日本 Select Language : English 日本語

×閉じる

南北アメリカ

アメリカ: English
ブラジル: English / 日本語 / Português do Brasil

ヨーロッパ、中東、アフリカ(EMEA)

EMEA:

イギリス,
ベルギー,
フランス,
ドイツ,
オランダ,
スペイン,
アラブ首長国連邦
English
日本語
Español
Deutsch
Français
ロシア: English / 日本語 / русский

アジアパシフィック

日本(法人のお客さま): English / 日本語
日本(個人のお客さま): English / 日本語
オーストラリア(NTT Com ICT Solutions): English
中国本土: English / 日本語 / 簡體中文
香港/マカオ: English / 日本語 / 繁体中文 / 簡體中文
インド: English / 日本語
インドネシア: English
韓国: English / 日本語 / 한국어
マレーシア: English
フィリピン(DTSI): English
シンガポール: English / 日本語
台湾: English / 日本語 / 繁体中文
タイ: English / 日本語
ベトナム: English / 日本語

お客さまの課題解決のヒントをお届けするデジタルマガジンICT Business Online

メルマガ登録

痕跡が消えるサイバー攻撃Windows標準機能を悪用する「ファイルレスマルウェア」

印刷

企業へのサイバー攻撃の約9割が、「メール」を経由したものといわれています。それだけにメールを巡るサイバー攻撃とセキュリティ対策の攻防は激しく、サイバー攻撃者は次から次へと新たな手法を生み出してきました。2017年の夏ごろから確認され始めた「ファイルレスマルウェア」もその1つで、マルウェアをディスク上に作成せず、Windowsに標準で搭載された機能を悪用して感染させるものです。今回は、このファイルレスマルウェアのしくみと対策についてご紹介します。

「ファイルレスマルウェア」に感染する流れ

2017年に、「.rtf」や「.lnk」といった見慣れない形式のファイルが添付されたスパムメールが急増。多くの人がこれらのファイルを開いてしまい、マルウェアに感染する被害が相次ぎました。「.rtf」とはリッチテキストファイル、「.lnk」はショートカットファイルで、いずれもマイクロソフトの「Office」が使用するファイルです。

この攻撃は、セキュリティ対策ソフトなどによる検知を避けるため、複数の手法が組み合わされたものでした。感染の流れは、まずメールの受信者が添付ファイルを開くと、ファイルに書き込まれていたスクリプト(命令文)が実行され、PowerShellを呼び出します。PowerShellとは、Windows 7以降に標準で搭載されている機能で、プロセスの一種です。

プロセスとは、メモリ上で実行されるプログラムのことで、さまざまな動作が可能です。ファイルレスマルウェアでは、呼び出したPowerShellにドロッパーと呼ばれるマルウェアを生成します。ドロッパーはサイバー攻撃者が用意したC&C(コミュニケーション&コントロール)サーバーと通信を行い、新たなマルウェアをダウンロードし、実行します。ドロッパーによりダウンロードされるマルウェアにはさまざまなものがあり、ランサムウェアやバンキングマルウェアなどが確認されています。

この記事のキーワード

関連サービス