コラム

マルウェアの中でも近年、急激に被害の数を増やし続けているのがファイルレスマルウェアです。
ファイルレスマルウェアとはどのようなマルウェアで、どのような仕組みによって攻撃を仕掛けてくるのか、企業が取るべき対処法とともにご紹介します。

気づかないうちに感染している？ ファイルレスマルウェアとは

ファイルレスマルウェアとは、「.exe」などの拡張子を持つ実行ファイルをインストールさせることなく、悪意のあるWebサイトなどを介してPCに感染し、不正な活動をするマルウェアです。

従来のマルウェアと違うのは、「PowerShell」などのWindowsに備わっている正規のツールを利用して、ディスク上に実行ファイルを生成するのではなく、メモリ上で不正なコードを実行して動作する点です。ステルス性能が高く、ファイルを残さないため、ファイルレスマルウェアと呼ばれています。

ファイルレスマルウェアの仕組み

ファイルレスマルウェアによる攻撃では、しばしばWindowsに標準で備わっているPowerShellやWindows Management Instrumentation（WMI）が利用されます。

PowerShellはWindowsに標準搭載されているシステム管理用のコマンドラインシェルでありスクリプト言語です。また、WMIはWindowsOSを管理するためのツールで、OS内のさまざまなコンポーネントに対して操作、列挙、対話などの処理を行うことができます。

ファイルレスマルウェアは、これらの正規のツールを巧みに悪用します。例えば届いたメール内のWebページのリンクをクリックすると一見、何の変哲もないページが表示されますが、実際にはFlash、またはPDFファイルを読むためのAcrobat Readerなどが立ち上がってPCのPowerShellが実行され、コマンド＆コントローラー（C&C）サーバーとの通信が始まります。C&Cサーバーとは不正なコマンドの実行などに利用される、いわばサイバー犯罪のために用意されたサーバーです。次にそのC&Cサーバーから勝手にダウンロードされたスクリプトが動作してPC内の重要データが抜き取られますが、そのための実行ファイルはディスク上には展開されず、再びPowerShellが使われてメモリ領域でコードが実行されます。

これがファイルレスマルウェア攻撃の大まかな仕組みです。最初のきっかけとなるのはメールにあったリンクをクリックしてしまうことですが、ほかにもメールに悪意あるコードが仕組まれたWordファイルやExcelファイルが添付されていることもあります。Wordの文書を開こうとして「コンテンツの有効化」のボタンをクリックすると、PowerShellを使用した不正なマクロが実行されて、同じようにC&Cサーバーとの通信が始まるという具合です。

ファイルレスマルウェアの脅威

上で触れているように、ファイルレスマルウェアはディスク上に実行ファイルを残すことがないためシグネチャ（識別情報）を捉えられず、一般的な「検知型」のセキュリティソフト（アンチウイルスソフト）では見つけることが困難です。

感染すれば、ほかのマルウェアと同様に、データの破壊、改ざん、遠隔操作による情報の剽窃などを行うことができます。ファイルを暗号化して身代金を要求するランサムウェアにも利用されます。しかし被害を受けた側は感染に気づくのが遅れるケースが多く、あとから痕跡を探し出すのも難しいため、非常にやっかいなマルウェアだといえます。

一方、攻撃する側からすれば、ファイルレスマルウェアによる攻撃はそれほど難しい技術を使うわけではありません。PowerShellやWMIなどは技術者によく知られた正規のツールであり、その機能をうまく利用していくぶん複雑なプロセスを実行しているだけです。また、メモリに常駐するタイプのマルウェアは15年以上前から確認されており、決して目新しい攻撃方法でもありません。ただし、そのやり方は時代に合わせて確実に進化しています。

ファイルレスマルウェア攻撃について企業が注意すべきこと

ファイルレスマルウェアの多くは企業の重要データを狙います。そのため業務でPCを使う者はファイルレスマルウェアの存在や脅威について十分な知識を得ておくことが重要です。

セキュリティ研修ではWebサイトにアクセスするときの注意点や、メールの添付ファイルの取り扱い方について学ぶ必要があります。安易にリンクをクリックしたり、添付ファイルを開いたりせず、マクロを実行するような指示にも従わないよう徹底しましょう。Windowsのアップデートを欠かさず、常に最新の状態にしておくことも基本事項です。また、多少の不便が生じることを前提に、PowerShell、WMIなどのツールを無効化する方法もあります。

もっと効果的なのは、一般的な「検知型」や「ホワイトリスト型」のセキュリティソフトとは別に、ファイルレスマルウェアに対応したセキュリティソフトを導入する方法です。ファイルレスマルウェアに対する防御機能を持つセキュリティツールを導入すれば、その脅威を遠ざけられる可能性があります。

ファイルレスマルウェアは従来のセキュリティ対策では非常に検知・防御が難しいサイバー攻撃であり、現在では多くの攻撃者が好んで使うポピュラーな手法となっています。

AppGuardはシステムに害を与えるプロセス動作を阻止する、あるいはOSやソフトウェアの正しい動作を守るなどの、従来のセキュリティソフトとは異なるアプローチでファイルやソフトウェアによる攻撃を防御するセキュリティソリューションです。ファイルレスマルウェアからシステムやデータを防御する方法を探しているなら、ぜひその強力な機能を試すことをご検討ください。

AppGuard Blog ファイルレスマルウェアとは？ 企業は何に注意すべきか 参照
https://www.blueplanet-works.com/column/anti-malware/fileless-malware/