プロセス・ゴースティング|サイバーセキュリティ.com

  1. ホーム /
  2. セキュリティ用語集 /
  3. プロセス・ゴースティング
             

プロセス・ゴースティング

プロセス・ゴースティング(Process Ghosting)は、Windows環境におけるマルウェアの検知回避技術の一つで、ファイルベースのセキュリティソフトやセキュリティ監視システムから隠れることを目的とした攻撃手法です。攻撃者はこの技術を利用して、悪意のあるプロセスを一時的に「見えない」状態にし、検知を回避しながら悪質な活動を行います。プロセス・ゴースティングは、比較的新しい技術として知られ、特にエンドポイントセキュリティ対策をすり抜けるために使用されます。

プロセス・ゴースティングの手法では、Windowsのファイルシステムの挙動を悪用し、ファイルが読み込まれる前に削除や改変を行うことで、実際に実行されているプロセスが検知対象にならないようにします。

プロセス・ゴースティングの仕組み

プロセス・ゴースティングは、主にWindowsのファイルハンドリングとプロセスの生成タイミングを巧妙に利用した技術です。以下に、基本的なプロセス・ゴースティングの流れを示します。

  1. 悪意のあるファイルの作成 攻撃者は、マルウェアなどの悪意のある実行ファイルをシステム内に作成します。このファイルが、後に実行される悪意のあるコードを含んでいます。
  2. ファイルを「削除待ち」に設定 作成された実行ファイルは、まだ実行される前に「削除待ち」状態(削除予約)に設定されます。これは、ファイルが既に存在しないかのように見せるための操作で、セキュリティソフトが検出する前にファイルの存在を消すことが目的です。
  3. ファイルの実行 実行ファイルが「削除待ち」の状態にある間に、Windowsのプロセス生成機能を悪用してプロセスが開始されます。このタイミングで実行されるプロセスは、すでに削除待ちのファイルに基づいて生成されているため、ファイルのスキャン対象から外れる場合があります。
  4. 削除完了後もプロセスは動作 Windowsによってファイルが完全に削除された後も、生成されたプロセスはメモリ内で稼働を続け、悪意のあるコードが実行されます。この段階でファイルそのものは存在しないため、セキュリティソフトやエンドポイント監視システムの多くはそのプロセスを検知しにくくなります。

このように、プロセス・ゴースティングではファイルの存在を巧妙に隠しつつ、悪意あるプロセスの実行を可能にすることで、マルウェア検知システムを欺くことができます。

プロセス・ゴースティングの目的とリスク

主な目的

  • 検知回避:プロセス・ゴースティングは、セキュリティソフトやファイル監視システムによる検知を回避するために用いられます。ファイルが一見存在しないように見せかけながら、メモリ上でのみ悪意のあるコードを実行することで、検出のリスクを軽減します。
  • 持続的な感染:マルウェアの一時的な存在や、再起動時に持続的に感染するよう仕組むためにも利用され、削除後もプロセスの活動を継続させることで、持続的な感染が可能になります。

主なリスク

  • 情報漏洩:プロセス・ゴースティングを利用したマルウェアが稼働すると、重要なデータや個人情報が外部に流出するリスクが高まります。
  • システム権限の乗っ取り:正規のプロセスに偽装することにより、システムの権限を不正に取得される可能性があります。これにより、さらなるマルウェアのインジェクションや、システム全体の乗っ取りにつながることがあります。
  • 持続的な攻撃:検知されずに長期間システム内で動作し続けるため、バックドアの設置や追加のマルウェアダウンロード、遠隔操作といった持続的な攻撃を行う拠点として機能します。

プロセス・ゴースティングへの対策

プロセス・ゴースティングは従来のファイルベースの検出技術をすり抜けるため、特にエンドポイントセキュリティ対策の強化が求められます。以下の対策が有効です。

1. エンドポイント検知と対応(EDR)ツールの導入

EDRは、メモリ上のプロセス挙動を監視し、不審なプロセス生成や異常動作をリアルタイムで検知するためのツールです。プロセス・ゴースティングによる不正なプロセス活動も検出しやすくなります。

2. アンチウイルスのリアルタイムスキャン機能を強化

アンチウイルスソフトの設定を強化し、リアルタイムスキャンをオンにすることで、プロセスの異常な生成やファイルアクセスを監視し、検知可能性を向上させます。

3. ファイルおよびメモリ監視ツールの活用

メモリ内でのプロセス挙動を監視するツールを導入することで、削除されたはずのファイルに基づくプロセスを検出し、プロセス・ゴースティングによる攻撃を早期に発見できます。

4. 権限管理の厳格化

不正プロセスが生成されるのを防ぐため、管理者権限を持つユーザーを限定し、必要最小限の権限でシステムを運用することで、マルウェアが実行可能なプロセスを制限します。

5. 定期的な脆弱性パッチの適用

Windowsの脆弱性を悪用する手法が多いため、定期的にセキュリティパッチを適用し、最新のセキュリティアップデートを適用することで、プロセス・ゴースティングの成功を防ぎます。

まとめ

プロセス・ゴースティングは、ファイルを一時的に「存在しない」状態に見せかけながら悪意のあるプロセスを実行する高度なマルウェアの検知回避手法です。従来のファイルベースのセキュリティ対策を回避するため、EDRツールやリアルタイム監視ツールの導入、定期的な脆弱性パッチ適用などの対策が重要です。セキュリティ対策を強化することで、プロセス・ゴースティングによるリスクを最小限に抑えることができます。

関連コラム(あわせて、以下の記事もよく読まれています)

製品・サービス(当該コラムの内容に関連する製品・サービスはこちら)


SNSでもご購読できます。