ファイルレスマルウェアとは？ 仕組みや攻撃手法、対策などを解説

従来のマルウェアとは仕組みが異なる、「ファイルレスマルウェア」を用いたサイバー攻撃の被害が増加しつつあります。ファイルレスマルウェアの一つである「Emotet（エモテット）」などの被害事例を、耳にしたことがある方も少なくないのではないでしょうか。しかし、ファイルレスマルウェアが従来のマルウェアとどう違うのか、明確には理解していないという方も多いのかもしれません。今回は、ファイルレスマルウェアとは何か、その仕組みや攻撃手法、対策についてわかりやすく解説します。

ファイルレスマルウェアとは、ハードディスクに痕跡を残さず攻撃するマルウェアのこと

ファイルレスマルウェアとは、Windowsの正規ツールや機能を悪用して攻撃を仕掛け、情報を窃取するマルウェアを指します。従来のマルウェアは、ユーザーにマルウェア本体となるソフトウェアをインストールさせて攻撃行動を実行するものがほとんどでしたが、ファイルレスマルウェアはハードディスクに痕跡を残さず、メモリ内に常駐して攻撃を実行するのが特徴です。

これまで広く活用されてきたセキュリティ対策ソフトウェアの多くは、ハードディスク上に不審なファイルが保存されたことを検知する仕組みです。しかし、ハードディスクにファイルが保存されないファイルレスマルウェアは、アンチウイルス製品などで異常を検知できないことが問題となっています。

一般的なファイルレスマルウェアの攻撃は、4つのステージに分けることができます。手順は従来のマルウェア攻撃と大きな差異はありません。

ファイルレスマルウェアの標的と狙われる背景

ファイルレスマルウェアの標的としては、Windowsに組み込まれているPowerShellやWMI（Windows Management Instrumentation）といった正規のツールが狙われます。ここでは、PowerShellやWMIがファイルレスマルウェアに狙われる背景について解説します。

PowerShellが標的にされる背景

PowerShellは、Windowsの中枢部分へのアクセスを可能にするためのスクリプト言語です。未知のプログラムでもWindows APIを通じてOSの中枢へアクセスできるよう、セキュリティ対策ソフトウェアの多くはPowerShellが実行するコマンドを検知しない仕組みになっています。

また、PowerShellはシステム管理者がWindows上で高度な操作を実行したり、リモートでメンテナンスを行ったりする際にも利用されています。Windowsを利用する上でPowerShellは欠かせない要素となっているからこそ、攻撃者にとって格好の標的となっているのです。ファイルレスマルウェアは、PowerShellの信頼性の高さを逆手に取り、攻撃のために悪用しているといえます。

WMIが標的にされる背景

WMIはWindows OSやWindows OSで動作するアプリケーションの管理を目的に、Microsoftが開発した技術です。主に企業内ネットワークにおいて、管理者がソフトウェアや更新プログラムをインストールしたり、システムの状態や設定情報などを収集したりすることができます。WMIを利用することで、管理者は多岐にわたるタスクをスピーディーに実行できる反面、攻撃者が悪意のあるコードを実行すれば、瞬時に攻撃行動を開始できてしまいます。管理者にとっての利便性の高さを悪用できる点が、WMIが攻撃者の標的にされやすい主な理由の一つです。

なお、WMIはソフトウェアではないためアンインストールできませんが、機能を無効にすることは可能です。ただし無効にすると、管理者は組織内の端末にインストールされているソフトウェアを一括更新する機能が利用できなくなるため注意が必要です。

ファイルレスマルウェアの攻撃手法とは？

ファイルレスマルウェアによる主な被害は、不正アクセスやデータの改ざん、情報漏洩、遠隔操作などが挙げられます。高度標的型攻撃（APT攻撃：Advanced Persistent Threat）を仕掛けたり、身代金を要求したりするケースでファイルレスマルウェアが用いられることも少なくありません。こうした攻撃をどのように実行しているのか、ファイルレスマルウェアの主な攻撃手法について解説します。

PowerShellを利用した攻撃手法

ファイルレスマルウェアの攻撃手法として、PowerShellを利用して不正なプログラムをダウンロードし、そのプログラムを実行させる方法があります。PowerShellによって生成されたファイルは、ハードディスク上ではなくメモリ上に書き込まれて動作するのが特徴です。メモリの特性上、記憶されていたデータは端末の電源を切ると消えてしまうため、ファイルレスマルウェアが不正なプログラムを実行した痕跡も消えてしまいます。

従来のセキュリティ対策ソフトウェアは、ハードディスク上に生成されたプログラムしかチェックしていないため、メモリ上で生成されたプログラムは検知できません。また、ファイルレスマルウェアはWindowsの機能を悪用して攻撃を仕掛けることから、正規のプログラムとの判別は困難を極めます。

アイコンや拡張子を偽装した攻撃手法

ショートカットファイルのアイコンや拡張子を偽装し、外見上はまるで通常のテキストファイルのように見せる攻撃手法もあります。実行されるスクリプトの記述内容がわかりづらいだけでなく、アイコンや拡張子の見た目からも、リスクの高いプログラムであることが判別しにくいため、感染を検知されることなく攻撃を実行できるのが特徴です。

従来のマルウェアと組み合わせた攻撃手法

ファイルレスマルウェアと従来のマルウェアを組み合わせる攻撃手法もあります。ファイルレスマルウェアで標的のシステムにアクセスできるようになれば、従来のマルウェアを起動することも可能です。このように、標的への侵入や常駐をするための手段は発覚しにくいファイルレスマルウェアを用いながら、攻撃手段そのものは従来のマルウェアを利用しているケースもあります。ファイルレスマルウェアと組み合わせて利用される、主な従来のマルウェアは下記のとおりです。

攻撃者がファイルレスマルウェアを利用する目的

攻撃者が従来のマルウェアよりもファイルレスマルウェアを利用するのは、大きく分けて2つの目的があると考えられます。下記でその目的についてご紹介します。

アンチウイルス製品による検出回避のため

アンチウイルス製品による検出を回避することが、攻撃者がファイルレスマルウェアを利用する目的の一つです。マルウェアによるサイバー攻撃は年々巧妙化していますが、多くのアンチウイルス製品も新たな手口が登場するたびにアップデートしているため、攻撃の成功率は低下します。

しかし、ファイルレスマルウェアの場合、メモリ上で攻撃活動を実行するため、ハードディスク上に保存された不正なファイルをチェックするアンチウイルス製品では検出が困難となります。さらに、正規のプログラムと判別がつかないことから、不審なプロセスを発見するのも容易ではありません。

攻撃の手間と時間を大きく削減するため

もう一つの目的として考えられるのは、攻撃の手間と時間を削減することです。ファイルレスマルウェアはファイルとしての実体がなく、スクリプトやマクロといったテキストベースで構成されています。データサイズが小さく、プログラムの変更なども容易に行えるため、手間や時間がかかりにくいのが特徴です。一方、マルウェアの多くは機械語で構成されたバイナリ形式の実行ファイルのため、ファイルサイズが大きくなりやすく、プログラムの構築や変更には多くの工数を必要とします。

ファイルレスマルウェアの代表格、Emotetの脅威

近年、ファイルレスマルウェアの代表格の一つである、Emotetによる被害報告が増えつつあります。Emotetの主な感染経路としては、文書ファイルに仕込まれたマクロが挙げられます。まず、攻撃者は業務関係者や企業などを装って標的とする組織にメールを送信します。メールにはPowerShellを悪用するマクロが埋め込まれた文書ファイルが添付されており、受信者が文書ファイルを開くとマクロが実行される仕組みです。

マクロが実行されるとPowerShellが起動し、攻撃者が設置したサーバーへと接続されます。接続後はサーバーからEmotetが自動でダウンロードされ、認証情報の窃取またはネットワークを介した感染拡大が進み、窃取された認証情報を悪用したメール送信といった攻撃を開始します。さらに、別のマルウェアをダウンロードして組織内に感染を広げ、ランサムウェア感染をはじめとする二次被害を招く恐れもあります。

ファイルレスマルウェアへの対策

ここまで見てきたとおり、ファイルレスマルウェアは従来のマルウェアと比べて回避しにくいサイバー攻撃といえます。ファイルレスマルウェアの被害を未然に防ぐには、どのような対策を講じればよいのでしょうか。ここでは、想定されるファイルレスマルウェアの主な対策方法をご紹介します。

端末の動きを可視化する

ファイルレスマルウェアはセキュリティ対策ソフトウェアでは検出されにくく、攻撃の痕跡も残らないのが大きな特徴です。従って、少しでも不審な動きが見られた際にはリスクを察知できるよう、ネットワークとエンドポイントの双方で端末の動きを可視化する必要があります。可視化に必要とされる主な要件は次のとおりです。

・ネットワークに必要な可視化の要件
ネットワーク内に存在するユーザーやデバイス、使用しているアプリケーション、扱うデータなどを可視化することが重要です。特にファイルレスマルウェアは社内に侵入後、ネットワークを通じて感染を拡大させるケースが少なくないことから、社内ネットワークについても不審な通信を検出できる仕組みを整えておく必要があります。

・エンドポイントに必要な可視化の要件
PCなどのエンドポイントで実行されるプロセスのほか、ファイル、レジストリ、イベントをそれぞれ可視化することが求められます。また、ファイルレスマルウェアはOSに標準搭載された機能を悪用することから、正規プログラムを含めたすべてのアクティビティを可視化することが大切です。既知のマルウェアや未知のファイルを検出するだけでは十分ではない点に注意が必要です。

改ざんがあるという事実を検出する

ファイルレスマルウェアの対策としては、明確な脅威の痕跡ではなく、設定の改ざんがあるという事実を検出することが求められます。従来のマルウェアは、シグネチャやファイルハッシュ値、IPアドレス、ドメイン名などの痕跡情報が、既知の脅威に該当するかどうかで検出することができます。しかし、ファイルレスマルウェアはこうした検出方法を回避することが可能です。そこで、変更後の値が脅威に該当するかどうかではなく、設定の改ざんが確認されたという事実そのものを検出する必要があります。

個人のセキュリティ意識を高める

従業員のセキュリティ意識を高めていくことは、ファイルレスマルウェアの脅威やリスクを軽減させる上で非常に有効な対策です。従来型のマルウェアよりも仕組みが高度化しているとはいえ、ファイルレスマルウェアも初期の侵入経路がスパムメールなどに添付されたファイルである点は共通しています。従って、送信元が確認できないメールは開かない、メールの添付ファイルを安易にクリックしないなど、基本的なセキュリティ意識を高めていくことが重要です。

すべての従業員を対象とした研修会を開催し、ファイルレスマルウェアの主な手口や想定される脅威への理解を促した上で、個人の端末操作が感染の発生源となり得ることを知ってもらう必要があります。

全体像をつかめるセキュリティ運用体制を作る

ファイルレスマルウェアは攻撃を実行した痕跡を残さないことから、分散した情報では全体像がつかめません。そこで、必要な情報を集約して取捨選択を行い、攻撃の全体像をつかむことで、迅速に対応できるセキュリティ運用体制を構築することが重要です。

ファイルレスマルウェアへの理解を深めて、脅威に備えよう

ファイルレスマルウェアは、正規のコマンドやプログラムとの判別がしづらい上に攻撃の痕跡を残さないことから、これまでのマルウェア対策では被害を未然に防ぐことは困難といえます。従って、ファイルレスマルウェアの特徴や攻撃の手口について理解した上で、必要な対策を十分に講じておく必要があります。

対策の一つとして導入をお勧めするのが、クライアント運用管理ソフトウェア「SKYSEA Client View」です。パターンファイルに依存した既知のマルウェア検知にとどまらず、PCの不審な挙動を基に未知の脅威を発見する「EDRプラスパック（組織外マルウェア情報）」をご提供し、サイバー攻撃のリスク対策をサポートします。検知することが困難なEmotetなどのファイルレスマルウェアに備えたい事業者様は、「SKYSEA Client View」の導入を検討されてみてはいかがでしょうか。