一般的なマルウェア検出ソフトウェアは、シグネチャ検出、つまり特定の種類の感染に固有の識別可能なコードに基づいて機能します。ランサムウェアなどのマルウェアは、必ずしも痕跡を残さない場合もありますが、ヒューリスティックスキャンによってランサムウェア特有の動作を検出・停止することで、ユーザーはデータ保護のための対策を講じることができます。
しかし、明確に識別できるシグネチャを持たない感染や、毎秒数百のファイルを暗号化するなど、通常とは異なる動作をする感染から、どのように保護すればよいのでしょうか?さらに、感染によって呼び出されるコマンドやアプリケーション自体がオペレーティングシステムのネイティブ機能であり、実際の管理タスクを実行するために使用されている場合は、どうすれば良いのでしょうか?
これらはファイルレスマルウェアの特徴です。ファイルレスマルウェアは、ウイルスを含んだファイルに依存せず、システム内部から攻撃を仕掛け、常駐メモリ内で悪意のあるコードを実行するマルウェアです。ファイルレスマルウェアの攻撃手法は、ステルス手法を用いてコマンドを隠蔽することで、アクセスを秘匿するだけでなく、感染ホストとリモートコマンド&コントロール(C&C)サーバー間のネットワークトラフィックを隠蔽し、将来のマルウェア攻撃のためのバックドアを開放します。
この賢明なガイドでは、ファイルレス マルウェアとその動作方法について知っておくべき内容を詳しく説明し、最適な防御策を講じることができるようにします。
参照: TechRepublicの賢い人のためのガイドすべて
エグゼクティブサマリー
- ファイルレスマルウェアとは?ファイルレスマルウェアは、システム自身の信頼できるシステムファイルやサービスを利用してデバイスにアクセスし、検出を回避しようとするマルウェア感染の一種です。他の種類のマルウェアと組み合わせて複数のペイロードを拡散させる場合もあります。
- ファイルレスマルウェアがなぜ重要なのか?マルウェアは成長と進化を続け、脅威はより巧妙化しており、これらの脅威を阻止することはもちろん、検出することさえ困難になっています。
- ファイルレスマルウェアは誰に影響を与えるのでしょうか?ファイルレスマルウェアは企業ネットワーク、特に金融機関を標的としています。しかし、脅威アクターが他の種類のマルウェアと組み合わせて追加のペイロードを配信していることを考えると、個人ユーザーから企業ユーザーまで、あらゆるコンピュータユーザーに影響を与える存在へと拡大していくことが予想されます。
- ファイルレスマルウェアはいつ発生するのでしょうか?ファイルレスマルウェア、つまりRAM内に存在するメモリベースの悪意のあるコードは、かなり前から存在していました。しかし、システム管理に使用されているツールの中には、目に見えないマルウェアも存在するものがあり、ここ数年でその利用が急増しています。
- ファイルレスマルウェアの感染を回避するにはどうすればよいですか?ファイルレスマルウェアの感染は、侵害を確認するためのフォレンジックソフトウェアがなければ、検出が非常に困難です。企業は、感染リスクを最小限に抑える、あるいは少なくとも共有ネットワーク上の他のデバイスへの感染拡大を軽減するための戦略を実行することができます。
参照:ダウンロード:ファイルレスマルウェア感染を最小限に抑える10の方法(TechRepublic)
ファイルレスマルウェアとは何ですか?
ファイルレスマルウェアは、システムに組み込まれたサービス、管理コマンド、アプリケーションを利用してホストに感染します。脅威アクターは、システムの既存のアプリケーションを利用することで、権限昇格を利用してシステム管理用のコマンド(PowerShellなど)を実行し、システムメモリから実行されるスクリプトを作成します。これにより、通常実行中のプロセスであるかのように見せかけ、事実上検出不可能な状態にすることができます。
攻撃者は通常、これらのシステム コマンドを使用して隠し共有を作成し、ネットワーク プロキシ接続の作成など、システムを侵害するために使用されたスクリプトを保存します。これらの接続は、脅威の攻撃者が追加のペイロード配信のために維持しているリモート コマンド アンド コントロール (C&C) サーバーとの通信に使用されます。
追加リソース:
- ファイルレスマルウェア:検出不可能な脅威(TechRepublic)
- ファイルレスマルウェアの歴史(レニー・ゼルツァー)
- 企業ネットワークに対するファイルレス攻撃(カスペルスキーメディア)
- ファイルレスマルウェア攻撃の増加(Comodo Security)
ファイルレス マルウェアがなぜ重要なのか?
正直に言うと、マルウェアはすぐには消え去りません。脅威アクターが技術力を駆使して企業や個人のネットワークを攻撃するケースが蔓延しているため、データの窃取、身代金と引き換えにユーザーデータを暗号化すること、あるいはサービスへのアクセスを妨害することを可能にするような技術革新は、ネットワーク上のデバイスのセキュリティを確保するために、より多くの労力とリソースを必要とすることを意味します。
ファイルレスマルウェアは、感染ベクトルが何であれ、あらゆるものが考えられる一方で、IOC(Indicator of Compromise:侵害の兆候)は感染ごとに異なり、攻撃者の目的にも左右されるため、特に懸念されます。感染は、感染したマシンのメモリやレジストリに永続的に存在したり、追加のペイロードと組み合わされて、将来的にグループのボットネットに組み込まれるなど、より標的を絞った攻撃に利用されたりする可能性のある、高度な揮発性脅威(AVT)として定義されます。
追加リソース:
- Petyaランサムウェア:その発生源と身を守る方法(TechRepublic)
- ウクライナは、主要インフラを標的とする世界的なサイバー攻撃のテストベッドとなっている(TechRepublic)
- 元米国安全保障顧問:サイバー攻撃は物理的なインフラと同じくらい社会にダメージを与える(TechRepublic)
- WannaCry:賢い人のためのガイド(TechRepublic)
- 電子書籍:IoT とモバイルの世界におけるサイバーセキュリティ (TechRepublic)
ファイルレス マルウェアは誰に影響を与えますか?
ファイルレスマルウェアは、コンピュータを使用するすべての人に影響を与えます。これまでに報告された攻撃に基づくと、ファイルレスマルウェアを利用した侵害の主な標的は金融セクターのネットワークです。これは主に、感染が検知不可能な性質を持つため、攻撃の痕跡をほとんど残さずに、ステルス的にデータ窃取を実行できることに起因しています。
追加リソース:
- 金融業界で働いていますか?サイバーセキュリティの習慣を強化する時期です(TechRepublic)
- 目に見えないファイルレスマルウェアが世界中の銀行に感染している(Are Technica)
- レポート:昨年250万人がランサムウェアの被害に遭い、2016年から11%増加(TechRepublic)
- データ漏洩のコストは減少しているが、依然として平均362万ドルだとレポートは述べている(TechRepublic)
- レポート:企業は効果のないセキュリティソリューションに巨額の資金を浪費している(TechRepublic)
- ネットワーク セキュリティ ポリシー (Tech Pro Research)
ファイルレス マルウェアはいつ発生しますか?
悪意のあるコードは数十年前から存在しています。ファイルレスマルウェア自体は比較的新しい脅威ですが、最終的には悪意のあるコードという概念に基づいています。
参照:ビデオ:組織がこれまで以上に倫理的なハッカーを必要とする理由(TechRepublic)
近年、マルウェア攻撃が増加するにつれ、脅威アクターが用いる戦術も変化しています。ファイルレスマルウェアは、ここ数年で使用頻度が増加している戦術の一つです。ファイルレスマルウェアは、他の種類のマルウェアと組み合わせることで、より強力なペイロードを構築できる柔軟性を備えているため、近年のステルス型攻撃では、ファイルレスマルウェアとランサムウェアを組み合わせることで、ホストを侵害するだけでなく、データを暗号化し、将来の攻撃のためのバックドアを残しています。
追加リソース:
- 標的型攻撃の傾向(カスペルスキー・デイリー)
- レポート:ウェブアプリの99.7%に少なくとも1つの脆弱性あり(TechRepublic)
- 10年間の沈黙の後、このコンピュータワームが復活したが、研究者たちはその理由を知らない(ZDNet)
- Androidスマートフォンを狙うランサムウェアの一種が、悪質ソフトウェアの急増を引き起こしている(ZDNet)
- マイクロソフトのWindows警告:ハッカーがメモリ内マルウェアでソフトウェアアップデータを乗っ取る(ZDNet)
- Poweliks トロイの木馬は検出と削除を回避するためにフィラーを使用します (ZDNet)
- 「コードレッド」:何が悪かったのか?(ZDNet)
- マイクロソフトは4億台のPCを使ってスマートなウイルス対策ソフトを開発中(CNET)
ファイルレスマルウェアによる感染を回避するにはどうすればよいですか?
ファイルレスマルウェアは検出が難しく、残念ながら確実な防御策はありません。既知の感染経路と、攻撃を実行するために一般的に侵害されるプログラムの種類の組み合わせに基づいて、注意すべき点がいくつかあります。
参照: コンピューターハッキングフォレンジック調査と侵入テストバンドル (TechRepublic Academy)
管理者とエンドユーザーは協力して、感染の可能性を最小限に抑え、影響を受けるシステムにおけるリスクを軽減することができます。以下のセキュリティプランに従ってください。
- パッチを最新の状態に保ちます。
- 不要なサービスとプログラム機能を無効にします。
- 不要なアプリケーションをアンインストールします。
- エンドポイント セキュリティをインストールします。
- 管理者権限を制限します。
- ネットワークトラフィックを監視します。
- エンドユーザーにセキュリティトレーニングを提供します。
追加リソース:
- 電子書籍: ファイルレス マルウェアの脅威に関する IT リーダー向けガイド (Tech Pro Research)
- 無料のセキュリティソリューションがマルウェアやゼロデイ攻撃をブロック(TechRepublic)
- ファイルレスマルウェアについて理解する(Heimdal Security)
- ファイルレスマルウェアからの保護(マカフィー)
- 従業員にサイバーセキュリティへの関心を高める10のヒント(TechRepublic)
- ポイントアンドクリックマルウェアの時代に企業データを保護するには、まず現実的な視点から始める必要がある(TechRepublic)
- 私たち全員を破滅させる弱点とならないでください:OS にパッチを適用し、最新の状態に保ってください (TechRepublic)
- デジタルフォレンジック:賢い人のためのガイド(TechRepublic)
- セキュリティ意識向上とトレーニングポリシー(Tech Pro Research)
