ファイルレスマルウェアとは、PCのOSにもともと備わっている機能を利用して行われる攻撃です。プログラムを入れることなく攻撃するという特徴により、どのような被害が発生しているのでしょうか？

被害の事例

感染によって不正に情報を取得されたり、改ざんされたり、遠隔操作によって情報が抜き取られたりするのは、従来のマルウェアと一緒です。ただし、攻撃が検知しにくいという点に違いがあります。 例えば、韓国を攻撃したGold Dragonは、ファイルレスマルウェアの典型的な仕組みを持つものでした。WindowsのPowerShellを悪用するのです。PowerShellの埋め込みスクリプトが入ったWord文書が添付されていました。 また、アメリカの信用情報会社が狙われた攻撃は、Apache Strutsの脆弱性が悪用された攻撃です。およそ1億5000万人分もの個人情報が流出する大きな被害となりました。

ファイルレスマルウェアの感染経路

大きな被害を出す可能性のあるファイルレスマルウェアは、スパムメールを通して拡散されるのが一般的です。 スパムメールに添付されたファイルをクリックすることで、PowerShellコードが実行されます。これを合図に、外部サーバーから不正なプログラムがダウンロードされるのです。 しかし、不正プログラムがディスク内に残ることはありません。メモリーに書き込みだけ残し、ファイルは全て削除されるからです。 すると、PowerShellの不正操作が可能になり、PCを外部からコントロールされてしまいます。その結果、情報を抜き取られたり、不正な操作をされたりするのです。

ファイルレスマルウェアが従来型よりも成功率が高いのは、そのための仕組みがあるからです。具体的にどのような仕組みと特徴を持っているのか解説します。

仕組みと危険性

ファイルではなくメモリー上で不正コードを実行するのが、ファイルレスマルウェアの基本的な仕組みです。OSに本来備わっている機能を悪用して実行されます。 そのため、攻撃に気づかれにくく、成功率が従来型のマルウェアと比較して10倍にもなるのです。 このことは、これまでのウイルス対策の考え方で対応できない攻撃である、ということを表しています。リスクを減らすには、ファイルレスマルウェアの仕組みや特徴を踏まえた対策が重要です。

正規コマンドやプログラムと判別が困難

成功率の高さの理由は、不正コマンドや不正プログラムだと気づきにくいことにより引き起こされるからです。正規コマンドや正規プログラムを悪用するマルウェアのため、判別が難しいのです。 しかも、稼働するのはメモリー上に限られます。そのため、再起動するとマルウェアそのものが消去されて、攻撃の痕跡が残りません。発見するのが極めて難しい攻撃と言えます。

スクリプトの難読化

発見が難しいのは、スクリプトが難読化されてしまうこととも関係します。どのような指示が行われているか分かりにくい内容のスクリプトなので、そのまま実行されてしまうのです。 ショートカットファイルのアイコンや拡張子を偽装するというのも特徴です。ファイルレスマルウェアのプログラムであるにもかかわらず、まるでテキストファイルのような見た目になってしまいます。 その結果、見つからないうちに攻撃を仕掛けられるのです。

従来型と比べて発見しにくいファイルレスマルウェアは、どのように対策するのがよいのでしょうか？有効な対策を紹介するので、自社の取り組みに生かしましょう。

ふるまい検知などエンドポイントでの対応

発見が難しいファイルレスマルウェア対策をするには、エンドポイントセキュリティとしてEDR製品を導入しましょう。マルウェアの挙動を検知して対応する機能があるため、水際で被害を食い止められる可能性があります。 例えば、PowerShellと同時にWordが起動するのは、ファイルレスマルウェアの侵入が疑われる挙動です。そこで、その動きを停止し、脅威の可能性を排除します。 既知のマルウェアを検知して対応する製品の場合、こうした対応ができません。そのため、ファイルレスマルウェアを意識した対策をするなら、EDR製品がおすすめです。

添付に注意するなど社員教育も

ファイルレスマルウェアは、メールの添付ファイルとして送りつけられるケースが一般的です。そのため、セキュリティ意識の低い社員が、不用意にクリックすることで被害を出す、というケースが増えています。 大切なのは、社員教育によって、個々のセキュリティ意識を高めることです。危険性に気づかず添付ファイルを開いてしまう社員を減らすことで、リスクを低くできます。 セキュリティ教育は、定期的に社員全員を対象に実施するのが理想です。半年に1度のペースで行うと、サイバー攻撃の手法の変化に対応しやすくなります。

発見のしにくさから被害が広がるファイルレスマルウェアは、従来型の対策では対応しきれません。メモリー上で稼働するだけなので、再起動によって削除されてしまうのです。 そのため、攻撃されたことに気づかず、痕跡が消えることで対応もしにくくなっています。 そんなファイルレスマルウェアを対策するには、挙動を検知するEDRの導入や、社員教育の徹底が必須です。自社に必要な対策を取り入れて、被害を食い止めましょう。