Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
日本語
Entry № 1246

WMI イベント サブスクリプション持続化

WMI イベント サブスクリプション持続化 とは何ですか?

WMI イベント サブスクリプション持続化永続的な WMI イベント フィルターとコンシューマーを登録し、指定したシステム イベントが発生するたびに攻撃者コードを実行させる持続化手法。

WMI イベント サブスクリプション持続化(MITRE ATT&CK T1546.003)は、Windows Management Instrumentation を悪用し、__EventFilter(トリガー条件を表す WQL クエリ)、__EventConsumer(動作。一般に CommandLineEventConsumer や ActiveScriptEventConsumer)、両者を結ぶ __FilterToConsumerBinding を作成します。これらが root\subscription 名前空間に書き込まれると、WMI サービスはフィルター発火時に SYSTEM コンテキストでコンシューマーを実行します(ログオン時、タイマー、プロセス起動時、USB 挿入時など)。ファイルレスで再起動後も持続するため高度な攻撃者に多用されます。検出は WMI-Activity Operational/Trace ログ、Sysmon イベント 19/20/21、サブスクリプションのベースライン化が有効で、WMI 名前空間の権限制限と ASR ルールが堅牢化策となります。

  1. 01

    起動後アップタイムが 200 秒を超えた時点で PowerShell を起動する CommandLineEventConsumer。

  2. 02

    5 分ごとに悪意ある VBScript を実行する ActiveScriptEventConsumer。

よくある質問

WMI イベント サブスクリプション持続化 とは何ですか?

永続的な WMI イベント フィルターとコンシューマーを登録し、指定したシステム イベントが発生するたびに攻撃者コードを実行させる持続化手法。 サイバーセキュリティの 攻撃と脅威 カテゴリに属します。

WMI イベント サブスクリプション持続化 とはどういう意味ですか?

永続的な WMI イベント フィルターとコンシューマーを登録し、指定したシステム イベントが発生するたびに攻撃者コードを実行させる持続化手法。

WMI イベント サブスクリプション持続化 はどのように機能しますか?

WMI イベント サブスクリプション持続化(MITRE ATT&CK T1546.003)は、Windows Management Instrumentation を悪用し、__EventFilter(トリガー条件を表す WQL クエリ)、__EventConsumer(動作。一般に CommandLineEventConsumer や ActiveScriptEventConsumer)、両者を結ぶ __FilterToConsumerBinding を作成します。これらが root\subscription 名前空間に書き込まれると、WMI サービスはフィルター発火時に SYSTEM コンテキストでコンシューマーを実行します(ログオン時、タイマー、プロセス起動時、USB 挿入時など)。ファイルレスで再起動後も持続するため高度な攻撃者に多用されます。検出は WMI-Activity Operational/Trace ログ、Sysmon イベント 19/20/21、サブスクリプションのベースライン化が有効で、WMI 名前空間の権限制限と ASR ルールが堅牢化策となります。

WMI イベント サブスクリプション持続化 からどのように防御しますか?

WMI イベント サブスクリプション持続化 に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。

WMI イベント サブスクリプション持続化 の別名は何ですか?

一般的な別名: WMI パーマネント サブスクリプション, パーマネント イベント サブスクリプション。

関連用語

関連項目