだけではないのです。それ以上に、ログの集中管理という“設計”で先回りすることが効きます。攻撃者が現場の証拠を消しても、本部にコピーがある。攻撃者が監視を止めても、「止まったこと」が分かる。こうして「消す・止める」が逆に攻撃者を浮かび上がらせる仕掛けを、あらかじめ作っておく——これが防御回避と戦う、最も賢いやり方です。

もうひとつ覚えておきたいのが、タイムスタンプ改ざん(タイムストンプ)への向き合い方です。攻撃者はファイルの作成・更新日時を偽装して、調査を攪乱しようとします。しかしWindowsのファイルシステム(NTFS)は、表向きの日時とは別にMFT(マスターファイルテーブル)の中にも日時情報を持っており、両者の食い違いが“改ざんの痕跡”として浮かび上がることがあります。攻撃者が消した・偽った——その不自然さを拾い上げるのが、フォレンジック・アーティファクト解析の真骨頂です。隠そうとするほど、矛盾は増えていきます。

04

🔓 認証情報アクセス:鍵を奪う

戦術ID TA0006。攻撃者が、組織の奥へ進むための“合鍵”=パスワードやハッシュを盗む段階です。

認証情報アクセス(Credential Access)は、攻撃者がログイン情報——パスワード、ハッシュ値、認証チケット、セッショントークンなど——を盗み出す戦術です。なぜこれほど重要なのか。盗んだ認証情報は「正規の鍵」だからです。鍵を使って入る限り、システムから見れば“正規のログイン”にしか見えません。攻撃者は、怪しいマルウェアを使うより、奪った鍵で堂々と歩き回るほうが、はるかに見つかりにくいのです。代表的な手口を見ていきましょう。

T1003.001

LSASSメモリの窃取

Windowsが認証情報を保持するlsass.exeのメモリから、パスワードやハッシュを抜き取る。認証情報窃取の“本丸”であり、最優先で守るべき対象。

T1003

SAM/NTDS.dit

ローカルのパスワードDB(SAM)や、ドメイン全体の認証情報を抱えるNTDS.ditを狙う。後者を奪われると被害は組織規模に。

T1110

ブルートフォース/スプレー

総当たりや、よくあるパスワードを多数のアカウントに試す「パスワードスプレー」。弱いパスワードと使い回しが突かれる。

T1555

ブラウザ・保管庫から

ブラウザに保存されたパスワードや、設定ファイル・スクリプトに平文で埋め込まれた認証情報(T1552)を回収する。

T1558

Kerberosチケット

Active Directoryの認証チケットを盗む・偽造する(Kerberoasting等)。最悪の場合「ゴールデンチケット」で全権限を握られる。

T1539

セッションCookie・トークン

ログイン済みのセッションCookieやトークンをそのまま盗む。これを使われると、MFAを突破された後の状態を乗っ取られてしまう。

このなかで“本丸”といえるのがLSASS(lsass.exe)からの窃取です。LSASSはWindowsが認証情報を一時的に保持するプロセスで、ここのメモリを読み取られると、ログイン中のユーザーのパスワードやハッシュがごっそり奪われかねません。だからこそ、防御側にとっても「LSASSへの不審なアクセスを監視する」ことが、認証情報窃取を捉える最重要ポイントになります。Sysmonのプロセスアクセスログ(イベントID 10)を使えば、これを検知できます。

# LSASSメモリへの不審なアクセスを検知(Sigma / Sysmon EID 10) title: LSASSプロセスへの疑わしいアクセス logsource: product: windows category: process_access detection: selection: TargetImage|endswith: ‘\lsass.exe’ GrantedAccess|contains:‘0x1010’‘0x1410’ # メモリ読み取りを伴う典型的なアクセス値 filter_legit: SourceImage|endswith: ‘\MsMpEng.exe’ # 正規のセキュリティ製品等は除外 condition: selection and not filter_legit tags: – attack.credential_access – attack.t1003.001

▲ 「正規のセキュリティ製品でもないプロセスが、LSASSのメモリを読みに来た」——これは認証情報窃取の典型的な兆候です。Velociraptorで全端末を横断確認すれば、被害範囲もつかめます。

認証情報窃取には、Mimikatz(ミミカッツ)に代表される有名なツールが使われることが知られています。ただ、防御側にとって大切なのは、特定ツールの名前を追うことより——ツールは名前も見た目も変えられるからです——「LSASSへのアクセス」「短時間での大量のログイン失敗(パスワードスプレー、EID 4625の多発)」といった“振る舞い”で捉えることです。第1回から繰り返してきた「変えにくいTTPで見る」という原則は、認証情報アクセスでも揺るぎません。ツール名は移り変わっても、メモリを読む・鍵を試すという行為の本質は、そう簡単には変えられないからです。

05

⛽ 盗んだ鍵は“横展開の燃料”

認証情報窃取は、それ単体が目的ではありません。次の攻撃を動かす「燃料」なのです。

攻撃者は、なぜ危険を冒してまで認証情報を盗むのか。それは、奪った鍵が次の攻撃すべての“燃料”になるからです。盗んだ認証情報は、主に3つの方向に使われます。より高い権限へ昇格する/組織内の他の端末へ横展開する(次回・第5回)/新たな勝手口として永続化する。とりわけ恐ろしいのが、ドメイン管理者の鍵を得た瞬間に開ける「横展開」の扉。1台の侵入が、組織全体へと燃え広がっていきます。

⛽ 認証情報という燃料が、攻撃を次の段階へ運ぶ

盗んだ認証情報 パスワード/ハッシュ/チケット ① 権限昇格一般ユーザー→管理者へ ② 横展開(第5回)他の端末・サーバーへ ③ 永続化の強化正規アカウントで再侵入 組織全体の制圧へ ランサム一斉暗号化など

ここで、防御側がぜひ知っておきたい重要な事実があります。攻撃者は、必ずしも「平文パスワード」を必要としないということです。Pass-the-Hash(ハッシュ渡し)は、パスワードのハッシュ値さえあれば、平文を知らなくてもそのまま認証を通せる手口。同様にPass-the-Ticketは、盗んだKerberosチケットをそのまま使います。さらに、ログイン済みのセッションCookieやトークンを盗めば、多要素認証(MFA)を通過した“あとの状態”を乗っ取れるのです。

🎫

「MFAを入れたから安心」とは言い切れない理由

第2回で、MFAは入口対策の最重要施策だと述べました。それは今も真実です。しかし、認証情報アクセスの段階では、MFAを“迂回”する手口が存在します。Pass-the-Hashはパスワード入力を経ずに認証を通しますし、セッショントークンの窃取は「すでにMFAを終えた状態」を盗むため、攻撃者は改めてMFAを求められません。だからMFAは“万能の盾”ではなく、「特権アカウントの分離」「トークンの短命化と条件付きアクセス」「LSASS保護」といった対策と重ねて、はじめて強固になります。一枚の盾ではなく、何重もの網で——この原則は、ここでも変わりません。

認証情報の種類主な盗まれ方悪用のされ方主な防御
平文パスワードLSASS/入力キャプチャ直接ログインMFA/Credential Guard
NTLMハッシュLSASS/SAMPass-the-HashCredential Guard/最小権限
Kerberosチケットメモリ/ADPass-the-Ticket・偽造特権分離/KRBTGT管理
セッションCookie・トークンブラウザ/メモリMFAバイパス条件付きアクセス/短命化

こうして“燃料”を手にした攻撃者は、いよいよ組織内を動き回り始めます。それが次回・第5回の「探索・横展開」です。今回守り切れれば、攻撃を1台で止められる。逆にここで鍵を奪われると、戦いの主導権は一気に攻撃者へ傾きます。だからこそ、認証情報の防御は“最後の砦”として全力を注ぐ価値があるのです。

06

🛡 防御の実践:隠蔽を見抜き、鍵を守る

「検知の網を守る」設計と、「鍵を守る」対策。この2軸で、攻撃者の山場をくじきます。

防御回避と認証情報アクセスへの対抗策を、効果の大きい順に整理します。ポイントは2軸——「攻撃者に消されない検知の仕組みを作ること(防御回避対策)」と、「合鍵そのものを守り、奪われても使えなくすること(認証情報対策)」です。

1

ログの集中管理(消される前に逃がす)

端末のログをリアルタイムでSIEMへ転送。証拠隠滅と防御無効化への、最も効果的な“設計上の”対抗策。

2

LSASS/認証情報の保護

Credential Guardや保護プロセス(PPL)でLSASSを守り、メモリからの窃取を困難にする。認証情報の“本丸”を固める。

3

特権アカウントの分離(Tier分離)

管理者アカウントを日常業務と分け、奪われても被害を局所化。1つの鍵で全部開かない設計に。

4

MFA+条件付きアクセス/LAPS

トークン悪用に備え短命化・条件付きアクセスを。LAPSでローカル管理者パスワードを端末ごとに別々にし、使い回しを断つ。

5

“消す・止める・盗む”を検知ルール化

EID 1102(ログ消去)・セキュリティ製品の停止・LSASSアクセス(EID 10)を高優先アラートに。Sigmaで実装。

✅ 隠蔽を見抜き、鍵を守るチェックリスト

□ 端末のログをリアルタイムで外部のSIEMへ転送しているか/□ EID 1102(ログクリア)を高優先で検知しているか/□ LSASSへの不審なアクセス(Sysmon EID 10)を監視しているか/□ Credential Guard/PPLでLSASSを保護したか/□ 管理者アカウントを日常利用と分離(Tier)したか/□ LAPSでローカル管理者パスワードを端末ごとに個別化したか/□ セキュリティ製品の停止・アンインストールを検知できるか/□ 重要トークンの短命化・条件付きアクセスを設定したか。まずはログ集中管理とLSASS監視——この2つが、防御回避と認証情報窃取への二大対抗策です。

そして、万一鍵を奪われた疑いがあるときは、ためらわず全端末の横断ハントで被害範囲を確認し、インシデント対応へ移行します。認証情報が漏れた場合は、該当アカウントのパスワード・チケットの一斉リセット(重大時はKRBTGTのリセットを含む)まで視野に入れるのが、再侵入を断つ定石です。DFIR完全ロードマップを索引に、必要な実践記事を行き来してください。

07

📚 用語集・FAQ・次に読む

今回の用語の整理と、よくある疑問。そして連載・第5回の予告です。

防御回避と認証情報アクセス——攻撃が静かに、しかし決定的に深まる2戦術を見てきました。勘所は2つ。「“消す・止める・隠す”という行為自体が痕跡になる」「認証情報は奪われる前提で、奪われても使えなくする」。そしてログは消される前に外へ逃がす。この設計思想が、攻撃者の山場をくじきます。用語とFAQで仕上げましょう。

📖 用語集

用語意味
防御回避(Defense Evasion)検知を逃れ、防御をかいくぐる戦術。TA0005。ATT&CK最多の技術数。
認証情報アクセス(Credential Access)パスワード・ハッシュ・チケット等を盗む戦術。TA0006
難読化(T1027)エンコードや圧縮で、コードや情報を読めなくする防御回避。
痕跡削除(T1070)ログ削除・タイムスタンプ改ざんなど、証拠を消す手口。
EID 1102「セキュリティログがクリアされた」記録。ログ消去を逆に検知できる。
プロセスインジェクション(T1055)正規プロセスにコードを注入し、その顔で活動する隠蔽手口。
LSASSWindowsが認証情報を保持するプロセス。窃取の“本丸”。T1003.001
Pass-the-Hash平文パスワードなしに、ハッシュ値だけで認証を通す手口。
トークン/Cookie窃取(T1539)ログイン済みセッションを盗み、MFA通過後の状態を乗っ取る。
Credential Guard仮想化でLSASSの認証情報を隔離・保護するWindowsの機能。
LAPSローカル管理者パスワードを端末ごとに自動で別々にする仕組み。
Tier分離特権アカウントを階層で分け、被害の連鎖を断つ設計思想。

❓ よくある質問(FAQ)

ログを消されたら、もう調査は不可能ですか?

いいえ。第一に、ログをあらかじめ外部のSIEMへ転送しておけば、端末上で消されても原本のコピーが残ります。第二に、ログ消去自体がEID 1102として記録されます。さらに、レジストリやファイルシステムのアーティファクトなど、攻撃者が消し切れない痕跡も多く残ります。「消されたら終わり」にしない設計が肝心です。

EDRを入れていれば、LSASSからの窃取は防げますか?

EDRは強力ですが、攻撃者はEDRの無効化(T1562)も狙います。だから多層で備えます——Credential GuardやPPLでLSASS自体を保護し、Sysmon EID 10でアクセスを監視し、ログを外部転送してEDRが止められても気づけるようにする。単一の製品に依存せず、保護・検知・記録を重ねるのが安全です。

MFAを導入済みなのに、認証情報窃取が問題になるのはなぜ?

Pass-the-Hashはパスワード入力を経ずに認証を通し、セッショントークンの窃取は「MFA通過後の状態」を盗むため、いずれもMFAの再要求を回避し得ます。MFAは入口で極めて有効ですが、内部に侵入された後の認証情報窃取には、特権分離・LSASS保護・トークン短命化といった対策を重ねる必要があります。

個人や中小企業でも、現実的にできる対策は?

あります。①ログの外部保存(クラウドのログ保管でも可)、②管理者アカウントと日常アカウントの分離、③パスワードの使い回し撲滅とMFA、④OSの認証情報保護機能(Credential Guard等)の有効化。大規模なSIEMがなくても、これらは効果が大きく、低コストで始められます。「奪われても被害を局所化する」発想が鍵です。

こうした手口を学ぶこと自体、危なくないですか?

この記事で扱うのは「攻撃の兆候を防御者が捉え、奪われる前に守る」ための知識であり、攻撃手順書ではありません。ログ監視やLSASS保護は、正当な防御策です。ただし、これらの確認・検証は必ず自分が管理する、または許可された環境で行ってください。他者の認証情報を盗む行為は重大な犯罪です。許可された検証はペネトレーションテストの枠組みで行います。

第3回・第5回とは、どうつながっていますか?

第3回で住みついた攻撃者が、検知を逃れつつ合鍵を集めるのが今回。そして奪った認証情報を“燃料”に組織内を動き回るのが、次回・第5回の「探索・横展開」です。第1回の14戦術でいえば、攻撃が最も深まり、勝負が決する中盤の山場にあたります。

🧭 次に読む

🎯 連載をたどる

  1. 連載 第1回:ATT&CK総論
  2. 連載 第2回:初期アクセス編
  3. 連載 第3回:実行・永続化編

🔬 検知と集中管理

  1. Sigmaで隠蔽・窃取を検知
  2. SIEMでログを集中管理
  3. Windowsアーティファクト解析

🔭 狩りと対応

  1. Velociraptorで全台ハント
  2. インシデント対応プレイブック
  3. DFIR完全ロードマップ(ハブ)
✅ 連載・第5回の予告:「探索・横展開編」

合鍵を手にした攻撃者は、いよいよ組織内を動き回り始めます。第5回は、内部を偵察する「探索(Discovery)」と、奪った認証情報で他の端末へ感染を広げる「横展開(Lateral Movement)」を深掘りします。今回の認証情報窃取が、まさにその燃料。攻撃が“面”に広がるこの局面を、JPCERT/CCの横展開検知の知見も交えて見ていきます。地図は、いよいよ終盤へ。

📚 参考・出典(一次情報)

  • MITRE ATT&CK 公式 — Defense Evasion(TA0005)/Credential Access(TA0006)、T1027・T1070・T1562・T1003・T1110・T1558・T1539 等の各技術ページ
  • Microsoft Learn — Windows Defender Credential Guard/LSASS 保護プロセス(PPL)/LAPS/Sysmon(プロセスアクセス EID 10)
  • JPCERT/CC —「インシデント調査のための攻撃ツール等の実行痕跡調査に関する報告書」(横展開・認証情報窃取の検知)
  • IPA「情報セキュリティ10大脅威」/NIST SP 800-63(認証)・SP 800-61(インシデント対応)
  • MITRE D3FEND(ATT&CKに対応する防御技術のナレッジベース)

🥷 隠れる相手を“静けさ”で捉え、鍵を守り抜く

防御回避と認証情報アクセスは、攻撃が最も深まる山場。「消す・止める」が逆に攻撃者を浮かび上がらせ、守り抜いた鍵が組織を救います。
連載は次回、第5回「探索・横展開編」へ。全体像は 第1回・ATT&CK総論、前段は 第3回・実行・永続化編、実務の体系は DFIR完全ロードマップ へ。
※本記事は教育目的の解説です。攻撃手口の知識は、自分が管理または正式に許可された環境で、防御・検証のためにのみ用いてください。

コメント