Select Language : English 日本語

NTTコミュニケーションズ

法人のお客さま: English / 日本語
個人のお客さま: English / 日本語

NTT Ltd.

グローバルサイト English

お客さまの課題解決のヒントをお届けするデジタルマガジンICT Business Online

メルマガ登録

痕跡が消えるサイバー攻撃Windows標準機能を悪用する「ファイルレスマルウェア」

印刷

なぜ、セキュリティ対策ソフトが検知できないのか?

一連のファイルレスマルウェアによる攻撃を、セキュリティ対策ソフトはなぜ検知できないのでしょうか。まずは感染のきっかけとなるメールです。攻撃に使われるメールは一般的なメールを装っているので、スパムフィルターで検知できる可能性は高くありません。また、添付ファイルに使用された「.rtf」や「.lnk」などのファイルは、当時セキュリティ対策ソフトは検知の対象にしていませんでした。

ファイル形式が検査の対象になっていないので、セキュリティ対策ソフトはファイルの動作を確認しません。結果、ファイルに仕込まれたスクリプトがブロックされないことになります。また、PowerShellもWindows上で動作する正規のサービスと認識されているので、その上で実行されているプログラムもチェックしていません。このようにサイバー攻撃者は、セキュリティ対策ソフトが検査を行う対象を見極めることで、その穴を突くという新たな攻撃手法を編み出したのです。

さらにこの攻撃では、PowerShellとドロッパー、ダウンロードするマルウェアがメモリ上で動作するようにしていました。つまり、従来のマルウェアのようにPCのディスク上にマルウェアが作成されません。これがファイルレスと呼ばれる理由です。マルウェアの痕跡がディスク上に残らず、メモリの内容はPCを再起動すると消えてしまいます。このことが事後の調査(フォレンジック)を困難にしました。

このように、ファイルレスマルウェアはセキュリティ対策の“抜け穴”を狙った攻撃手法です。ファイルレスマルウェアの存在が明らかになったのち、多くのセキュリティベンダーが検査対象のファイル形式を拡大したことで、感染の被害は減少しています。しかし専門家の中には、ファイルレスマルウェアの手法と脆弱性を悪用する手法を組み合わせることで、「完全なファイルレスマルウェア」が実現できると、警鐘を鳴らす人もいます。

この記事のキーワード

関連サービス