ファイルレスマルウェアとは?マルウェアを使用しない手法-その概要と基本的な対策

 2020.04.13  EDR実践ポータル

「サイバー攻撃の基本はマルウェア感染だから、マルウェア対策ソフトを導入していれば大丈夫。あとは、ファイアウォールとIPS/IDSとか、ネットワーク防御系の対策を実施していれば万事問題なし!」。そう考えるセキュリティ担当者は意外と多いのではないでしょうか?

この考え方は今では危険と言えます。確かにサイバー攻撃の中にはマルウェア感染を起点としたものが多いですが、最近ではマルウェアを使わない手法(マルウェアフリー )のサイバー攻撃も多数検出されています。「ファイルレスマルウェア」と呼ばれているものです。

2017年からファイルレスマルウェアによる被害が急増しており、2018年の平昌オリンピック開催時は韓国を狙った「Gold Dragon」と呼ばれる攻撃で継続的な情報流出が起きたことはまだ記憶に新しいでしょう。米国では信用情報会社が狙われ、1億5,000万人分の個人情報が流出するなど重大な被害も起きています。

本記事では、そんなファイルレスマルウェアの概要と基本的な対策を紹介します。「ファイルを使わないマルウェア」による新しい脅威から組織ネットワークや個人情報を守るためにも、ファイルレスマルウェアに対する正し知識を身につけましょう。

ファイルレスマルウェアとは?マルウェアを使用しない手法-その概要と基本的な対策

ファイルレスマルウェアとは?

ファイルが無い、悪意のある目的を持ったプログラム、マルウェアファイルがインストールされディスクに書き込まれることがない、そういったマルウェアの総称です。

ファイルレスマルウェアでは当然ながら従来型のマルウェアを使用しません。これはつまり、マルウェア対策ソフトが備えているシグネチャ(攻撃パターンを記録したファイル)との照合による防御が効かないことを意味しています。ファイルが無いのでチェック自体がそもそもできない状態です。ファイルレスマルウェアを検知できる可能性は従来のマルウェアソフトでは不可能であり、攻撃者の思うままになってしまいます。

では、ファイルレスマルウェアとは具体的にどういったサイバー攻撃なのか? メモリ上にプログラムを展開し、ファイルをディスクに書き込まない、「OSにもともと備わった機能を使う」、この様な攻撃のことです。WindowsならPowerShell、Linuxならシェルといったように、OSにはコマンドラインツールが備えられています。また、WindowsにはWMI(Windows Management Instrumentation)と呼ばれる、Windows OSにおけるシステム管理のための共通基盤アーキテクチャが存在します。ちなみにWMIは、システム管理のためのオープンな標準規約WBEMをWindows OS向けに実装したものです。

ファイルレスマルウェアはこれらのツールや技術を悪用して、OSに標準的に備わっているプログラムを実行できるようにします。さらに、これらのツールを用いて他のコンピュータに展開する恐れがあることから、従来のマルウェアプログラムのようにメールやネットワークを媒体にして感染を拡大することは少ないと言えます。

サイバー攻撃者がWindowsのPowerShellやWMIを標的にする理由は、侵害していることが検知されにくいからに他なりません。標準搭載されているツールが存在する、利用されているだけでは正規の作業か悪用かの切り分けは難しく、攻撃者にとってはコマンドベースによってさまざまな操作が実行できる。そして、多くのIT担当者の日常業務に組み込まれた機能なので、従業員の使用を禁止することが不可能だからです。

脅威ハンティングの最前線 2019年版
ENDPOINT DETECTION AND RESPONSE

PowerShellとWMI

次に、ファイルレスマルウェアの標的になりやすいPowerShellとWMIについて簡単に解説します。

PowerShell

PowerShellとは、Windowsに搭載されたコマンドベースのOS操作ツールであり、完全に信頼されたプログラムでもあります。そのため、実行されるコマンドは通常のセキュリティソフトでは無視されるという特徴から、Windowsの本質的部分が攻撃に悪用されやすくなっています。

また、PowerShellはWinRM(Windows Remote Management)というツールを利用すると、共通ネットワークから遠隔操作できるという特徴があります。このため、サイバー攻撃者はWindowsファイアウォールを経由したPowerShellを遠隔で実行できます。無効化されているWinRMはたった1行のコードをWMI経由で実行することで、遠隔操作を有効にできてしまうのも問題を大きくしています。

PowerShellを悪用した攻撃は、攻撃対象が1台のコンピュータなのか?あるいは組織全体なのか?といった被害区分がまったく判断できません。

WMI(Windows Management Instrumentation)

Windows OSはWMIがあることで、測定値の収集、ソフトウェアや更新プログラムのインストールなど様々なアクションが実行できるようになっています。つまり、WMIはWindows OSの根幹技術と言えます。WMIはコンピュータ上のすべての情報にアクセスでき、ファイルの実行、削除とコピー、レジストリ値の変更など多様なタスクを実行できます。

WMIがあることでIT管理者は迅速にタスクを実行できるようになるため、重宝されているツールです。しかし、それが攻撃者が手段として利用する標的になっていることは言うまでもありません。サイバー攻撃者はWMIを悪用して、コンピュータネットワーク全体に悪意あるコードを密かに、そして瞬時に実行することができます。

WMIはアンインストールできませんが無効化は可能です。しかし、IT管理者としての利便性が大きく損なわれ、業務に制限が起きるため無効化できない組織も多いのです。

関連資料:脅威ハンティングの最前線 2019年版
(WMI、PowerShellを悪用した「ヘルスケア企業を標的とする広範囲な攻撃」について説明)

ファイルレスマルウェアが急増した理由

近年急増しているファイルレスマルウェアですが、技術的には目新しいものではありません。技術自体は以前から確立されており、2000年代初頭に登場したSQL Slammerと呼ばれるワームは、ファイルレスマルウェアに共通した技術を備えています。

ファイルレスマルウェアが急増することになった原因は、サイバー攻撃を容易化する「エクスプロイトキット」が大々的に流通するようになったことです。そして、ファイルレスマルウェアは通常のマルウェア対策ソフトでは検出できないことから、攻撃者たちの間で爆発的に普及するようになります。

ファイルレスマルウェアとは?マルウェアを使用しない手法-その概要と基本的な対策

マルウェア攻撃vsマルウェアフリー攻撃 2018年と2019年の比較。2019年には半数以上がマルウエアを使用しない攻撃であった
出典:CrowdStrike 2020年 サイバー脅威レポートより

ファイルレスマルウェアの基本的な対策

マルウェア対策ソフトで検出できないようなサイバー攻撃に対して、企業はどのような対策を取るべきなのか?

前述の通り通常のマルウェア対策ソフトは、シグネチャとマルウェアを照合して検出を行います。しかしそれが通用しない以上、シグネチャベースの検出ではなく高度なエンドポイントセキュリティを導入して「振る舞いベースの検知」を取り入れる他ありません。つまり、コンピュータの行動をリアルタイムに監視・追跡し、不審な動きがあった際は検知できるシステムです。

高度なエンドポイントセキュリティならば、そうした機能が備われています。ファイルレスマルウェアには、セキュリティ修正パッチやフィッシングメールへの意識対策、従来のアンチウイルス製品だけでは通用しません。「振る舞いベースの検知」技術を持つ次世代エンドポイントセキュリティだけが機能します。

ファイルレスマルウェアに対する防御を強化するのならば、エンドポイントでの検知と対応(EDR)を併せ持つ高度なエンドポイントセキュリティの導入をご検討ください。

CROWDSTRIKE FALCON:エンドポイント保護の新たなスタンダード

RECENT POST「EDR」の最新記事


ファイルレスマルウェアとは?マルウェアを使用しない手法-その概要と基本的な対策
2019モバイルを狙う脅威に関するレポート LANDSCAPE REPORT

RANKING人気資料ランキング

RECENT POST 最新記事

ブログ無料購読

RANKING人気記事ランキング