ファイルレスマルウェアへの対策とは。感染経路や特徴とともに紹介

従来型のマルウェアとは違う仕組みで動く『ファイルレスマルウェア』の被害が増えています。メールを介して感染することが多く、発見しにくいため気づきにくいのです。そんなファイルレスマルウェアへの対策方法を紹介します。

従来のPPPoE方式に比べて大容量で、通信が混雑することなくスムーズに行われ、快適で安定した接続環境のため、法人向け回線としても大きなメリットがあります。IPoEは、いったいどのようなサービスなのか、詳しくご紹介します。

【IPoE接続とPPPoE接続】改善とヒント
Case Studies
◆Case1:サービス業 ◆Case2:製造業
◆Case3:建築業 ◆Case4:小売業

PDF 資料ダウンロード ※アンケートに回答いただくとダウンロードボタンが現れます。

ネットワークセキュリティ環境について、ご意見お聞かせください。

Q1:セキュリティ対策の導入について

Q2:自社のセキュリティ対策について

Q3:今回の訪問の目的は何ですか

ファイルレスマルウェア被害の実状

ファイルレスマルウェアとは、PCのOSにもともと備わっている機能を利用して行われる攻撃です。プログラムを入れることなく攻撃するという特徴により、どのような被害が発生しているのでしょうか?

被害の事例

感染によって不正に情報を取得されたり、改ざんされたり、遠隔操作によって情報が抜き取られたりするのは、従来のマルウェアと一緒です。ただし、攻撃が検知しにくいという点に違いがあります。 例えば、韓国を攻撃したGold Dragonは、ファイルレスマルウェアの典型的な仕組みを持つものでした。WindowsのPowerShellを悪用するのです。PowerShellの埋め込みスクリプトが入ったWord文書が添付されていました。 また、アメリカの信用情報会社が狙われた攻撃は、Apache Strutsの脆弱性が悪用された攻撃です。およそ1億5000万人分もの個人情報が流出する大きな被害となりました。

ファイルレスマルウェアの感染経路

大きな被害を出す可能性のあるファイルレスマルウェアは、スパムメールを通して拡散されるのが一般的です。 スパムメールに添付されたファイルをクリックすることで、PowerShellコードが実行されます。これを合図に、外部サーバーから不正なプログラムがダウンロードされるのです。 しかし、不正プログラムがディスク内に残ることはありません。メモリーに書き込みだけ残し、ファイルは全て削除されるからです。 すると、PowerShellの不正操作が可能になり、PCを外部からコントロールされてしまいます。その結果、情報を抜き取られたり、不正な操作をされたりするのです。

ファイルレスマルウェアの特徴

ファイルレスマルウェアが従来型よりも成功率が高いのは、そのための仕組みがあるからです。具体的にどのような仕組みと特徴を持っているのか解説します。

仕組みと危険性

ファイルではなくメモリー上で不正コードを実行するのが、ファイルレスマルウェアの基本的な仕組みです。OSに本来備わっている機能を悪用して実行されます。 そのため、攻撃に気づかれにくく、成功率が従来型のマルウェアと比較して10倍にもなるのです。 このことは、これまでのウイルス対策の考え方で対応できない攻撃である、ということを表しています。リスクを減らすには、ファイルレスマルウェアの仕組みや特徴を踏まえた対策が重要です。

正規コマンドやプログラムと判別が困難

成功率の高さの理由は、不正コマンドや不正プログラムだと気づきにくいことにより引き起こされるからです。正規コマンドや正規プログラムを悪用するマルウェアのため、判別が難しいのです。 しかも、稼働するのはメモリー上に限られます。そのため、再起動するとマルウェアそのものが消去されて、攻撃の痕跡が残りません。発見するのが極めて難しい攻撃と言えます。

スクリプトの難読化

発見が難しいのは、スクリプトが難読化されてしまうこととも関係します。どのような指示が行われているか分かりにくい内容のスクリプトなので、そのまま実行されてしまうのです。 ショートカットファイルのアイコンや拡張子を偽装するというのも特徴です。ファイルレスマルウェアのプログラムであるにもかかわらず、まるでテキストファイルのような見た目になってしまいます。 その結果、見つからないうちに攻撃を仕掛けられるのです。

ファイルレスマルウェアへの対策

従来型と比べて発見しにくいファイルレスマルウェアは、どのように対策するのがよいのでしょうか?有効な対策を紹介するので、自社の取り組みに生かしましょう。

ふるまい検知などエンドポイントでの対応

発見が難しいファイルレスマルウェア対策をするには、エンドポイントセキュリティとしてEDR製品を導入しましょう。マルウェアの挙動を検知して対応する機能があるため、水際で被害を食い止められる可能性があります。 例えば、PowerShellと同時にWordが起動するのは、ファイルレスマルウェアの侵入が疑われる挙動です。そこで、その動きを停止し、脅威の可能性を排除します。 既知のマルウェアを検知して対応する製品の場合、こうした対応ができません。そのため、ファイルレスマルウェアを意識した対策をするなら、EDR製品がおすすめです。

添付に注意するなど社員教育も

ファイルレスマルウェアは、メールの添付ファイルとして送りつけられるケースが一般的です。そのため、セキュリティ意識の低い社員が、不用意にクリックすることで被害を出す、というケースが増えています。 大切なのは、社員教育によって、個々のセキュリティ意識を高めることです。危険性に気づかず添付ファイルを開いてしまう社員を減らすことで、リスクを低くできます。 セキュリティ教育は、定期的に社員全員を対象に実施するのが理想です。半年に1度のペースで行うと、サイバー攻撃の手法の変化に対応しやすくなります。

まとめ

発見のしにくさから被害が広がるファイルレスマルウェアは、従来型の対策では対応しきれません。メモリー上で稼働するだけなので、再起動によって削除されてしまうのです。 そのため、攻撃されたことに気づかず、痕跡が消えることで対応もしにくくなっています。 そんなファイルレスマルウェアを対策するには、挙動を検知するEDRの導入や、社員教育の徹底が必須です。自社に必要な対策を取り入れて、被害を食い止めましょう。

紹介動画

企業を狙うサイバー攻撃は巧妙化。セキュリティソフトを入れておけば安心という時代は終わり、多層防御によるセキュリティ対策が急務です。多層防御とは?ポイントを含めご紹介します。

セキュリティ対策を怠ったために、取引先にまで、マルウェアを感染させてしまったら・・・。ほぼすべての中堅・中小企業がサイバー攻撃を受けていると言われています。専門ベンダへのアウトソース、インシデント時の緊急体制の整備、サイバー保険。セキュリティに関する業務を一人で抱え込まないためのポイントをご紹介します。

「法人向けOCNサービスとは」関連情報

オンライン会議もサクサク! OCN光 IPoEサービス

企業向けベストプランワイドプラン

標準プランから3倍の収容設計(従来サービスの6倍)。Windows Updateによる通信をその他の業務用通信から分離し、つねに安定した通信が利用可能です。

  • 標準プランから3倍の収容設計

  • Windows Updateによる通信をその他の業務用通信から分離

オンライン会議に最適アプリコントロールA

Windows Updateのトラフィックを分離するワイドプランに、オンライン会議用の独立した帯域をプラス。収容設計もワイドプランの6倍。ストレスフリーなコミュニケーション環境を実現します。

  • ワイドプランから6倍の収容設計

  • オンライン会議用、Windows Update用、一般業務用で帯域を分離

標準プラン

従来サービスから2倍の収容設計。動画サービスなど、混雑の原因となりやすい個人向けインターネット通信のトラフィックを論理的に分離し、快適なインターネット接続環境を実現します。

  • 法人向け設計

  • 従来サービスから2倍の収容設計

  • 固定IPアドレス利用可能

VPNセット

高品質なOCN IPoEインターネット接続と拠点間VPN機能、専用レンタルルーターをセットで提供。IPsecによる暗号化技術により、インターネットVPNによる高品質な拠点間通信を実現します。

  • IPoEインターネット接続と拠点間VPN機能、専用レンタルルーターをセットで提供

  • IPsecによる暗号化技術でセキュアな拠点間通信を実現

vUTMセット

IPoEインターネット接続とクラウド化されたUTMをセットで提供。運用保守をNTT Comが行うため、つねに最新のセキュリティ対策を実現します。クラウド利用時のセキュリティ対策にも最適です。

  • インターネット接続とセキュリティ対策をセットで提供

  • 専門スキルを有する人材不要

  • つねに最新のセキュリティ対策を実現

ご検討中のお客さま

ご検討にあたり、ご不明点などはお電話もしくは、お問い合わせフォームで承ります。お気軽にお問い合わせください。

お電話によるお問い合わせ

0120-003300

受付時間:9:00~17:00
(土・日・祝日・年末年始を除く)

このページのトップへ