機密情報の窃取や改ざんなど、不正アクセスの恐れがある「ファイルレスマルウェア」の被害が急増しています。2021年4月、セキュリティサービスを手掛けている米国のウォッチガード・テクノロジーズ社より、2020年はファイルレスマルウェアの割合が2019年と比較して900%増加した、というレポートが発表されました(※1)。
このファイルレスマルウェアによる攻撃の被害は、海外だけの話ではありません。
2020年、日本国内でも大手総合電気メーカーが「ファイルレスマルウェア」による攻撃の被害を受け、同社から個人情報をはじめ、技術情報、営業関連情報が流出したことが、各種メディアで大きく報じられました。
今回は、被害が急増しているファイルレスマルウェアの脅威と、その対策について解説します。
■ファイルレスマルウェアの脅威とは?
そもそも、従来のマルウェアは、マルウェアそのものが「.exe」などの拡張子を持った実行ファイルとしてディスク上に保存、インストールされ攻撃を実行します。
従来のマルウェア対策製品は、その保存されたファイルに対して、「定義データベース(既知のマルウェアの特徴などをまとめたブラックリスト)」と照合することで、マルウェアの特徴を持ったファイルであれば、そのファイルをマルウェアとして検知・駆除することができました。
しかし、ファイルレスマルウェアは実行ファイルを使用せずにOSに標準搭載されている機能を悪用することで機密情報の窃取や改ざんなどの攻撃を実行します。
ファイルレスマルウェアの感染パターンの具体例としましては、Wordファイルを添付したスパムメールで攻撃対象のマシンに侵入します。
ユーザが添付ファイルを開いてしまうと、Wordファイルの悪意のあるマクロが実行されます。
このマクロの命令により、PowerShellが起動、実行され、C&Cサーバ(攻撃者の指令サーバ)との通信を行います。C&Cサーバとの通信により不正プログラムがダウンロード、実行され、機密情報の窃取などの攻撃が行われます。
このように、ファイルレスマルウェアは、Wordファイルという一見無害なファイルとして攻撃対象のマシンに侵入、さらに、PowerShellというWindowsの正規のツールを悪用しているため、マルウェア対策製品では、検知されにくい仕組みとなっているのです。
■ファイルレスマルウェア攻撃の対策
上記の具体例の通り、ファイルレスマルウェア攻撃の侵入手法は、スパムメールに添付されたファイルがきっかけとなるケースが非常に多いです。
ファイルレスマルウェアの被害にあわないために、今すぐできる対策としましては、『怪しいメールの添付ファイルを開かない』という初歩的なセキュリティ意識の徹底がリスク軽減につながるものとなります。
また、業務上の問題がないのであれば、ユーザにはPowerShellや、Officeファイルのマクロなど悪用の恐れのあるツールを無効化する、というのも一つの手段となります。
もし、PowerShellやOfficeファイルのマクロを、業務上使用する必要があるのであれば、既知のマルウェア検知機能に加えて、メモリ保護機能、スクリプト制御機能を持ったマルウェア対策製品やマルウェアの挙動を検知して対応できるEDR製品(Endpoint Detection and Response)の導入も有効です。
■まとめ
従来のセキュリティ対策だけではファイルレスマルウェアを検知することが難しく、長期間攻撃対象のネットワーク上に潜伏し続け、気がついたときには被害が大きく広がっている・・・というのが、攻撃の特徴です。
新型コロナウイルスの社会的影響下で、事業継続のための環境整備で予算がかさみ、コロナ前と比較してセキュリティレベルが低下してしまっているケースも少なくありません。
今後ますますファイルレスマルウェアによる攻撃が増加することが予測されます。本記事でファイルレスマルウェアの脅威を再認識いただき、自社に必要な対策を改めて検討いただければ幸いです。
※1:2021年4月28日公開 「ウォッチガードレポート:ファイルレスマルウェア攻撃が900%増、クリプトマイナーが復活、ランサムウェア攻撃が減少(ウォッチガード・テクノロジー・ジャパン株式会社)」より