Trusted Design

T1070 - Indicator Removal

概要

Adversaries may selectively delete or modify artifacts generated to reduce indications of their presence and blend in with legitimate activity. Rather than broadly removing evidence, adversaries may target specific artifacts that appear anomalous or are likely to draw scrutiny, while leaving sufficient data intact to maintain the appearance of normal system behavior.

Artifacts such as command histories, log entries, or file metadata may be altered in ways that align with expected user or system activity. Location, format, and type of artifact (such as command or login history) are often platform-specific, allowing adversaries to tailor modifications that minimize suspicion.

These actions may not prevent detection entirely but can delay recognition of malicious activity or reduce the fidelity of alerts by making events appear benign or consistent with routine operations. Additionally, selectively removed or modified artifacts may still be recoverable through deeper forensic analysis, though their absence or alteration can complicate timeline reconstruction and attribution.

管理者によるコメント

T1070「Indicator Removal on Host」（ホスト上のインジケーター削除）は、攻撃者が自身の活動の痕跡を消去し、検知を回避するために用いる非常に重要なテクニックです。

1. 概要

この手法の主な目的は「ステルスの維持（Defense Evasion）」です。 攻撃者はシステム内での不審な動き（ファイルの作成、コマンドの実行、認証の失敗など）を記録したログやファイルを削除または改ざんすることで、以下のことを実現します。

• フォレンジック調査の妨害: 侵入経路や操作履歴を隠蔽し、事後の解析を困難にする。
• セキュリティ製品の回避: SIEMやEDRが異常を検知するトリガーとなるログを先手を打って消去する。
• 滞留時間の最大化: 発見を遅らせることで、長期間にわたってネットワーク内に潜伏し続ける。

2. 攻撃の流れ

攻撃者は、目的を達成した直後、あるいは定期的なメンテナンスとして以下の手順（サブテクニック）を実行します。

1. イベントログの消去: Windowsのイベントログ（Security, System, Application）を wevtutil コマンドなどで一括削除する。
2. シェル履歴の削除: Linuxにおける .bash_history や、PowerShellの履歴ファイルを削除、または記録機能を無効化する。
3. アーティファクトの削除: 攻撃に使用したツール（マルウェア本体、スクリプト）や、一時的に作成したディレクトリを削除する。
4. タイムスタンプの改ざん（Timestomping）: ファイルの作成日時をシステム内の他のファイルに合わせて変更し、新しく作成されたファイルであることを隠す。

3. 防御・対策

インジケーターの削除そのものを防ぐのは難しいため、「消される前に転送する」ことと「消したことを検知する」ことが鍵となります。

• ログの集中管理: ログを生成と同時に外部のログサーバー（SIEM、Syslogサーバーなど）にリアルタイム転送する。ローカルで消去されても証拠が残るようにします。
• 書き込み専用ストレージ: ログの保存先に、一度書き込むと削除・変更ができないWORM（Write Once Read Many）メディアを採用する。
• 重要なコマンドの監視: wevtutil cl（ログ消去）、rm -rf（一括削除）、Set-FileTime（タイムスタンプ変更）などの実行を監視し、アラートを上げる。
• アクセス権限の最小化: ログファイルを操作できる権限を厳格に制限する。

4. 重要ポイント

• 「削除」自体が強力なインジケーター: 一般的な運用でログを一括削除することは稀です。「ログが消された」という事実そのものが、侵害が発生した強い証拠（アラート）になります。
• サブテクニックの多様性: T1070には、T1070.001（ログ削除）、T1070.004（ファイル削除）、T1070.006（タイムスタンプ変更）など複数の細目があり、プラットフォーム（Windows, Linux, macOS, Cloud）ごとに手法が異なります。

5. 関連する主なCWE

T1070は攻撃手法（テクニック）であるため、ソフトウェアの脆弱性であるCWEとは「攻撃者が悪用する弱点」という関係性になります。

• CWE-778: Insufficient Logging: そもそも重要な操作が記録されていない（攻撃者が消す手間すら省ける状態）。
• CWE-734: Extended Control of Critical Resources: 攻撃者にログのような重要リソースの操作を許してしまう不適切な権限管理。
• CWE-117: Improper Output Neutralization for Logs: ログ・インジェクションにより、ログの内容を偽装する。

6. 関連する代表的なCVE

T1070を実行するために、攻撃者はしばしば特権昇格や認可バイパスの脆弱性を悪用します。多くの場合、特定のCVEを突くというよりは、「管理者権限を奪取した後に標準のシステムコマンドを使ってログを消す」という流れが一般的です。

• CVE-2022-21919 (Windows Event Log Service): Windowsイベントログサービスにおけるサービス拒否の脆弱性。ログ機能そのものを停止させるために悪用される可能性があります。
• CVE-2021-31166: HTTP.sysの脆弱性など、システムクラッシュを引き起こしてログの記録を中断させる手法に関連することがあります。
• CVE-2019-1068: SQL Serverの権限昇格。管理者権限を得ることで、SQL監査ログの消去を可能にします。

分析

この攻撃手法を利用する脅威アクター

この攻撃手法を利用する脅威アクターは登録されていません。

関連する CVE

この攻撃手法に関連する CVE は登録されていません。

攻撃手法 – 脅威アクター Graph

---

← Technique一覧に戻る ← Tactics一覧に戻る