どのような対策が必要？ ファイルレスマルウェア攻撃とは

ここ数年、多くの企業に対して行われているサイバー攻撃の一手法に「ファイルレスマルウェア攻撃」と呼ばれるものがあります。ファイルレスマルウェア攻撃の特徴と危険性、対策などについて解説します。

1. 普通のマルウェアと何が違う？ ファイルレスマルウェア攻撃とは
2. ファイルレスマルウェア攻撃の脅威
3. ファイルレスマルウェア攻撃で起こり得る被害
4. ファイルレスマルウェア攻撃を防ぐために必要な対策

普通のマルウェアと何が違う？ ファイルレスマルウェア攻撃とは

マルウェアとは悪意のあるソフトウェアやプログラムの総称です。ウイルス、ワーム、トロイの木馬、スパイウェア、キーロガーなどはすべてマルウェアの一種です。これらのマルウェアはいずれも、ユーザーに何らかの方法でソフトウェアをインストールさせることで攻撃を行います。

では、ファイルレスマルウェアとは何でしょうか？ これもまたマルウェアの一種ではありますが、ファイルレスマルウェアは、OSにもともと備わった機能を使って、メモリに常駐することで攻撃を行います。つまり、悪意のあるソフトウェアをインストールさせることなく、ディスク上に実行ファイルを保存することもない状態で、意図した攻撃を仕掛けることができます。そのため、従来のセキュリティ対策ソフト（アンチウイルスソフト）ではファイルレスマルウェアを検知することができません。

このようなファイルレスマルウェアによる攻撃のことを、ファイルレスマルウェア攻撃と呼びます。

ファイルレスマルウェア攻撃の脅威

ファイルレスマルウェア攻撃で利用される「OSにもともと備わった機能」の一例として挙げられるのが、Windows 7以降のWindowsに標準搭載されている「Windows PowerShell（以下、PowerShell）」です。

PowerShellはWindowsのシステム管理用のコマンドラインシェルでありスクリプト言語です。Windowsには以前から「コマンドプロンプト」と呼ばれるシェル機能が搭載されていましたが、PowerShellはそのコマンドプロンプトを改良強化したものだと考えれば分かりやすいでしょう。PowerShellはソフトウェア開発者やシステム管理者がWindows上で高度な操作を行ったり、操作を自動化したりするときに使われます。またリモートでPCのメンテナンスを行う場合などにも使用されることもあります。

このように強力かつ便利なPowerShellですが、ファイルレスマルウェアはこのPowerShellの機能を逆手に取り、PowerShellを呼び出してマルウェアをダウンロードし、実行させてしまいます。このとき実行ファイルが作られるのは通常のマルウェアと同じなのですが、PowerShellを利用するとファイルがディスク上に保存されるのではなく、メモリ上に書き込まれて動作することになります。しかも、メモリ上のデータはPCの電源を切ると消えてしまい、痕跡も残りません。

ファイルレスマルウェア攻撃はこのような仕組みで行われるため、従来のアンチウイルスソフトで検知することは非常に困難です。アンチウイルスソフトは通常、ディスク上に生成されて存在するファイル（とくに「.exe」などの拡張子を持つ実行ファイル）しかチェックしないためです。

しかも、ファイルレスマルウェアはOSに備わっている機能を悪用して実行されます。そのため正規のコマンドやプログラムとの判別がしづらく、それが悪意のあるプログラムだと気づいたときにはすでにさまざまな攻撃が行われ、多大なる被害を受けたあとだったということになってしまいます。

なお、ファイルレスマルウェア攻撃に利用されるのはPowerShellだけではありません。やはりWindowsマシンに標準でインストールされているWindows Management Instrumentation（WMI）というツールなども使用されることがあります。

ファイルレスマルウェア攻撃で起こり得る被害

ファイルレスマルウェア攻撃によって起こり得る被害は、通常のマルウェアとあまり変わりません。不正アクセス、データの改ざん、情報漏えい、遠隔操作などが考えられます。データを破壊する操作を実行するコードを生成する、高度標的型攻撃（APT攻撃:Advanced Persistent Threat）を仕掛ける、ランサムウェアを通してシステムへのアクセスを制限し、制限を解除するための身代金を要求するといった攻撃に利用されることもあります。

ファイルレスマルウェア攻撃を防ぐために必要な対策

ファイルレスマルウェア攻撃を防ぐために、悪用される可能性のあるPowerShellなどを無効化するという考え方もあります。しかし、Microsoft製品の多くがPowerShellを必須としていて、実際にPowerShellを使用禁止とするのは無理があります。

そのためファイルレスマルウェア攻撃に対応しているセキュリティソフト、例えばPowerShellが悪用される際に見られる兆候を検知する機能を備えたソフトや、端末で攻撃を検出して対応を支援するエンドポイント検出・対応ツール（EDR：Endpoint Detection and Response）を用いることも検討すべきでしょう。

さらに、ファイルレスマルウェア攻撃の第一歩はスパムメールに添付されたファイルから始まるのが一般的です。メールの添付ファイルを安易にクリックしないといった初歩的なセキュリティ意識を高めることが、リスク軽減に大きく役立ちます。

従来のセキュリティ対策だけでは検知することが難しく、気がついたときには被害が大きく広がっている危険性があるのが、ファイルレスマルウェア攻撃の特徴です。今後ますますファイルレスマルウェアによる攻撃が増加し、被害が拡大することが予測されるため、早急に確実性の高い対策を講じることが求められています。

※「Windows」「Windows PowerShell」「Microsoft」は、米国 Microsoft Corporation の、米国およびその他の国における商標または登録商標です。