永続化(Persistence)
永続化(Persistence) とは何ですか?
永続化(Persistence)再起動・資格情報変更・インシデント対応を経てもシステムへのアクセスを維持する手法を扱う MITRE ATT&CK 戦術(TA0003)。
永続化(MITRE ATT&CK 戦術 TA0003)は、システムの再起動、パスワード変更、運用側のクリーンアップを経ても攻撃者が足場を維持できるようにする技術群です。代表例には、自動起動レジストリキー、スケジュールタスク、Windows サービス、WMI イベントサブスクリプション、BITS ジョブ、macOS のログイン項目、Linux の cron、悪意あるブラウザ拡張、OAuth トークン、AD アカウントへのバックドアなどがあります。攻撃者は 1 つが削除されても困らないよう、複数の永続化手段を重ねて配置することが一般的です。防御側は、プロセス生成ログ、Autoruns(Sysinternals)や EDR の自動起動インベントリ、Sigma ルール、異常なタスク・サービス・LSA プロバイダのハンティングなどで検知し、感染端末を完全に再イメージング(再構築)して根絶します。
● 例
- 01
ランダムな GUID 名の Windows サービスとしてインストールされたバックドア。
- 02
Microsoft 365 メールボックスへの永続的なアクセス権を持つ悪意ある OAuth アプリ。
● よくある質問
永続化(Persistence) とは何ですか?
再起動・資格情報変更・インシデント対応を経てもシステムへのアクセスを維持する手法を扱う MITRE ATT&CK 戦術(TA0003)。 サイバーセキュリティの 防御と運用 カテゴリに属します。
永続化(Persistence) とはどういう意味ですか?
再起動・資格情報変更・インシデント対応を経てもシステムへのアクセスを維持する手法を扱う MITRE ATT&CK 戦術(TA0003)。
永続化(Persistence) はどのように機能しますか?
永続化(MITRE ATT&CK 戦術 TA0003)は、システムの再起動、パスワード変更、運用側のクリーンアップを経ても攻撃者が足場を維持できるようにする技術群です。代表例には、自動起動レジストリキー、スケジュールタスク、Windows サービス、WMI イベントサブスクリプション、BITS ジョブ、macOS のログイン項目、Linux の cron、悪意あるブラウザ拡張、OAuth トークン、AD アカウントへのバックドアなどがあります。攻撃者は 1 つが削除されても困らないよう、複数の永続化手段を重ねて配置することが一般的です。防御側は、プロセス生成ログ、Autoruns(Sysinternals)や EDR の自動起動インベントリ、Sigma ルール、異常なタスク・サービス・LSA プロバイダのハンティングなどで検知し、感染端末を完全に再イメージング(再構築)して根絶します。
永続化(Persistence) からどのように防御しますか?
永続化(Persistence) に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
永続化(Persistence) の別名は何ですか?
一般的な別名: 持続的アクセス, TA0003。
● 関連用語
- compliance№ 687
MITRE ATT&CK
MITRE が維持する、実際の攻撃で観測された攻撃者の戦術・技術に関するグローバルな公開ナレッジベース。
- malware№ 080
バックドア
通常の認証やアクセス制御を回避し、攻撃者に将来のシステムアクセス手段を提供する隠された仕組み。
- defense-ops№ 397
実行(MITRE 戦術)
ローカルまたはリモートのシステム上で攻撃者が制御するコードを動作させる手法を扱う MITRE ATT&CK の戦術(TA0002)。
- defense-ops№ 298
防御回避(Defense Evasion)
検知を回避し、セキュリティ製品を無効化し、活動を隠すために攻撃者が用いる手法をまとめた MITRE ATT&CK 戦術(TA0005)。
- defense-ops№ 265
サイバーキルチェーン
標的型侵入が偵察から目的達成までどのように進行するかを 7 段階で示した、ロッキード・マーティン社のモデル。
- forensics-ir№ 524
インシデントレスポンス
サイバーインシデントの準備・検知・分析・封じ込め・根絶・復旧を体系的に行い、教訓を反映する組織的プロセス。
● 関連項目
- № 535初期アクセス
- № 447Golden Ticket