マルウェアは、電子メールや Web からダウンロードされた悪意のある実行可能ファイルであると考える人も多いですが、ファイルレス・マルウェアはデータ保護に新たなひねりを加えます。ユーザーがシステムをブートするたびにロードするファイルを使用する代わりに、Windows レジストリからロードされ、メモリに直接ブートするか、ドキュメントに格納された悪意のあるコードを使用してマルウェアをロードします。ファイルレス・マルウェアは、ウイルス対策ソフトウェアをバイパスするために構築されているため、それを阻止するには追加のセキュリティ層が必要になります。
ファイルレス・マルウェアとは?
ファイルレス・マルウェアは、コンピュータのメモリ内で完全に動作する悪意のあるソフトウェアの一種で、ハードドライブ上にファイルを作成しません。従来のマルウェアでは、マルウェア作成者は実行可能ファイルをコンパイルし、それをターゲットに配信する方法を見つける必要があります。例えば、マルウェア作成者は、実行ファイルをダウンロードするスクリプトを開くようデータセンターの従業員に説得するために、電子メールメッセージを作成することができます。実行ファイルは、悪意のあるコードをメモリにロードします。ユーザーが再起動するたびに、実行ファイルはメモリに再ロードされます。
ファイルレス・マルウェアは、ファイルベースのマルウェアよりもはるかに軽量です。ファイルレス・マルウェアでは、コードが Windows レジストリにロードされるか、悪意のあるコードがメモリにロードされ、実行ファイルは必要ありません。例えば、PowerShell スクリプトをサーバー・メモリにロードし、インターネット上の攻撃者が制御するサーバーにデータを送信する場合などです。
ファイルレス・マルウェアの仕組み
ほとんどの攻撃は、悪意のあるフィッシング・メールから始まりますが、攻撃者は、Web サーバーでホストされているドライブバイ・ダウンロードを操作することもできます。攻撃を開始するもう 1 つの一般的な方法は、ソーシャル・エンジニアリングです。攻撃者がテキスト・メッセージでターゲットに連絡し、悪意のあるスクリプトで Web ページを開くように説得する可能性があります。悪質なリダイレクトからのフィッシングや、悪質な Wi-Fi ホットスポットへの中間者攻撃は、マルウェア攻撃では稀ですが、可能です。
ファイルレス・マルウェアは通常、Windows マシンをターゲットにしており、PowerShell は、これらの攻撃で使用される一般的なスクリプト言語です。ユーザーはまず、通常は電子メールメッセージに添付されている PowerShell スクリプトを実行するよう説得され、PowerShell スクリプトが命令を実行します。ランサムウェアのインストール、ユーザーのコンピュータからのデータの盗用、パスワードのサイレント・リスニング、ローカルマシンのリモート制御のためのルートキットのインストールなどが指示されます。PowerShell は、ユーザーのコンピュータにインストールされている現在のアプリケーションを実行することができるため、ファイルレス・マルウェアは、悪意のあるコードを含むドキュメントの作成や、既存のドキュメントへの悪意のあるコードのインジェクションを試みる可能性があります。ユーザーがドキュメントを他のユーザーと共有すると、悪意のあるコードが実行され、ペイロードが配信されます。
一般的な攻撃ベクトル
ほとんどのペイロードで最も一般的な攻撃ベクトルはフィッシングであり、ファイルレス攻撃でもよく見られます。電子メールを使用してペイロードを配信するには、攻撃者は、悪意のある添付ファイルを開くようにユーザーを説得するか、マルウェアをホストする Web サイトに誘導する必要があります。エンタープライズ・ビジネスでは、常に電子メール・セキュリティを設定して、これらのメッセージが従業員の受信トレイに届かないようにする必要があります。
Microsoft Office ドキュメントは、マクロとコードを保存して、ドキュメントが開いたときにアクティビティをトリガーできます。操作は無害ですが、Office ドキュメント(Word、Excel、PowerPoint など)に保存されている悪意のあるコードは、多くのペイロードを実行する可能性があります。ペイロードには、データの窃取、ルートキットのインストール、ローカルマシンやネットワーク環境へのランサムウェアの配信が含まれます。
ソーシャル・エンジニアリングは、攻撃の要素となる可能性があります。例えば、より高度なフィッシング攻撃では、通常、会計士や人事スタッフなどの高特権の社員を騙そうとする攻撃者が数人います。これらのターゲットは機密データにアクセスできるため、脅威の作成者はより多くの成果を得ることができます。サイバー脅威の作成者はソーシャル・エンジニアと連携し、フィッシング・メールを仕掛けるよう説得するために標的に電話をかけることがあります。
ファイルレス・マルウェアの影響
ファイルレス攻撃は、通常、データや長期的なバックドアの喪失をもたらし、駆除後もマルウェアが持続する可能性があります。組織化されたサイバー犯罪者の多くは、協力してデータを盗みます。ランサムウェアは一般的なペイロードであり、実行可能なデータ・バックアップがない場合、何百万ものデータを取り戻すために組織に支払いを強いることができます。
多くの場合、持続的脅威は検知前に数か月にわたって実行されます。これらの脅威は、データを密かに流出させるために使用されます。持続的脅威は実行されている間は、通常はバックドアを作成し、セキュリティ・スタッフがそれらを完全に削除したり、封じ込めたりすることはできません。検出と駆除の後、ネットワーク管理者は誤った安心感を抱くかもしれませんが、持続的脅威のバックドアによって攻撃者は再び環境に侵入できるようになります。
ほとんどのデータ侵害は、訴訟やコンプライアンス違反による収益損失につながります。ブランドの損害は抑制する必要があり、顧客の信頼を失うことで売上も低下する可能性があります。ファイルレス・マルウェアは、検知を回避するために構築されているため、事業継続性と将来の収益にとって特に危険です。
検知と防止戦略
ファイルレス・マルウェア攻撃を回避するためには、早期発見が不可欠です。早期検出により、データ侵害後のクリーンアップに必要なディザスタ・リカバリ要件の多くを回避できます。ネットワーク・インフラやエンドポイントにインストールされている監視ツール(ユーザーのモバイル・デバイスなど)は、メモリにロードされる前にファイルレス・マルウェアを検知できます。ネットワーク監視ソリューションは、悪意のあるコードが機密性の高いファイルやデータにアクセスしようとすると、異常な動作を検出します。
侵入防止には、脅威が自動的に含まれます。監視はマルウェアを検出し、管理者に警告しますが、侵入防止はサイバーセキュリティをさらに進化させ、データ窃取を自動的に阻止します。ネットワーク管理者は依然として対策を講じる必要がありますが、侵入防止と封じ込めによって被害は軽減されます。
今日の監視と防止では、分析と行動パターンを使用して悪意のある活動を検出します。例えば、機密データを含むファイルには、年間を通じてほんの一握りのアクセス要求しか受け取れない場合があります。マルウェアが短時間で数回ファイルにアクセスしようとすると、検知ソリューションはこれを疑わしい活動とアラート管理者と見なします。ゼロデイ脅威は、異常なベンチマークや発見によっても検出できます。
まとめ
ファイルレス・マルウェアは、管理者が対処しなければならない多くのサイバーセキュリティ・リスクの 1 つにすぎません。適切な監視ツール、侵入検知、防止ソリューションにより、リスクを最小限に抑え、軽減できます。全てのユーザー・デバイス、特にサードパーティの Wi-Fi ホットスポットに接続するデバイスにエンドポイント検出/応答(EDR)保護をインストールします。データを保護し、データ保護を優先するソリューションを提供する信頼できる技術パートナーと提携しましょう。
