企業へのサイバー攻撃の約9割が、「メール」を経由したものといわれています。それだけにメールを巡るサイバー攻撃とセキュリティ対策の攻防は激しく、サイバー攻撃者は次から次へと新たな手法を生み出してきました。2017年の夏ごろから確認され始めた「ファイルレスマルウェア」もその1つで、マルウェアをディスク上に作成せず、Windowsに標準で搭載された機能を悪用して感染させるものです。今回は、このファイルレスマルウェアのしくみと対策についてご紹介します。

「ファイルレスマルウェア」に感染する流れ

2017年に、「.rtf」や「.lnk」といった見慣れない形式のファイルが添付されたスパムメールが急増。多くの人がこれらのファイルを開いてしまい、マルウェアに感染する被害が相次ぎました。「.rtf」とはリッチテキストファイル、「.lnk」はショートカットファイルで、いずれもマイクロソフトの「Office」が使用するファイルです。

この攻撃は、セキュリティ対策ソフトなどによる検知を避けるため、複数の手法が組み合わされたものでした。感染の流れは、まずメールの受信者が添付ファイルを開くと、ファイルに書き込まれていたスクリプト（命令文）が実行され、PowerShellを呼び出します。PowerShellとは、Windows 7以降に標準で搭載されている機能で、プロセスの一種です。

プロセスとは、メモリ上で実行されるプログラムのことで、さまざまな動作が可能です。ファイルレスマルウェアでは、呼び出したPowerShellにドロッパーと呼ばれるマルウェアを生成します。ドロッパーはサイバー攻撃者が用意したC＆C（コミュニケーション＆コントロール）サーバーと通信を行い、新たなマルウェアをダウンロードし、実行します。ドロッパーによりダウンロードされるマルウェアにはさまざまなものがあり、ランサムウェアやバンキングマルウェアなどが確認されています。