コラム

2020.01.19

ファイルレスマルウェアとは? 企業は何に注意すべきか

マルウェアの中でも近年、急激に被害の数を増やし続けているのがファイルレスマルウェアです。
ファイルレスマルウェアとはどのようなマルウェアで、どのような仕組みによって攻撃を仕掛けてくるのか、企業が取るべき対処法とともにご紹介します。

気づかないうちに感染している? ファイルレスマルウェアとは

ファイルレスマルウェアとは、「.exe」などの拡張子を持つ実行ファイルをインストールさせることなく、悪意のあるWebサイトなどを介してPCに感染し、不正な活動をするマルウェアです。

従来のマルウェアと違うのは、「PowerShell」などのWindowsに備わっている正規のツールを利用して、ディスク上に実行ファイルを生成するのではなく、メモリ上で不正なコードを実行して動作する点です。ステルス性能が高く、ファイルを残さないため、ファイルレスマルウェアと呼ばれています。

ファイルレスマルウェアの仕組み

ファイルレスマルウェアによる攻撃では、しばしばWindowsに標準で備わっているPowerShellやWindows Management Instrumentation(WMI)が利用されます。

PowerShellはWindowsに標準搭載されているシステム管理用のコマンドラインシェルでありスクリプト言語です。また、WMIはWindowsOSを管理するためのツールで、OS内のさまざまなコンポーネントに対して操作、列挙、対話などの処理を行うことができます。

ファイルレスマルウェアは、これらの正規のツールを巧みに悪用します。例えば届いたメール内のWebページのリンクをクリックすると一見、何の変哲もないページが表示されますが、実際にはFlash、またはPDFファイルを読むためのAcrobat Readerなどが立ち上がってPCのPowerShellが実行され、コマンド&コントローラー(C&C)サーバーとの通信が始まります。C&Cサーバーとは不正なコマンドの実行などに利用される、いわばサイバー犯罪のために用意されたサーバーです。次にそのC&Cサーバーから勝手にダウンロードされたスクリプトが動作してPC内の重要データが抜き取られますが、そのための実行ファイルはディスク上には展開されず、再びPowerShellが使われてメモリ領域でコードが実行されます。

これがファイルレスマルウェア攻撃の大まかな仕組みです。最初のきっかけとなるのはメールにあったリンクをクリックしてしまうことですが、ほかにもメールに悪意あるコードが仕組まれたWordファイルやExcelファイルが添付されていることもあります。Wordの文書を開こうとして「コンテンツの有効化」のボタンをクリックすると、PowerShellを使用した不正なマクロが実行されて、同じようにC&Cサーバーとの通信が始まるという具合です。

ファイルレスマルウェアの脅威

上で触れているように、ファイルレスマルウェアはディスク上に実行ファイルを残すことがないためシグネチャ(識別情報)を捉えられず、一般的な「検知型」のセキュリティソフト(アンチウイルスソフト)では見つけることが困難です。

感染すれば、ほかのマルウェアと同様に、データの破壊、改ざん、遠隔操作による情報の剽窃などを行うことができます。ファイルを暗号化して身代金を要求するランサムウェアにも利用されます。しかし被害を受けた側は感染に気づくのが遅れるケースが多く、あとから痕跡を探し出すのも難しいため、非常にやっかいなマルウェアだといえます。

一方、攻撃する側からすれば、ファイルレスマルウェアによる攻撃はそれほど難しい技術を使うわけではありません。PowerShellやWMIなどは技術者によく知られた正規のツールであり、その機能をうまく利用していくぶん複雑なプロセスを実行しているだけです。また、メモリに常駐するタイプのマルウェアは15年以上前から確認されており、決して目新しい攻撃方法でもありません。ただし、そのやり方は時代に合わせて確実に進化しています。

ファイルレスマルウェア攻撃について企業が注意すべきこと

ファイルレスマルウェアの多くは企業の重要データを狙います。そのため業務でPCを使う者はファイルレスマルウェアの存在や脅威について十分な知識を得ておくことが重要です。

セキュリティ研修ではWebサイトにアクセスするときの注意点や、メールの添付ファイルの取り扱い方について学ぶ必要があります。安易にリンクをクリックしたり、添付ファイルを開いたりせず、マクロを実行するような指示にも従わないよう徹底しましょう。Windowsのアップデートを欠かさず、常に最新の状態にしておくことも基本事項です。また、多少の不便が生じることを前提に、PowerShell、WMIなどのツールを無効化する方法もあります。

もっと効果的なのは、一般的な「検知型」や「ホワイトリスト型」のセキュリティソフトとは別に、ファイルレスマルウェアに対応したセキュリティソフトを導入する方法です。ファイルレスマルウェアに対する防御機能を持つセキュリティツールを導入すれば、その脅威を遠ざけられる可能性があります。

ファイルレスマルウェアは従来のセキュリティ対策では非常に検知・防御が難しいサイバー攻撃であり、現在では多くの攻撃者が好んで使うポピュラーな手法となっています。

AppGuardはシステムに害を与えるプロセス動作を阻止する、あるいはOSやソフトウェアの正しい動作を守るなどの、従来のセキュリティソフトとは異なるアプローチでファイルやソフトウェアによる攻撃を防御するセキュリティソリューションです。ファイルレスマルウェアからシステムやデータを防御する方法を探しているなら、ぜひその強力な機能を試すことをご検討ください。

AppGuard Blog ファイルレスマルウェアとは? 企業は何に注意すべきか 参照
https://www.blueplanet-works.com/column/anti-malware/fileless-malware/

2020.01.02

企業における情報漏えいの原因と防止策とは

情報漏えいは、ときに企業にとって致命的ともいえるダメージをもたらします。
情報漏えいはなぜ起きるのか、実効性ある防止策はあるのかなど、企業における情報漏えいについて解説します。

企業が情報漏えいを起こすとどうなるのか?

企業のデータは常に狙われており、対策を講じなくてはなりません。サイバー攻撃や内部不正などの被害にあってデータが盗まれてしまった場合、企業が責任を問われることになります。

企業が情報漏えいを起こす際の対象となる情報の多くは、顧客データや自社の従業員データなどの「個人情報」です。

企業が個人情報を漏えいさせ、個人情報保護法に違反していて個人情報保護委員会からの改善命令にも応じなかった場合は、違反した従業員に対して6カ月以下の懲役または30万円以下の罰金が科せられる可能性があります。またその従業員を雇っている会社に対しても最大30万円の罰金が科せられる可能性があります。

これらは刑事上の罰則ですが、個人情報の漏えいによって被害者が出ると、さらに民事上の罰則が加わることがあります。被害者に対する損害賠償責任が生じた場合、慰謝料などを含む損害賠償額は1件あたり1,000円から3万円程度になるといわれています。漏えいした個人情報の数は数万人規模であれば、賠償額も数億円に達します。

こうした法的責任以外に、個人情報漏えいが報道されることによる社会的信用やブランドイメージの失墜も企業に大きなダメージを与えます。インシデントの規模が大きいほど賠償額も甚大に、信用低下も深刻になり、企業として存続の危機に瀕するケースもあります。

また、個人情報以外に技術情報などの機密情報が漏えいするケースも考えられます。こちらは従業員の過失やサイバー攻撃より、内部不正によるものが多いといわれますが、企業から公表される機会が少ないという特徴があります。しかし、仮に企業にとって事業の中核をなすような技術情報が競合会社に渡るなどした場合は、個人情報漏えいよりもさらに深刻な経営への打撃となる可能性があります。

企業における情報漏えいの原因

情報漏えいが起きる原因には次のようなものがあります。

ヒューマンエラー

情報漏えいの多くがメールの誤送信、添付ファイルに関する誤操作、USBメモリや紙資料の置き忘れ・紛失など、人為的な過誤や失敗によって起こっています。情報の管理ミスによる紛失や持ち出し、あるいはセキュリティについての知識があるにもかかわらず、不注意で悪意ある者が送ってきた添付ファイルを開いたり、URLリンクを踏んだりしてしまった場合もヒューマンエラーに含まれるでしょう。

サイバー攻撃

標的型攻撃、ゼロデイ攻撃、マルウェア感染などによるサイバー攻撃や、その結果として行われる不正アクセスによっても情報漏えいは発生します。サイバー攻撃は近年、巧妙化の一途をたどっています。不正アクセスによって漏えい・流出する個人情報の数は数万件から数十万件、ときには100万件を超えることもあり、企業に大きな打撃を与えます。

内部不正

組織内部の従業員や関係会社の人員による金銭などを目的とした情報の持ち出し・盗難も発生しています。中でも多いのは退職者が有用と判断した情報を盗み取り、転職先でその情報を使用するようなケースです。また重要な技術情報が盗み出されて競合会社に渡る事件も起きています。近年ではリモートワークが広まり、人目のない環境下で不正行為を働いてしまうというタイプの情報漏えいリスクが増大しているという指摘もあります。

情報漏えいの防止策

情報漏えいの防止策としてまず必要なのは、従業員のセキュリティ意識を高めるための教育や研修です。企業としてのセキュリティポリシーを設定し、業務内容に即したルールやマニュアルを整備して、それらの周知・遵守を徹底する必要があります。

また、同時に従業員の意識に頼らない環境を構築することも重要です。個人情報や機密情報へのアクセス制限、メールの誤送信・誤操作防止ツールの導入、アクセスログの取得と監視、不審なアクセスの検知とアラート、担当者の管理・監督、社内からの不正操作の防御などの多層的な対策を施しましょう。

サイバー攻撃に備えるセキュリティ対策は、アンチウイルスソフトやファイアウォールだけでは不十分です。インシデントは起こるものという前提に立った対策を立てることで、たとえ攻撃を受けたとしても情報漏えいによる被害の拡大を軽減できます。たとえば不正アクセスを受けることを前提としたセキュリティソフトを導入すれば、未知の攻撃にも対応可能です。また、不正なアクセスを受けた場合の手順――ネットワークの切断、機器の電源オフ、設定変更、関係部署への指示などのマニュアルを用意することで、情報の流出を最小限に押し止めることができるでしょう。

情報漏えいは企業に甚大な被害をもたらします。未然に防ぐための対策と、被害を抑えるためのインシデントレスポンスを用意しておきましょう。AppGuardはゼロデイ攻撃を含むサイバー攻撃からシステムを防御するソフトウェアです。攻撃を受けたとしても、システムに害を与える動作を未然に阻止し、安全を確保することができます。サイバー攻撃による情報漏えいのリスクを最小限化するため、ぜひAppGuardの導入をご検討ください。

AppGuard Blog 企業における情報漏えいの原因と防止策とは 参照
https://www.blueplanet-works.com/column/risk-management/information-leak-cause/