近年、「ファイルレスマルウェア」とよばれるコンピューターウイルスによる被害が増えています。ファイルレスマルウェアはOSの機能を悪用し、攻撃の痕跡を残すことなく、システムの停止や情報の流出などの被害を発生させてしまいます。

ファイルレスマルウェアの認知度はまだ低く、ファイルレスマルウェアが何か、どのように感染するのかといった基本的なことを知らない人も多いのではないでしょうか?

ファイルレスマルウェアとは何か、感染経路、対策方法など、ファイルレスマルウェアの基本知識について紹介します。

ファイルレスマルウェアとは

ファイルレスマルウェアとは「マルウェア等の実ファイルを⽣成しない攻撃」のことを指します。近年、ファイルレスマルウェア攻撃が急速に広がっています。2021年4月にウォッチガード・テクノロジー・ジャパン株式会社が公表した調査報告によると、2020年に発生したファイルレスマルウェア攻撃の割合が2019年の約9倍となっています。

攻撃者は、パソコンに侵入するためのスクリプトをメールに添付し、受信者が添付ファイルを開くとパソコンに侵入します。侵入後は、PowerShellやWMIなどの、Windows OSに標準搭載された信頼性のあるツールを悪用し、パソコンの防御機能を停止させ、ファイルレスマルウェアの感染を拡大します。

ファイルレスマルウェアは検知が難しいといわれています。理由はOSによる操作が行われている影響で、攻撃の痕跡をパソコン内に残さないためです。

マルウェアに関する基本的な情報については「マルウェアとは?種類や感染経路、感染を防ぐための対策について解説」で詳しく解説しています。ぜひご一読ください。

ファイルレスマルウェアの主な事例

ファイルレスマルウェア攻撃が急速に拡大していますが、具体的にどういった経緯で感染が広がるのでしょうか。ここでは具体的にどのような組織に対して、どのように感染が広がったかについて、3つの事例を用いて紹介します。

大手電機メーカーで不正アクセス被害

2020年1月に、日本の大手電機メーカーにて不正アクセスの被害および個人情報や企業機密の流出の可能性が報告されました。その後の調査によると、2019年6月にPowerShellを悪用したファイルレスマルウェアによる攻撃を受けていたことがわかりました。流出した可能性のある情報は主に受注情報、技術資料といった社内向けの資料でしたが、なかには防衛省に注意情報と定められたデータも含まれていることがわかりました。

同社のネットワークに接続されていた約24万5,000台の端末のうち、日本と中国の拠点で感染の疑いがある端末が132台確認されました。

また、それより以前の2019年3月時点で、中国拠点のパソコンが攻撃者に侵入されていることがわかりました。ファイルレスマルウェアの感染は、この中国拠点のパソコンが踏み台にされ、広がったとされています。

冬季オリンピックでの被害

2018年に韓国の平昌で開催された冬季オリンピックの関連組織で、ファイルレスマルウェアの感染が報告されました。

PowerShellが動作するマクロが組み込まれたMicrosoft Wordファイルを添付した電子メールがオリンピックの関連組織に送付されました。担当者がそのファイルを開いたことで感染が広まったとされています。

感染の影響により、オリンピック期間中に報道陣が利用するメディアセンターのWi-Fi、チケット発見システム、開会式の演出で予定されていたドローン演出システムなどもダウンしました。

大手信用情報会社での情報漏えい

2017年に、アメリカの大手信用情報会社で、ファイルレスマルウェアによる機密情報の漏えいが発生し、約1億4,000万人の顧客の個人情報が流出しました。

Webアプリケーション開発用のソフトウェアである「Apache Struts」の脆弱性が悪用され、OSのコマンドが実行されたのが具体的な経緯です。

顧客の個人情報を流出させてしまったことで、約750億円を補償金として顧客に充てました。

ファイルレスマルウェアの感染経路

ファイルレスマルウェアの感染経路は、主に電子メールの添付ファイルです。電子メールに添付されたファイルを開くことにより、OSへのコマンドが記載されたスクリプトが動作して、マルウェアに感染するといった仕組みです。

PowerShellを用いた具体的な感染手順は、以下のとおりです。

  1. メールに添付されたlnkの拡張子を持つファイルをユーザーがクリックする
  2. PowerShellコードが実行され、このコマンドが外部サーバーから不正なプログラムをダウンロードし、実行する
  3. 不正コードはディスク内にファイルを残さず、パソコン内のメモリに書き込みをする。lnkファイルは削除される
  4. 攻撃者に乗っ取られたPowerShellは、外部のC&Cサーバーから不正に操作され、情報搾取や不正操作をされる

マルウェアの感染経路については「マルウェアの感染経路とは?感染後の具体的な対応内容も交えて解説」で詳しく解説しています。ぜひご一読ください。

ファイルレスマルウェアへの対策方法

ファイルレスマルウェアは急速に拡散してはいますが、対策方法は存在します。主な対策を紹介します。

対策1:不審なファイルを安易に開かない

もっとも重要かつ簡単な対策は、メールに添付された不審なファイルを安易にクリックしないことです。多くのファイルレスマルウェア攻撃の第一歩は、スパムメールに添付されたファイルを開くことで感染が広がります。

対策2:パソコン端末の挙動から未知のマルウェアを検知できるセキュリティソフトを導入

ウイルス対策ソフトの導入も効果がありますが、従来のシグネチャーベースのウイルス対策ソフトでは効果が限定的です。シグネチャーベースのウイルス対策ソフトは、パターンファイルや定義ファイルなどの、あらかじめ定められた文字列やデータと一致させることでウイルスを検出する仕組みです。

代わりにパソコンなどの端末の挙動から未知のマルウェアを検知することが可能なエンドポイントセキュリティ製品を使うことが望まれます。

端末の状況を監視し、なんらかの異常や怪しい挙動を検知した場合はシステム管理者に通知する仕組みを導入することが望まれます例えば、PowerShellの接続と同時にWordが起動した場合は異常が疑われるため、そのプロセスを隔離・停止するなど怪しい行動を阻止するような措置を実施します。

エンドポイントセキュリティの製品として、ウェブルートでは「Webroot® Business Endpoint Protection」を提供しています。

対策3:サイバーレジリエンス

攻撃者の手口が巧妙になっているため、完全にウイルスやマルウェアからの感染を防ぐことは困難です。そのため、サイバーレジリエンスと呼ばれる考えも重要です。サイバーレジリエンスとは、攻撃を受けた場合のことを想定して、たとえ攻撃を受けたとしても、すぐに正常な状態に戻すことのできる仕組みや考えのことを指します。

サイバーレジリエンスについては「サイバーレジリエンスとは?その導入ポイントや必要な機能について解説!」で詳しく解説しています。ぜひご一読ください。

ウェブルートでは、サイバー攻撃を受けたあとに早期復旧の実現をサポートするための、データのバックアップ保護を展開する製品として「Carbonite® Endpoint」「Carbonite® Backup For Microsoft 365」を提供しています。

エンドポイントセキュリティの強化が重要

従来のシグネチャーベースのウイルス対策ソフトでは、ファイルレスマルウェアの発見は困難です。そのため、OSの不審な挙動を検知し、感染を食い止めることができるエンドポイントセキュリティ製品を導入しましょう。また、攻撃者をパソコン内に侵入させないためにも、不審なメールの添付ファイルを開かないといった基本的な対策も併せて講じ、ファイルレスマルウェアの感染を防ぐよう徹底していきましょう。