「ファイルレスマルウェア」は、実行ファイルが直接ディスク上に保存されないため、痕跡を残さない攻撃を行う脅威として、近年よく話題に上がるようになりました。悪意のあるサイバー攻撃の技術は年々高度化し、多くの被害と業務の妨げをもたらしています。
この記事では、ファイルレスマルウェアについてより理解を深めるために、従来型のマルウェアの基礎知識も押さえながら、どのような違いや特徴があるのか、役立つ対策方法などを解説します。従業員全員が個々に注意することも必要となりますので、社内全体のIT知識の情報共有にもぜひお役立てください。
ファイルレスマルウェアとは?
近年、従来のアンチウイルスソフトでは検知が難しいファイルレスマルウェアが猛威を振るっています。このマルウェアは、OSや正規のツールを悪用し、ファイルに痕跡を残さずに攻撃を仕掛けてくるため、企業にとって大きな脅威となります。
まずは、従来のマルウェアがどのようなものであるかを今一度確認しながら、ファイルレスマルウェアの特徴を見ていきましょう。
マルウェアとは、被害をもたらすソフトウェアの総称
「マルウェア」という言葉は、悪意のある、悪意の、などを意味する英単語「malicious(マリシャス)」と、ソフトウェアを組み合わせた造語で、悪意のあるソフトウェアの総称です。コンピューターウイルスや、トロイの木馬、ワーム、スパイウェア、ランサムウェア、アドウェア、などもすべてマルウェアに含まれます。
従来のマルウェアは、その多くが実行ファイルと呼ばれる悪意のあるプログラムそのものであり、ディスクに保存された上で不正に働いている点が特徴でした。ファイルレスマルウェアは、この従来のマルウェアに共通して見られた特徴と異なる点がポイントです。
マルウェアの感染経路について
マルウェアの感染経路は複数あります。その中でもメールは、世間一般的にもしばしば注意が促される、代表的な感染経路です。本文内のURLリンクのクリックや、添付ファイルを開くことで感染する他、HTMLメールは開いたりプレビューしたりするだけでも感染するものがあります。
また、マルウェアの仕込まれたWebサイトの閲覧や、投稿されたURLの閲覧、アプリケーションやファイルの代わりにマルウェアをダウンロードさせることなどでも被害が起こります。加えて、クラウドストレージやファイル共有のサービスの利用も、注意が促される経路です。インターネット経由は、PCだけでなくスマホでも感染するため十分に気を付けるようにしましょう。
他には、USBメモリや、CD、DVD、マルウェアに感染したスマホなどの、外部装置の接続も注意が必要です。
マルウェアについては、以下の記事で詳しく解説しております。ぜひご参考にしてください。
▼マルウェア・ランサムウェアとは? 被害の重大性や対策を確認しておこう
▼マルウェアの被害を防ぐには? 対策方法と感染時の対処法を解説
メモリ上に作成される、ファイルレスマルウェア
従来の多くのマルウェアは実行ファイルをディスク上に保存していましたが、ファイルレスマルウェアの場合は、悪意のある実行ファイルが直接ディスク上に保存されず、元々備わっている正規の機能を利用して悪意のあるプログラムをメモリ上に生成する、という特徴があります。ディスク上に実行ファイルが見つからないことから「ファイルレス」と呼ばれるようになりました。
ファイルレスマルウェアは近年、より高度化し被害も増加しているため、セキュリティ管理が困難な攻撃として従来のマルウェアとは区別されることが一般的となっています。従来のセキュリティソフト製品では検知や除去などの対応が難しいという点からも、注意が促されているようです。
ファイルレスマルウェアの感染経路
ファイルレスマルウェアの感染経路は、従来のマルウェアと共通している部分があります。攻撃のきっかけとして、しばしば用いられるのはメールを使った方法です。
悪意あるスクリプトが埋め込まれたファイルがメールに添付され、ファイルを開くことで攻撃の機会を与えてしまいます。他に、本文中のURLリンクをクリックする、悪意のあるWebサイトを閲覧する、などの行動も同様に注意が必要です。
攻撃者はこうした侵入のきっかけをつかんだ後、まずユーザーが普段からよく使用するような、OSに標準搭載されている正規ツールを動作させます。そして、悪意のあるWebサイトに接続し、マルウェアをダウンロードした上でメモリ上に実行ファイルを作る、というのがよく見られる攻撃の流れです。
関連の記事もご用意しております。
▼ランサムウェアの感染経路は? 感染すると起こり得る被害や対策方法を徹底解説!
ファイルレス攻撃の危険な特徴
ファイルレスマルウェアが危険視される理由は、従来のウイルス対策ソフトで検知されづらいことと併せて、攻撃が気付かれにくいことにあります。ここでは、その危険な特徴を解説します。
正規のツールを利用する
ファイルレスマルウェアは、OSに標準搭載されているツールを侵入後の手段として悪用しますが、それらは通常時から使用されるツールであるため、従来のウイルス対策ソフトでは悪意のある動作と検知されにくい状況にあります。
マルウェアに使われてしまうWindows標準搭載ツールの例としては、「PowerShell」や「Windows Management Instrumentation(WMI)」などがあります。これら正規のツールにアクセスして身を隠しながら、正規コマンドや正規プログラムのように見せかけて、マルウェアをダウンロードし攻撃を行うのが、ファイルレスマルウェアの厄介な特徴です。
ディスク上に実行ファイルがない
従来のマルウェア対策では、ハードディスク上の実行ファイルを見つけることが検知のポイントでした。この実行ファイルがハードディスク上にないことが、ファイルレスマルウェアが気付かれにくい大きな理由です。
ファイルレスマルウェアは、正規のツールを利用してマルウェアを取り込みますが、その際に実行ファイルが働く場所は、従来のウイルス対策ソフトで検知されにくいメモリ上です。そのため、ディスク上で実行ファイルを探す対策では発見されず、端末の電源を落とせばメモリ上のデータが消されてしまい、痕跡も残りません。
難読化されたスクリプトや拡張子の偽造
ファイルレスマルウェアでは、スクリプトが難読化され、一見、何を示しているものなのかわかりづらいことも危険な特徴です。また、見慣れた拡張子やアイコンを偽造することによって、安心できる見た目を装い、悪意のあるものだとは気付きにくいケースも多くあります。
ファイルレスマルウェア感染の被害
従来のマルウェアもファイルレスマルウェアも、感染後の初期被害は大きくは変わりません。マルウェアに感染すると、例えば「デバイスの動作が急に重くなる」といった、原因が見当たらないのに処理能力が低下することがあります。そうするとデバイスが起動しなくなったり、勝手に再起動やシャットダウンしたりするのです。
他に、不審なポップアップ画面が表示される、ブラウザが勝手に意図していないWebサイトに移動する、データが勝手に消えている、身に覚えのないメールやSNS投稿が送られている、といったケースもマルウェア感染が疑われる症状です。
そして最終的に、保存してある個人情報が外部に流出する、デバイス内のファイルが改ざんされる、デバイスをロックされて乗っ取られてしまう、勝手に情報を発信される、元に戻すための身代金を要求される、さらなるサイバー攻撃の準備に利用される、など大きな被害につながってしまうのです。
ファイルレスマルウェアにおいては、気付かれずに侵入した後、従来のマルウェアを組み合わせた複合的な攻撃が行われ、段階的に被害が拡大する恐れについても危険視されています。
関連記事もご用意しております。
▼motet(エモテット)の特徴と感染時の対策を解説
ファイルレスマルウェア攻撃への対策
マルウェアの被害には状況に応じて個別の対応が必要になりますが、共通してまず大切なことは、すぐにデバイスをネットワークから遮断することです。その上で、システムやサイバーセキュリティの担当者に報告し、調査と適切な対処を行ってください。
また、マルウェアに感染しないためには、予防としての対策を十分に行っておくことが大切です。セキュリティソフトを利用することは重要ですが、次のような対策が有効となります。
- 最新のOSやソフトウェアをインストールする
脆弱性を悪用されるリスクを減らすために、OSやソフトウェアは常に最新の状態にアップデートしましょう。 - 不審なメールや添付ファイルを開かない
メールの送信者や内容をよく確認し、不審なものは開封しない、添付ファイルは実行しないようにしましょう。 - リモートデスクトップ接続時のセキュリティ対策を強化する
リモートデスクトップ接続は、強力なパスワードを設定し、多要素認証を導入するなど、セキュリティ対策を強化しましょう。 - 不審なアクティビティを監視する
システムログやイベントログを定期的に確認し、不審なアクティビティがないか監視しましょう。 - セキュリティ意識を高める
ファイルレスマルウェアの攻撃手法や対策について理解を深め、常に警戒を怠らないようにしましょう。経営トップは、従業員へのセキュリティ教育を徹底し、ファイルレスマルウェア対策への投資を積極的に検討する必要があります。
そして感染経路からもわかるように、エンドポイントはマルウェアの感染が起きやすい部分のため、PCやスマホなど身近なデバイスを使う際には従業員全員で十分注意する習慣を付けましょう。不審なメールやファイル、Webサイトを開かない、不審なソフトウェアやアプリケーションをダウンロードしない、などのセキュリティの関する基礎知識を従業員全員が認識することが大切です。
ファイルレスマルウェア対策ではEDRも重要
ファイルレスマルウェアの対策では、侵入時に利用される「PowerShell」のような正規ツールを無効にするという考えもひとつの方法ではありますが、それにより業務環境の効率性も失われるため現実的ではないでしょう。そのため、活用するセキュリティソフトの方を、より高度でファイルレスマルウェアに対応したものにすることが大切です。複数の対策を組み合わせて、包括的に予防できる環境作りに努めましょう。
従来より高度な次世代型エンドポイントセキュリティ対策として、「EDR(Endpoint Detection and Response)」製品を導入することをおすすめします。
EDRについては、こちらの記事で詳しく解説しています。
▼EDRとは? 基本知識や従来のセキュリティ対策との違い、導入時のポイントなどを解説
ファイルレスを防御するEDR
ファイルレスマルウェア攻撃の被害が拡大していることを受けて、より有効な対策についての研究も進み、大きな被害を回避するために役立つ製品やサービスも数多く登場しています。
ファイルレスマルウェアの回避においては、前述のようにEDR製品が有効です。
高度な機能を持つEDR製品は、適切な導入や運用にあたって一定以上のスキルが必要となるため、導入支援サービスの活用も併せて検討することをおすすめします。
テクバンの提供するEDR導入支援
テクバンでは、EDR製品の導入・運用に役立つ様々なサービスを展開しております。下記で関連するいくつかのサービスの概要をご紹介します。
テクバンのEDRサービスとは?
- 「VMware Carbon Black Cloud 導入支援」
デバイスの種類や場所を問わず、最新の情報を基にしたアンチウイルス機能「Next-Gen Antivirus」による未知の脅威の検出や、アプリケーションの振る舞い分析などを行い、エンドポイントを保護します。 - 「Sophos Intercept X Advanced」
高性能AI(予測型ディープラーニング)でマルウェアを検出し、検体情報を継続的に学習することで複雑な関係性までを把握可能です。脅威の検知、ネットワーク隔離、駆除、復旧まですべて自動で行いエンドポイントを保護します。 - 「CrowdStrike Falcon導入支援」
「CrowdStrike Falcon」は、様々なセキュリティ課題の解決が可能です。振る舞いのログをクラウドに集めて解析する、検知した最新の脅威情報を共有するなどの方法で、常に最新の検知ルールによる保護を実現します。
テクバンでは、お客様の企業環境に最適なサービスをご案内いたします。まずはお気軽にお問い合わせください。
テクバンへ相談してみる
ファイルレスマルウェア対策は万全に
ファイルレスマルウェア対策は、企業全体で取り組むべき課題です。一人一人がセキュリティ意識を高め、適切な対策を講じることで、被害を防ぐことができます。
ファイルレスマルウェアは検知が難しく高度な対策が必要ですが、適切なソリューションを見つければ被害防止に役立ちます。常に情報収集を行い、自社に最適なセキュリティ環境を築きましょう。
