防御回避（defense evasion）テクニックの経緯

サイバー脅威アクターによる防御回避テクニックの進化は、コンピュータ技術とセキュリティ対策の発展と密接に関連しています。以下に、1980年代から2020年代にかけての主要な進化の概要を示します。

1980年代から2020年代にかけて、サイバー攻撃者の防御回避テクニックは劇的に進化してきました。初期の単純なファイル隠蔽や自己複製から始まり、高度なステルス技術、暗号化、ポリモーフィック手法を経て、現代のAIを活用した攻撃や複雑なサプライチェーン攻撃に至るまで、その進化は目覚ましいものがあります。

1980年代の基本的な隠蔽技術や感染手法から、1990年代にはルートキットやポリモーフィックマルウェアが登場し、検出をより困難にしました。2000年代には、スパイウェア、大規模ボットネット、高度な暗号化技術が台頭し、攻撃の規模と複雑さが飛躍的に向上しました。

2010年代に入ると、標的型攻撃が洗練化し、サンドボックス回避、ファイルレス攻撃、「Living off the Land」テクニックなど、既存のセキュリティ対策を巧妙に回避する手法が普及しました。そして2020年代では、AI・機械学習を用いた高度な難読化、クラウドサービスの悪用、サプライチェーン攻撃の高度化など、最新技術を取り入れた極めて洗練された手法が登場しています。

この進化の過程は、攻撃者が常にセキュリティ対策の一歩先を行こうとする努力の表れであり、同時に防御側の技術も進化を続けている証でもあります。現代のサイバーセキュリティは、この攻防の歴史の上に成り立っており、今後も新たな技術や環境の変化に応じて、さらなる進化を続けていくことが予想されます。

以下、各時代の具体的な技術や手法について詳しく説明していきます。

1980年代 - 初期のマルウェア

この時代の防御回避テクニックは、今日の基準からすると初歩的ですが、当時のコンピュータセキュリティの概念が未発達だったことを考えると、十分に効果的でした。これらの技術は、後の年代でより洗練され、複雑化していくことになります。

基本的な隠蔽技術
- ファイル属性の変更: マルウェアは自身のファイルを隠しファイルや読み取り専用ファイルとして設定し、一般ユーザーの目に触れにくくしました。
- システムファイルの模倣: 正規のシステムファイル名に似た名前を使用し、ユーザーや初期のアンチウイルスソフトを欺こうとしました。
感染手法の工夫
- ブートセクタ感染: システムの起動部分に感染することで、OSの起動前から活動を開始し、検出を困難にしました。
- オーバーライト感染: 既存のファイルに上書きする形で感染し、新規ファイルの作成を避けることで検出を回避しようとしました。
タイミングベースの技術
- 遅延実行: 特定の条件（日付や時間）が満たされるまで活動を開始しないことで、即時の検出を回避しました。
初歩的な暗号化
- 単純な暗号化: マルウェアのコードの一部を暗号化し、実行時に復号することで、静的解析を困難にしました。
システムリソースの最小利用
- 小規模なコード: サイズを小さく保つことで、システムリソースの使用を最小限に抑え、検出を避けようとしました。
自己修復機能
- 基本的な自己修復: 削除されたファイルを再生成する機能を持つものも現れ、完全な除去を困難にしました。

1990年代 - ステルス技術の出現

これらの技術は、それまでの単純なマルウェアとは一線を画し、セキュリティ業界に大きな衝撃を与えました。結果として、アンチウイルスソフトウェアや侵入検知システムなど、セキュリティ技術の急速な進化を促しました。

ルートキットの登場と進化
- カーネルレベルの操作: オペレーティングシステムの核心部分を改変し、マルウェアの存在を完全に隠蔽。
- システムコール・フッキング: 正規のシステム呼び出しを傍受・改変し、マルウェアの活動を隠蔽。
- ファイルシステムのフィルタリング: 特定のファイルやプロセスをユーザーやセキュリティソフトから隠蔽。
- メモリ操作: RAMに直接干渉し、実行中のプロセスを隠蔽または改変。
ポリモーフィックマルウェアの出現
- 自己暗号化: 各感染時に異なる暗号化キーを使用し、シグネチャベースの検出を回避。
- コード変異: 機能は同じだが、バイナリレベルで異なるコードを生成し、パターンマッチングを困難に。
- デコイコード挿入: 無意味なコードを挿入し、解析を複雑化。
- 実行時コード生成: 実際の悪意のあるコードを実行時に動的に生成し、静的解析を無効化。
高度な隠蔽技術
- ステルスウイルス: ファイルサイズを変更せずに感染する技術を開発。
- タイムスタンプ保持: ファイルの変更日時を偽装し、感染の痕跡を隠蔽。
- 分割実行: マルウェアのコードを複数の無害に見えるファイルに分割し、検出を困難に。
アンチデバッグ技術
- デバッガ検出: デバッガの存在を検知し、動作を変更または停止。
- タイミング攻撃: デバッグ環境下での実行時間の差異を利用し、解析を妨害。
アンチウイルス対策
- メモリスキャン回避: メモリ常駐部分を最小限に抑え、検出を困難に。
- ヒューリスティック検知回避: 一般的なマルウェアの振る舞いを模倣しない独自の動作パターンを採用。
社会工学的手法の高度化
- 正規ソフトウェアの偽装: 信頼できるソフトウェアに見せかけ、ユーザーの警戒心を低下。
- トロイの木馬の洗練化: 有用な機能を持つ正規ソフトウェアにマルウェアを埋め込み。

2000年代 - 高度化と多様化

この時代、マルウェアの作成者たちは、より洗練された技術を採用し、検出と分析を極めて困難にしました。これに対応するため、セキュリティ業界も行動ベースの検出、機械学習を用いた異常検知、サンドボックス解析など、より高度な防御技術の開発を加速させました。

スパイウェアとアドウェアの防御回避テクニック

ブラウザ拡張機能の悪用: 正規の拡張機能を装い、ブラウザのセキュリティを回避。
DLL注入: 正規プロセスにコードを注入し、検出を困難に。
ルートキット技術の応用: オペレーティングシステムレベルで自身を隠蔽。
細分化: 機能を複数の小さなコンポーネントに分割し、全体像の把握を困難に。
自動更新機能: 定期的に新しいバージョンをダウンロードし、検出パターンを回避。

ボットネットの大規模化に伴う防御回避

動的なコマンド＆コントロール(C&C)サーバー: C&Cサーバーを頻繁に変更し、追跡を困難に。
ピア・ツー・ピア(P2P)通信: 中央サーバーを持たないP2P構造を採用し、ネットワーク全体の遮断を回避。
ドメイン生成アルゴリズム(DGA): ランダムなドメイン名を生成し、C&Cサーバーとの通信を隠蔽。
トラフィック暗号化: 通信内容を暗号化し、パケット解析による検出を回避。
正規サービスの悪用: TwitterやGoogleドキュメントなどの正規サービスをC&Cに利用。

暗号化技術を用いたマルウェア

高度な暗号化アルゴリズム: AESなどの強力な暗号化を使用し、静的解析を無効化。
パッカーの進化: UPX、Themidaなどの高度なパッカーを使用し、リバースエンジニアリングを困難に。
仮想マシン技術: カスタム仮想マシン内でコードを実行し、直接の解析を防止。
ホワイトボックス暗号: 暗号化キーを隠蔽したまま暗号化操作を行い、キー抽出を困難に。
難読化の多層化: 複数の難読化技術を組み合わせ、解析の複雑性を増大。

新たな防御回避テクニック

サンドボックス検知: 仮想環境や解析環境を検知し、その中での実行を回避。
タイムベース実行: 特定の日時になるまで悪意のある動作を遅延させ、短期的な解析を回避。
地理的制限: 特定の国や地域でのみ活性化し、グローバルな検出を回避。
アンチフォレンジック技術: ログの削除や改ざんにより、事後解析を困難に。

ソーシャルエンジニアリングの高度化

スピアフィッシング: 標的型の精巧な偽装メールにより、ユーザーの警戒心を回避。
水飲み場型攻撃: 信頼される正規サイトを改ざんし、ユーザーの警戒を回避。

ゼロデイ脆弱性の活用

未知の脆弱性を利用することで、既存のセキュリティ対策を完全に回避。

2010年代 - 標的型攻撃の洗練化

2010年代の攻撃は非常に検出が困難になりました。防御側は、振る舞い分析、機械学習ベースの異常検知、EDR（Endpoint Detection and Response）ソリューションの導入など、より高度で包括的なアプローチを採用せざるを得なくなりました。

フィルタリングやサンドボックス環境を回避する技術の発展
- 環境検知の高度化
  - ハードウェア特性の検査: CPU数、メモリ量、ディスク容量などを確認し、仮想環境を識別。
  - ユーザー行動シミュレーション検知: マウスの動きや入力の不自然さを検出。
  - 時間差攻撃: サンドボックスの短い観察時間を利用し、長時間後に活動を開始。
- エミュレーション回避
  - 特殊命令セットの使用: 特定のCPU固有の命令を使用し、エミュレータを混乱させる。
  - 自己修正コード: 実行時にコードを書き換え、静的解析を無効化。
- ネットワーク基盤の悪用
  - ドメインフラックス: 大量のドメイン名を短期間で切り替え、ブラックリストを回避。
  - ファストフラックス: DNSレコードを高頻度で変更し、IPブロックを回避。
ファイルレス攻撃の増加
- メモリ常駐型攻撃
  - PowerShellの悪用: スクリプトをメモリ上で直接実行し、ディスクに痕跡を残さない。
  - リフレクティブDLLインジェクション: ディスクを介さずにDLLをメモリに直接ロード。
- レジストリ悪用
  - レジストリランタイム: マルウェアコードをレジストリに格納し、メモリから実行。
- WMI（Windows Management Instrumentation）の悪用
  - 永続化: WMIリポジトリを使用してペイロードを保存し、検出を回避。
「Living off the Land」テクニックの普及
- 正規システムツールの悪用
  - LOLBAS (Living Off The Land Binaries and Scripts):
    - Certutil.exe: 証明書管理ツールを使用してファイルをダウンロード。
    - WMIC: Windowsの管理ツールを使用してコマンドを実行。
    - Rundll32.exe: DLLファイルを正規プロセスとして実行。
- スクリプト言語の活用
  - VBScript, JScript: Windowsに標準搭載のスクリプト実行環境を利用。
  - PowerShell: 高度な権限を持つシステム管理ツールを悪用。
- ファイルレス実行の組み合わせ
  - Regsvr32 + Scriptlet: 正規のDLL登録ツールを使用してスクリプトを実行。
高度な持続性技術
- ブートキット: システム起動プロセスに介入し、OSレベルの検出を回避。
- ファームウェア感染: UEFI/BIOSレベルで感染し、OS再インストールでも残存。
暗号化通信の悪用
- HTTPS通信の利用: 正規の暗号化通信を装い、トラフィック分析を回避。
- ドメインフロンティング: CDNサービスを悪用し、真の通信先を隠蔽。
社会工学的手法の進化
- ビジネスメール詐欺（BEC）: 高度に標的化された偽装メールにより、組織の意思決定者を欺く。
- ディープフェイク技術の活用: 音声や映像を偽造し、より説得力のある攻撃を実施。

2020年代 - AIと新技術の活用

新しい防御回避テクニックに対抗するため、セキュリティコミュニティも AI を活用した防御、ゼロトラストアーキテクチャの採用、サプライチェーンリスク管理（SCRM）の強化など、より包括的かつ先進的なアプローチを開発しています。

機械学習を用いた高度な難読化技術

敵対的機械学習
- マルウェア検出モデルを欺くサンプル生成: 検出アルゴリズムの弱点を利用し、検出を回避するマルウェアを自動生成。
- モデル回避テクニック: セキュリティシステムの機械学習モデルを分析し、その判断基準を回避する特徴を持つマルウェアを開発。
動的コード生成
- AI駆動の多形性: 機械学習モデルを使用して、実行ごとに異なるが機能的に同等のコードを生成。
- コンテキスト依存型実行: 環境や実行コンテキストに応じて動的にコードを生成し、静的解析を無効化。
自然言語処理（NLP）を利用した攻撃
- 高度なフィッシング: AIを使用して、個人やその状況に合わせた説得力のある文章を自動生成。
- コマンド難読化: 正規の言語パターンを模倣し、悪意のあるコマンドを隠蔽。

クラウドサービスを悪用した攻撃の増加

クラウドネイティブ攻撃
- コンテナ環境の悪用: Kubernetesなどのオーケストレーションシステムの脆弱性を突いた攻撃。
- サーバーレス関数の悪用: AWS LambdaやAzure Functionsなどを利用し、検出を回避しつつ攻撃を実行。
クラウドストレージの悪用
- コマンド＆コントロール（C2）インフラとしての利用: 正規のクラウドストレージサービスをC2サーバーとして使用し、通信を隠蔽。
- データ盗取の隠蔽: 正規のクラウド同期サービスを使用してデータを外部に送信。
IDおよびアクセス管理（IAM）の悪用
- 権限昇格: クラウド環境の複雑なIAM構造を悪用し、徐々に権限を拡大。
- クロスアカウント攻撃: 複数のクラウドアカウント間で権限を横断的に悪用。

サプライチェーン攻撃の高度化

ソフトウェア開発ライフサイクル（SDLC）への侵入
- コード署名証明書の盗用: 正規の開発者の証明書を盗み、マルウェアを正規のソフトウェアとして偽装。
- CI/CDパイプラインの侵害: 自動化されたビルドおよびデプロイメントプロセスに悪意のあるコードを注入。
オープンソースエコシステムの悪用
- 依存関係の汚染: 広く使用されているライブラリに悪意のあるコードを密かに挿入。
- タイポスクワッティング: 人気のあるパッケージ名に似た名前で悪意のあるパッケージを配布。
ハードウェアサプライチェーンの攻撃
- チップレベルの改ざん: 製造過程で半導体チップに悪意のある機能を組み込む。
- ファームウェアの改ざん: デバイスのファームウェアに裏口を仕込み、遠隔から制御を可能に。

新興技術を利用した攻撃

量子コンピューティングの影響
- 暗号解読の加速: 現在の暗号化手法を無効化する可能性のある量子アルゴリズムの開発。
- 量子耐性のない暗号の危殆化: 将来の解読に備えて、現在の通信を傍受し保存。
5Gネットワークの悪用
- 大規模IoTボットネット: 5Gの高速・大容量特性を利用した、前例のない規模のDDoS攻撃。
- ネットワークスライシングの悪用: 5Gの仮想化機能を悪用し、特定のサービスを標的とした攻撃。

防御回避（defense evasion）テクニックの経緯

1980年代 - 初期のマルウェア

基本的な隠蔽技術

感染手法の工夫

タイミングベースの技術

初歩的な暗号化

システムリソースの最小利用

自己修復機能

1990年代 - ステルス技術の出現

ルートキットの登場と進化

ポリモーフィックマルウェアの出現

高度な隠蔽技術

アンチデバッグ技術

アンチウイルス対策

社会工学的手法の高度化

2000年代 - 高度化と多様化

スパイウェアとアドウェアの防御回避テクニック

ボットネットの大規模化に伴う防御回避

暗号化技術を用いたマルウェア

新たな防御回避テクニック

ソーシャルエンジニアリングの高度化

ゼロデイ脆弱性の活用

2010年代 - 標的型攻撃の洗練化

フィルタリングやサンドボックス環境を回避する技術の発展

ファイルレス攻撃の増加

「Living off the Land」テクニックの普及

高度な持続性技術

暗号化通信の悪用

社会工学的手法の進化

2020年代 - AIと新技術の活用

機械学習を用いた高度な難読化技術

クラウドサービスを悪用した攻撃の増加

サプライチェーン攻撃の高度化

新興技術を利用した攻撃