Living off the Land.

独自マルウェアを投下せず、被害ホストにすでに存在する正規ツールやスクリプトを悪用する攻撃スタイル。 サイバーセキュリティの 攻撃と脅威 カテゴリに属します。

独自マルウェアを投下せず、被害ホストにすでに存在する正規ツールやスクリプトを悪用する攻撃スタイル。

Living off the Land(LotL、現地調達型攻撃)は、攻撃者が OS 標準のユーティリティや信頼された管理ツール(PowerShell、WMI、certutil、bitsadmin、schtasks、rundll32、ssh、curl、AWS CLI など)を用いて、実行、ディスカバリ、永続化、水平展開を行う侵害形態を指します。これらのバイナリは署名済みかつ通常運用で利用されるものなので、シグネチャベースのアンチウイルスを回避しやすく、正規の管理操作の中に紛れ込みます。そのため検知は「ファイルハッシュ」ではなく「振る舞い」中心になります。LotL は MITRE ATT&CK の防御回避・実行カテゴリと密接に関連し、APT やランサムウェアのアフィリエイトに広く使われます。対策としては、アプリケーション制御(WDAC/AppLocker)、コマンドラインおよび ScriptBlock のロギング、EDR のふるまい分析、最小権限の徹底が重要です。

Living off the Land に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。

一般的な別名: LotL, LOL。