従来のセキュリティ対策が効かない「ファイルレスマルウェア」による脅威

各国セキュリティベンダーより、従来のセキュリティ製品での検出や駆除が困難な新たなサイバー攻撃の手口である「ファイルレスマルウェア」による被害事例が増加しているとのこと。

概要

「ファイルレスマルウェア」とは、Windows Management InstrumentationやPowerShellといったBIOSやUSB外部機器内部でコンピュータにダメージを与えるコードの潜伏および実行するというもので、既存のセキュリティ製品ではほとんど効果をなさないとのことです。

セキュリティベンダー「Malwarebyte」は、ソフトウェアの脆弱性を悪用するツールである“エクスプロイトキット(EK)”の動向を調査したところ、ファイルレスマルウェアの手法を用いたツールが増加傾向にあることが判明したという。
Malwarebyteが監視していた9種類のEKの内、ファイルレスマルウェアを取り入れているツールは少なくとも3種類確認されており、ランサムウェアや仮想通貨の不正なマイニングを行うマルウェア、PowerShellへの悪用などを目的とする攻撃に利用されているとのことです。

ファイルレスマルウェア の機能

また、Microsoftも、ファイルレスマルウェアについての調査を行ったところ、以下の特徴が観測されたとして情報公開しております。

・正規のシステムプロセスを乗っ取り、マルウェアの挙動を隠蔽し複雑な攻撃を展開する
・攻撃時のコードをファイルシステムに保存せず、メモリ内で直接実行することため、痕跡がほとんど残らない
・マルウェアの稼働状況をモニタリングし、プロセスが停止された際は直ちに再感染させる
・継続的にアップグレードがなされており、新しいプロセスを標的にする機能や、セキュリティを回避する機能が追加されていく

Microsoftは、「(ファイルレスマルウェアによる攻撃の)常駐の仕組みや多型性、ファイルレス技術の使用を前提とすると、包括的な対策のためには挙動ベースの検出が欠かせない。日常的な脅威でさえ、対策をかわしながら密かに利益を上げることを目的に、どれほど複雑化し進化しているかを物語る実例」としてコメントしております。
 

【参考URL】
進化を続けるマルウェア、ファイルレス攻撃とは何か

最新情報をチェックしよう!