見出し画像

ファイルレスマルウェアの巧妙な攻撃手口~有効な対策方法について考える~ 前編

Cyber NEXT

みなさんが業務で使われているPCには、ウイルス対策ソフトが入っていると思います。ウイルス対策ソフトは、受信したメールやアクセスしたサイトに蔓延するマルウェアをいち早く特定し、エンドポイントのマルウェア感染を防ぐことができます。PCを買ったら最初に導入すべき、お守りのようなソフトウェアでしょう。
しかし、近年は「ウイルス対策ソフトを入れていたのにマルウェア感染してしまった…」というケースが増加しています。ウイルス対策ソフトによる検知が難しい厄介なマルウェア、その正体は“ファイルレスマルウェア”と呼ばれています。ファイルレスマルウェアは、エンドポイントのOS、アプリケーションなどの脆弱性を利用し、ファイルを使用せずに悪意のあるコードやプログラムを実行するマルウェアです。現在もその勢いは衰えることなく、年々増加傾向にあります。
今回より、シーイーシーセキュリティオペレーションセンター(CEC SOC)のセキュリティアナリストが、近年猛威を振るうファイルレスマルウェアの脅威や対策、代表的なマルウェアについて前編・後編に分けて解説します。
前編では、「従来型マルウェアとファイルレスマルウェアの違い」「ファイルレスマルウェアの脅威」について解説します。

従来型マルウェアとファイルレスマルウェアの違い

先述のとおり、ファイルレスマルウェアは「エンドポイントのウイルス対策ソフト(Endpoint Protection Platform 以下、“EPP”)による検知が難しい」という特徴があります。

では、EPPによる検知が容易であった従来のマルウェアとファイルレスマルウェアの攻撃手法には、どのような違いがあるか見てみましょう。なお、従来型マルウェアはさまざまな種類が存在しますが、代表的なものとして4つを挙げています。

従来型マルウェアとファイルレスマルウェア 攻撃手法の違い

上記のとおり、従来型マルウェアはいずれも脅威となりますが、攻撃を仕掛けるために悪意のあるファイルやプログラムを対象エンドポイントのディスク内に保存する、という共通点があります。つまり攻撃されたエンドポイント内に痕跡が残るのです。したがって、EPPによる検知が比較的容易となります。

一方、ファイルレスマルウェアはファイルを使用せずにメモリ内で実行されます。メモリは処理を終えると内容が消去されるため、不審な動作が行われた痕跡が残りません。したがって、EPPによる検知が困難となります。

ファイルレスマルウェアの感染経路と被害の特徴について、もう少し詳しく見てみましょう。

感染経路
◆メールの添付ファイル
ファイルレスマルウェアの感染経路として最も一般的です。
悪意のあるコードを埋め込まれたファイルが添付されたメールを開くことで、エンドポイントのメモリ内でコードが実行され感染します。メールは正規のものに偽装されていることが多いです。

◆不正なWebサイト
悪意のあるスクリプトを埋め込まれたWebサイトへアクセスすることで、自動的にスクリプトが実行され感染します。WebサイトのリンクはメールやSMSに添付されていることが多いです。

◆不正な広告
悪意のあるスクリプトを埋め込まれたWeb広告へアクセスすることで、自動的にスクリプトが実行され感染します。

被害の特徴
◆機密情報の漏えい
攻撃者が用意したサーバーから情報窃取などの不正な動作をするモジュールがダウンロードされ、エンドポイント内部の情報が漏えいする可能性があります。

◆他マルウェアへの感染
PowerShellによって攻撃者が用意したサーバーに自動的に接続されます。その結果、ランサムウェアなど別のマルウェアがエンドポイントへ送り込まれ、感染する可能性があります。

◆エンドポイントの遠隔操作
攻撃者による遠隔操作により、エンドポイントのアカウント権限を奪われシステムを乗っ取られるほか、大規模なサイバー攻撃の踏み台に利用されたり、情報を継続的に窃取されたりする可能性があります。

感染の引き金となるメールの大半は正規メールを模倣しています。一昔前の不審なメール(迷惑メール)は一目で不審であると見分けられるケースが多い印象でした。しかし、昨今のそれは巧妙に作り込まれており、不審なメールであることに気づくことが困難となっています。

ファイルレスマルウェアへ感染すると、従来型マルウェアと同様に機密情報が漏えいする恐れがあるほか、他のマルウェアに感染するリスクも浮上します。
さらに、感染したエンドポイントは攻撃者によって遠隔操作が可能となります。その結果、エンドポイントを乗っ取られる、感染拡大のために他のエンドポイントへの攻撃に利用されるなど、二次的な被害も深刻化する可能性があります。

ファイルレスマルウェア攻撃 感染拡大の流れ

まとめ

近年ファイルレスマルウェアが猛威を振るっておりますが、その背景には感染しても“不審な動作が行われた痕跡が残らない”ことで、EPPによる検知が難しいことが挙げられます。
それでは、そんな厄介なファイルレスマルウェアはどのような対策が有効でしょうか。
後編では、ファイルレスマルウェアの代表格“Emotet(エモテット)”や、ファイルレスマルウェアの対策についてご紹介しますので、ぜひご覧ください。