2017年以降のサイバー攻撃の主流となっているファイルレス攻撃。従来、インストールされたマルウェアは端末のディスクに保存されて不正を働くのが一般的でしたが、ファイルレス攻撃はWindows OSが搭載しているPowerShellなどの機能を使ってメモリ上で実行するため、不正行為も正当な動作として認識されて痕跡もほとんど残りません。ディスクのファイルをチェックしてマルウェアを検出していた従来のウィルス対策型のソフトでは不正行為を捕捉することは極めて困難です。
ファイルレスマルウェアの歴史
2016年末、ロシアのサイバーセキュリティ企業、カスペルスキーに金融機関から「本来存在しないはずの侵入テスト用のMeterpreterモジュールをサーバーのメモリ内で発見した」との連絡がありました。Meterpreterは、侵入検知や防御製品の性能を確認するぺネトレーションテストなどで使われるMetasploitのモジュールの一つです。身に覚えのない痕跡がメモリ内にあったことに不審を抱いた金融機関がカスペルスキーに相談し、調査を行った同社は2017年2月、ファイルレス攻撃に関するレポートを発表しました。レポートではレジストリ内の悪意のあるPowerShellスクリプトについて明らかにし、攻撃の痕跡を示すデータはコンピューターを再起動すると得られなくなるとしています。金融機関がメモリ内の痕跡をかろうじて見つけたのは、コンピューターを再起動していなかったからでした。
ファイルレス攻撃はアンチウィルスソフトでは止められない
アメリカのサイバーセキュリティ企業、マカフィーは2018年にファイルレス攻撃について解説するレポートを公表しました。同レポートによると、ファイルレス攻撃は以前から存在していたものの、2017年に急増したことで「新たな脅威」になったということです。また、ファイルレス攻撃が注目されるようになった理由として、急増したことに加え、「攻撃対象のエンドポイントの上位にも被害を拡大させる一連の攻撃で使用されていることが分かってきた」ためとしていて、洗練された攻撃の中に組み込まれて使用されている実態があることを指摘しています。さらに「痕跡も残さないのでアンチウイルス、ホワイトリスト、そしてその他のエンドポイントセキュリティソリューションでは検知できません」としています。
こうしたファイルレス攻撃は、2017年以降感染が明らかになり世界に深刻な影響を与えているランサムウェアのWannaCry、金融機関から現金を窃取するATMitch、日本国内でも多くの感染が確認されているEmotetなどで使われており、サイバー攻撃における「標準仕様」になりつつあります。アンチウイルスソフトは、コンピューターに侵入したマルウェアを見つけ出して駆除する機能をもったソフトですが、ファイルレス攻撃は攻撃がステルス化し痕跡も残らないため十分に対応することができないのです。
ファイルレス攻撃にも対応する新しいセキュリティソフトEDR
そこで新たなセキュリティ対策として注目されているのがEDR(Endpoint Detection and Response)です。仮にコンピューターを一軒の家に例えるなら、アンチウイルスソフトは犯人が忍び込みそうな場所を見張り、手配書に一致する人物が侵入しようとしたら捕まえるイメージです。しかし、犯人が変装していると犯人とはわからず、また見張っていた場所とは別の場所から侵入されると、家の中が犯人によって荒らされ放題となり、気がついた時にはあらゆる物が盗まれていたということにもなりかねません。
一方、EDRは家の中の物がなくなっていないか、施錠した窓があいていないか、どんな人が出入りしているのかなどあらゆることをチェックし、異常が見つかれば対策を施して犯行を阻止していくイメージです。この分野はサイバーセキュリティを担うSOCアナリストによって監視されている領域ともいえますが、膨大なデータの解析には高度のスキルが必要ですし、また、時間もかかることからリアルタイムで問題に対処することは非常に困難でした。
それを自動化し莫大なデータをリアルタイムで処理して問題を検出して対処するテクノロジーが生まれました。アメリカに拠点を置くセキュリティベンダーのセンチネルワンは、2019年2月に次世代EDRとしてActiveEDRを発表、ActiveEDRはクラウドソースに依存することなく企業のセキュリティチームに攻撃の流れや原因を迅速に提供し、高度な攻撃に対して自動修復や防御機能を提供してサポートするテクノロジーです。センチネルワンはActiveEDRについて「セキュリティチームのスキルに関係なく、ネットワークに潜むマルウェアや攻撃者を特定でき、リアルタイムで検出や封じ込め、根絶、および回復することができます」と説明し「ActiveEDRによって防御側が攻撃者の優位に立つかもしれない」と自信を示しています。
参照
https://securelist.com/fileless-attacks-against-enterprise-networks/77403/
https://www.kaspersky.co.jp/about/press-releases/2017_vir14022017
https://www.kaspersky.co.jp/about/press-releases/2017_vir06042017
https://blogs.mcafee.jp/maliciousdocumenttargetspyeongchangolympics
https://www.sentinelone.com/press/sentinelone-unveils-activeedr/