Select Language : English 日本語
Global Site : NTT Ltd.

お客さまの課題解決のヒントをお届けするデジタルマガジンICT Business Online

メルマガ登録 サービス
オンライン注文

企業へのサイバー攻撃の約9割が、「メール」を経由したものといわれています。それだけにメールを巡るサイバー攻撃とセキュリティ対策の攻防は激しく、サイバー攻撃者は次から次へと新たな手法を生み出してきました。2017年の夏ごろから確認され始めた「ファイルレスマルウェア」もその1つで、マルウェアをディスク上に作成せず、Windowsに標準で搭載された機能を悪用して感染させるものです。今回は、このファイルレスマルウェアのしくみと対策についてご紹介します。

「ファイルレスマルウェア」に感染する流れ

2017年に、「.rtf」や「.lnk」といった見慣れない形式のファイルが添付されたスパムメールが急増。多くの人がこれらのファイルを開いてしまい、マルウェアに感染する被害が相次ぎました。「.rtf」とはリッチテキストファイル、「.lnk」はショートカットファイルで、いずれもマイクロソフトの「Office」が使用するファイルです。

この攻撃は、セキュリティ対策ソフトなどによる検知を避けるため、複数の手法が組み合わされたものでした。感染の流れは、まずメールの受信者が添付ファイルを開くと、ファイルに書き込まれていたスクリプト(命令文)が実行され、PowerShellを呼び出します。PowerShellとは、Windows 7以降に標準で搭載されている機能で、プロセスの一種です。

プロセスとは、メモリ上で実行されるプログラムのことで、さまざまな動作が可能です。ファイルレスマルウェアでは、呼び出したPowerShellにドロッパーと呼ばれるマルウェアを生成します。ドロッパーはサイバー攻撃者が用意したC&C(コミュニケーション&コントロール)サーバーと通信を行い、新たなマルウェアをダウンロードし、実行します。ドロッパーによりダウンロードされるマルウェアにはさまざまなものがあり、ランサムウェアやバンキングマルウェアなどが確認されています。

サービス案内

  • 総合リスクマネジメント

    ファイアウォールやIPS/IDS、アンチウイルスなど、ご要望の高いネットワークセキュリティやコンテンツセキュリティを一括してアウトソーシングできるパックメニューです。 セキュリティ運用基盤(SIEM)とリスク分析官による相関分析で、ファイアウォールなど機能単体での運用では気がつかない未知の脅威をあぶりだします。

    WideAngle マネージドセキュリティサービス

  • インターネットセキュリティ

    インターネット分離・無害化の技術で、従来の検知技術による多層防御では防ぎきれなかった新種のマルウェア攻撃やゼロデイ攻撃も防ぎ、安全で自由なWeb閲覧を実現します。