ファイルレスマルウェア攻撃とは?その概要と事例から考える対策方法|サイバーセキュリティ.com

ファイルレスマルウェア攻撃とは?その概要と事例から考える対策方法



「ファイルレスマルウェア攻撃」と聞くと、ファイルがないのに攻撃される厄介なサイバー攻撃という印象かと思います。従来のマルウェア攻撃とは、ターゲットのパソコンやスマホに不正なプログラムをするものでしたが、ファイルレスマルウェア攻撃ではこういったことは行いません。

ファイルがないという今までと違うサイバー攻撃とイメージして、どのような対策を行えば良いか不安に思うかとも多いかと思いますが、このページ整理した概要と対策方法を把握しておけば大丈夫です。ぜひ下記を読み進めて対策の参考にしてください。

ファイルレスマルウェアによる攻撃とは

はじめに、ファイルレスマルウェア攻撃とはどのようなものかを見ていきましょう。先程、従来のマルウェアとは異なり、端末にプログラム等を入れることはないと說明しました。では、ファイルレスマルウェアはどのように攻撃するのでしょうか。

「OSにもともと備わった機能を使って攻撃する」

これが、ファイルレスマルウェア攻撃です。例えばLinuxのシェルやWindowsでのPowerShellとWindows Management Instrumentation(WMI)などのツールが悪用されます。これらは、OSに標準で備わったもので、プログラムなども簡単に実行できるようになっています。

PowerShellとは?
Windows PowerShell はマイクロソフトが開発した拡張可能なコマンドラインインターフェース (CLI) シェルおよびスクリプト言語である。オブジェクト指向に基づいて設計されており、.NET Frameworkを基盤としている。
かつてはMicrosoft Shell(MSH、コードネーム Monad)と呼ばれていた。
Windows 7以降のオペレーティングシステム (OS) には標準で搭載されている。

Windows Management Instrumentationとは
Windows Management Instrumentation (WMI) は、Windows Driver Modelへの拡張の一種で、システムの構成要素について情報収集と通知を行うオペレーティングシステム (OS) のインタフェースを提供する。WMI はDistributed Management Task Force (DMTF)の定めた Web-Based Enterprise Management (WBEM) と Common Information Model (CIM) 標準のマイクロソフトによる実装である。

ファイルレスマルウェア攻撃を受けるとどうなる?

もし、端末がファイルレスマルウェア攻撃を受けるとどのようになるのでしょうか。ファイルレスマルウェア攻撃によって、もたらされる可能性のある被害は、以下のようにそれほど従来のマルウェア攻撃と違いはありません。

  • 不正な情報の取得や改ざん
  • 遠隔操作
  • 不正アクセス

など

しかし、ファイルレスマルウェア攻撃の最大の問題は、「攻撃が検知しづらい」ということです。これについては後ほど取り上げます。

ファイルレスマルウェアによる被害事例

実際にファイルレスマルウェア攻撃によって被害が出た事例にはどういったものがあるのでしょうか。ここでは、実際の事例をいくつか紹介します。

ケース1:Gold Dragonの事例

このマルウェアは平昌オリンピックの際に、関連組織を攻撃するために使われたものです。これはファイルレスマルウェアとしては典型的なPowerShellを悪用する仕組みを使っています。

ケース2:米大手信用情報会社Equifaxの事例

これは米大手信用情報会社Equifaxで起きた事例です。この事例ではApache Strutsの脆弱性が悪用されてOSのコマンドを実行された結果、情報漏えいが発生しています。

ファイルレスマルウェアを防ぐための対策とは?

従来のマルウェアとは異なり、OSにもともと組み込まれたツールを悪用するファイルレスマルチウェアですが、これによる被害を防ぐためにはどのようにすれば良いのでしょうか。

先程少し触れましたがファイルレスマルチウェアには、従来のマルウェアと比べて検知するのが難しいという特徴があります。これは、従来型のマルウェアと異なり、端末にプログラムが導入されるわけではなく、OSのツールを使うためです。例えば多いのがWindowsのPowerShellを使うものですが、PowerShellは正常なプログラムも多用するものなので、区別が非常に難しくなります。

こういったことを踏まえると、「可能であれば、PowerShellなど悪用される可能性のあるツールは無効にする」といった対策が有効であることが言えます。

しかし、Microsoft製品の多くがPowerShellを必須としているなど現実には難しい面もあります。PowerShellなどが無効にできないケースも多いことでしょう。したがって、実際には対策としては以下のようなものとなります。

  • PowerShell, WMIなどのツールを無効にする(可能であれば)
  • セキュリティ対策ソフトを導入する
  • 不審なメールやメールの添付ファイルは開かない
  • 不審なウェブサイトは閲覧しない

など

このように、OSに含まれているツールを無効化するのが最も有効ですが、それ以外にも通常のマルウェアと同じようにセキュリティ対策ソフトウェアの導入や、不審なメールは開かないといったよく知られた対策も有効です。

まとめ

従来のマルウェアと異なり、ファイルレスマルウェアは、対象の端末に不正なプログラムを導入せず元々持っているツールを悪用するという点で非常に検知しづらい攻撃です。

対策としては、PowerShellやWMIといったOSに含まれる悪用される可能性のある仕組みを無効にする方法が最も良いですが、実際には無効にすることが出来ないケースも多いです。その場合は、紹介したようなウィルス対策ソフトの導入や不審なメールを開かないといった従来からのセキュリティ対策がメインとなります。ちなみにツールを無効にすることが可能な場合も、これらの対策は行う必要があります。

今回說明したように、従来からのマルウェアと同じように感染すると情報漏えいなどの被害につながる恐れのあるファイルレスマルウェア。しっかりとした対策と予防を心がけましょう。


SNSでもご購読できます。