業界トレンド
ファイルレスマルウェア:概要および仕組み
ファイルレスマルウェアは、コンピュータシステムに組み込まれているツールを利用してサイバー攻撃を実行します。つまり、ファイルレスマルウェアは、インストールされているソフトウェアに存在する脆弱性を利用して、攻撃を手助けします。このタイプのマルウェアを利用すると、攻撃者は、被害者のシステムのハードドライブに悪意のあるコードを忍び込ませる必要はありません。したがって、ファイルレスマルウェアは検知が非常に難しい場合があり、非常に危険です。
このブログでは、ファイルレスマルウェアの基本的な概要、攻撃のステージ、サイバー犯罪者がファイルレスマルウェアを利用する際に使う一般的な手口、このタイプの脅威を検知するためのヒントを説明します。
ファイルレスマルウェアとは
ファイルレスマルウェアとは、ディスク上に存在しない脅威です。マルウェアがディスク上に存在するということは、一般的に、マシンのSSD(ソリッドステートドライブ)またはハードドライブ上にマルウェアがロードされることを意味しており、物理的に存在するため、セキュリティソフトウェアによる検知は非常に容易です。また、脅威が複雑な場合、セキュリティリサーチャーが調査を行うこともできます。
防御側は、マルウェアをリバースエンジニアリングして防御を強化するため、攻撃者は当然ながら、防御側にマルウェアを解析されることを望んでいません。したがって、サイバー犯罪者にとって最適な方法は、解析されず、ディスク上に存在することなく、ファイルレスマルウェアを常駐させることです。そのため、ファイルレスマルウェアが登場しました。
ファイルレスマルウェアが存在するディスク上ではない場所
当然ながら、ファイルレスマルウェアに関する次の質問は、「ディスク上に存在しないなら一体どこにあるのか?」となります。基本的に、メモリ内に存在します。巧妙な攻撃者は、悪意のあるマルウェアをメモリに注入するために、長年にわたりさまざまな手口を利用してきました。
FrodoおよびDark Avengerは、ファイルレスマルウェアの初期の例です。1989年に作成されたFrodoは、当初は「無害ないたずら」でしたが、やがて、悪用されるようになりました。同じ年に、Dark Avengerが発見されました。このタイプの攻撃を受けると、感染したコンピュータ上で実行ファイルを実行するたびに、実行ファイルを感染させます。また、ファイルをコピーしても感染します。
現在、ファイルレスマルウェアは非常に高度になっており、メモリ内に注入されたコードが実行されると、新しいコードがメモリにダウンロードされます。ファイルレスマルウェアは、起動用のファイルは不要ですが、攻撃を試みるネイティブ環境やツールに変更を加える必要があります。これは、ファイルレスマルウェアが行う非常に高度な手口です。
この手法が実行されると、セキュリティソフトウェアは、ファイルレスマルウェアの実行内容を把握することが非常に困難になります。理由は、メモリ内で発生する事象が多く、実行される通常の処理が大量にあり、発生内容を調査し把握することが困難なためです。セキュリティソフトウェアは、悪意のある何かが発生していることを把握することもできません。ファイルレスマルウェアの影響が大きい理由はこのためです。
効果的であるファイルレスマルウェア攻撃の数が増えない理由
最近は以前よりも増えていますが、ファイルレスマルウェアの利用を試みる攻撃者にとってのデメリットの1つは、従来のマルウェアより複雑なことです。ファイルレスマルウェアを作成し実行するには、攻撃者は高いスキルレベルが求められます。したがって、ファイルレスマルウェア攻撃が発見されると、一般的に、国家が支援する脅威か、非常に巧妙なサイバー犯罪者に関連したものです。
ファイルレスマルウェアで、従来のマルウェアと同等の能力や機能を得るには、強力なスキルセットを持つ開発者が必要になります。開発者にとっての課題は、デバイスのメモリ内のスペースが限られており、操作するディスクスペースが大きくないことです。メモリ上のマルウェアは、すでに機能的に制限されている既存のメモリスペース上にのみ存在できます。
ファイルレスマルウェアは、実行が困難なだけでなく、攻撃者はメモリ内にマルウェア用の場所を検索する必要があります。また、システムが再起動されるとフラッシュされるため、迅速に実行する必要があります。効果的に実行するには、ファイルレスマルウェアの攻撃者は、適切な一連の状況が必要です。
ファイルレスマルウェア攻撃のステージについて
ファイルレスマルウェア攻撃の一般的なステージは、従来のマルウェア攻撃と同様です。
- ステージ1:攻撃者は、被害者のシステムのリモートアクセスを取得します。
- ステージ2:攻撃者は、感染した環境で使用される認証情報を取得します。
- ステージ3:攻撃者は、戻るためのバックドアを環境に作成します。初期ステージを繰り返す必要はありません。
- ステージ4:攻撃者は、情報を一箇所にコピーした後、システムですでに使用可能なCompactなどのツールを利用して圧縮して、データ流出の準備をします。
ファイルレスマルウェアの最も一般的な手口
ファイルレスマルウェアを利用するサイバー犯罪者は、システムにアクセスして、ネイティブツールを変更し、攻撃を実行する必要があります。攻撃者がアクセスする際に使用する最も一般的な手口は、現在でも、盗まれた認証情報を利用することです。
認証情報が盗まれたり、ユーザー名がハッキングされたり、クレジットカード情報が盗まれる話を聞いたとき、ファイルレスマルウェアのいくつかのコンポーネントが関与していても、驚くことではありません。
ファイルレスマルウェアがシステムにアクセスできるようになると、従来のマルウェアを起動することができます。以下に記載されている手口は、ファイルレスマルウェアと組み合わせることで、成功率が高まる傾向があります。
- エクスプロイトキット
- ハイジャックされたネイティブツール
- レジストリ常駐型マルウェア
- メモリ専用マルウェア
- ランサムウェア
ファイルレスマルウェアの検知方法
ファイルレスマルウェア攻撃の検知および撃退する最適な方法は、防御態勢を多層化した、包括的なアプローチを取ることです。組織におけるファイルレスマルウェアの脅威を検知するためのベストプラクティスとしては、IOA(Indicators of Attack:攻撃指標)やIOC(Indicators of Compromise:侵害指標)を利用したり、セキュリティソリューションの脅威ハンティング機能を活用することなどが挙げられます。
ファイルレスマルウェアは、システムに組み込まれているツールを利用して攻撃を支援したり、痕跡を隠すため、サイバーセキュリティチームは、このようなファイルレスマルウェア攻撃を実行する際に攻撃者が利用するさまざまな手法に注意を払い、警戒し、把握する必要があります。システムのメモリ内にじっと身を潜めるサイバー犯罪者を可視化することが重要です。
