OSに標準搭載されているツールや機能を悪用し、巧妙に情報を盗み出すサイバー攻撃がファイルレスマルウェアです。従来のマルウェアのように不正なファイルを侵入させるのではなく、システム内部の正規ツールを乗っ取るため、セキュリティソフトの検知をすり抜けやすい点が特徴です。

2020年には、このステルス性の高い攻撃手法が前年比で888%も増加したという驚きの報告もあります。ファイルレスマルウェアは、データ改ざんや個人情報・企業秘密の漏洩など、甚大な被害をもたらす可能性があり、その脅威は従来のマルウェアと何ら変わりません。

システム内部に潜み、正規ツールを装って攻撃を仕掛けるファイルレスマルウェアは、まさに「見えない敵」と言えるでしょう。

従来のマルウェアは、ウイルスやワーム、キーロガーなど、悪意あるソフトウェアの総称です。これらは、ユーザーを騙してソフトウェアをインストールさせ、ディスク上に実行ファイルを保存して悪事を働きます。いわば「足跡」を残しながら侵入し、居座るタイプの侵入者と言えます。

一方、ファイルレスマルウェアは、OSに標準搭載されている正規の機能を悪用し、メモリ上で活動するため、ディスク上に痕跡を残しません。例えるなら「忍者」のように、気づかれることなく侵入し、証拠を残さずに消え去る、神出鬼没の侵入者です。

メモリ上にのみ存在するため、処理が終了すると痕跡が消え、従来のセキュリティソフトでは検知が困難です。このステルス性と高い潜伏能力が、ファイルレスマルウェアを新たな脅威として浮上させています。まさに、サイバーセキュリティにおける"新世代の敵"と言えるでしょう。

ファイルレスマルウェアは、Windowsに標準搭載されているPowerShellやWMIといったツールを悪用します。これらのツールは、システム管理に不可欠なため、簡単に使用を禁止できません。

PowerShellは、Windowsの心臓部ともいえるAPIに深くアクセスできる強力なスクリプト言語です。この機能を悪用すれば、リモートからコマンドを実行し、他のマシンを乗っ取ったり、悪意あるスクリプトを起動したりできます。

PowerShellはセキュリティソフトに検知されにくく、信頼性も高いため、攻撃者にとって格好の標的です。

WMIは、システム管理者がマシンの状態を監視したり、ソフトウェアをインストールしたりするためのツールです。しかし、このツールはマシン上のあらゆるリソースにアクセスできるため、悪意あるハッカーに乗っ取られると、システムを自由に操作されてしまう危険性があります。

WMIは、特定のイベントをトリガーにプログラムを自動実行できるため、一度侵入されると、システムに居座り続けることも可能です。

このように、ファイルレスマルウェアは、正規のツールが持つ強力な機能を悪用して、従来のセキュリティ対策をすり抜けて攻撃を仕掛けてきます。この新たな脅威に対抗するためには、従来とは異なる、より高度なセキュリティ対策が求められています。

ファイルレスマルウェアはさまざまな経路から侵入してくるため、非常に脅威です。では一体、どのような経路から感染してしまうのでしょうか。感染経路として、代表的な経路を3つ挙げて解説します。

ファイルレスマルウェアの感染経路の一つとして、巧妙に仕掛けられた罠とも言える「不正なWebサイト」が挙げられます。

攻撃者は、Webサイトに悪意あるスクリプトを巧妙に埋め込み、罠を仕掛けて待ち構えています。ユーザーがメールやSMSで送られてきたリンクを不用意にクリックし、そのサイトにアクセスすると、潜んでいたスクリプトが自動的に実行され、感染してしまうのです。

ファイルレスマルウェアは、Web広告という日常に溶け込んだ存在にも巧妙に潜んでいます。

攻撃者は、Web広告のスペースを不正に操作し、悪意あるスクリプトを仕込んだ罠を仕掛けます。ユーザーが何気なくこれらの広告をクリックすると、潜んでいたスクリプトが牙をむき、端末を感染させてしまうのです。

ファイルレスマルウェアの感染経路として、最もポピュラーなのが「メールの添付ファイル」です。

一見すると普通のメールに添付されたファイルです。しかし、その中には悪意あるコードが巧妙に隠されています。受信者が添付ファイルを開いた瞬間、メモリ上で静かに悪意ある活動が始まり、デバイスは感染へと突き進んでいくのです。

まるで、毒入りのプレゼントを開封するかのごとく、ファイルレスマルウェアはメールという日常的なコミュニケーションツールに潜み、ユーザーの油断を突いて攻撃を仕掛けてきます。

ファイルレスマルウェアで起こる主な被害には、データの改ざんや不正なアクセス、情報漏えいおよび遠隔操作などがあります。APT攻撃（Advanced Persistent Threat： 高度標的型攻撃 ）を実行するためや、身代金を要求する攻撃にも使用されるのです。

これらの攻撃をどのように実行しているのか解説します。 

ファイルレスマルウェアは、まるでカメレオンのように、ファイルの見た目すらも変えてしまいます。

ショートカットアイコンや拡張子を巧みに偽装し、一見すると無害なテキストファイルのように見せかけるのです。中身は悪意あるスクリプトで埋め尽くされているにもかかわらず、その見た目は普通のファイルと全く変わりません。

この巧妙な偽装により、セキュリティソフトの目を欺き、感染を検知させないだけでなく、ユーザー自身も危険なファイルだと気づかずに開いてしまう可能性があります。

エクスプロイトキットは、例えるなら、サイバー攻撃の万能ツールセットです。中には、オペレーティングシステムやアプリケーションの既知の脆弱性を突くための、さまざまな「鍵」となるコードやコマンドが詰め込まれています。

これらの「鍵」は、メモリに直接注入できるため、ディスクに痕跡を残さずに攻撃を実行できるという恐ろしい特徴があります。攻撃者は、このツールセットを使って、大規模なサイバー攻撃を自動化し、効率的に標的を陥れられるのです。

エクスプロイトキットは、複数の脆弱性に対応する「鍵」を備えており、標的システムの弱点を見つけ出し、カスタマイズされた攻撃を仕掛けられます。

さらに、フィッシングメールやソーシャルエンジニアリングといった罠を仕掛ける機能や、攻撃者がシステムを遠隔操作するためのコントロールパネルまで搭載しているものもあります。

攻撃者は、盗み出した認証情報を手に、正規のユーザーになりすまして標的システムに侵入します。システム内部に入り込み、ネイティブツールという「武器」を使ってさらなる攻撃を仕掛けるのです。

しかし、目的は一時的な侵入ではありません。攻撃者は、レジストリやカーネルといったシステムの奥深くにコードを隠し、まるで忍者のように姿を消し、セキュリティソフトの目を欺きながら、システムへの長期的なアクセスを確保します。

場合によっては、新たなユーザーアカウントを作成し、システムへの自由な出入りを可能にしてしまうでしょう。

ファイルレスマルウェアは、侵入や潜伏に利用されるだけでなく、従来のマルウェアを送り込むための「橋渡し役」としても暗躍します。

ファイルレスマルウェアがシステムに侵入し、足場を固めると、その後はランサムウェアやエクスプロイトキットといった、より強力な武器を投入するのです。

ランサムウェアは、システム内のデータを人質に取り、身代金を要求する恐喝犯のような存在です。エクスプロイトキットは、システムの脆弱性を自動的に探し出し、そこを突破口として侵入します。

ファイルレスマルウェアは、システムに標準搭載されているツールを乗っ取り、攻撃者の遠隔操作を可能にする場合もあります。Windowsレジストリというシステムの心臓部に身を潜め、長期にわたって活動を続けるレジストリ常駐型マルウェアです。

このように、ファイルレスマルウェアは、単独で活動するだけでなく、他のマルウェアと連携して、より広範囲かつ深刻な被害をもたらす可能性があります。

攻撃者は、常に新たな手口を模索し、その魔の手を進化させています。近年では、ファイルレスの技術を悪用し、より巧妙に攻撃を仕掛けてくるケースが増えています。

例えば、マクロやネイティブスクリプト言語を悪用し、一見無害なドキュメントファイルに悪意のあるコードを埋め込む手口です。また、エクスプロイトと呼ばれる脆弱性攻撃ツールを利用し、直接メモリに悪意のあるコードを書き込むケースも確認されています。

これらの手口は、システムに元々備わっているツールを乗っ取り、ディスクに痕跡を残さずにファイルを暗号化できるという点で、従来のランサムウェア攻撃よりもさらに厄介な存在です。

まるで、忍者が音もなく侵入し、気づかれないうちに宝物を盗み出すかのように、ファイルレスランサムウェアは静かに、しかし確実に、システムを侵食していくのです。

メモリオンリーマルウェアは、デバイスのメモリ上にのみ存在し、ディスクには一切痕跡を残しません。そのため、従来のセキュリティ対策では検知が非常に困難です。

このタイプのマルウェアの代表例として、Duquワームの進化形である「Duqu 2.0」が挙げられます。Duqu 2.0は、二つのバージョンが存在し、それぞれ異なる役割を担っています。

初期バージョンは、いわば「偵察部隊」のような存在です。組織内に侵入するための足場を築く役割を担います。そして、足場が確保されると、より強力な「本隊」である高度なDuqu 2.0が展開され、本格的な攻撃を開始します。

高度なDuqu 2.0は、システム内の偵察、ネットワーク内を横断する移動（ラテラルムーブメント）、そして最終的には機密データの窃取といった、多岐にわたる攻撃の実行が可能です。

Duqu 2.0は、すでに通信業界や著名なセキュリティソフトウェア企業など、複数の組織への侵入が確認されており、その脅威は日に日に増大しています。 

レジストリに常駐するマルウェアは、Windowsの心臓部ともいえるレジストリに侵入し、そこに身を潜め、セキュリティソフトの目を欺き、長期的な潜伏を可能にします。

このタイプのマルウェアは、通常、ドロッパーと呼ばれるプログラムを介して侵入します。ドロッパーは、悪意のあるコードをレジストリに直接書き込むため、システム上にファイルとして痕跡を残しません。

レジストリに書き込まれた悪意のあるコードは、OSの起動と同時に自動的に実行されるように設定されているため、セキュリティソフトが監視するファイルとは異なる形で活動します。

悪意のあるコードは、正規のファイルに巧妙に隠されており、発見は非常に困難です。Poweliksを皮切りに、KovterやGootKitなど、後を絶ちません。レジストリキーを改ざんして、長期にわたりシステムに潜伏し続け、気づかれないうちに悪事を働くのです。

PowerShellを悪用した攻撃は、痕跡を残さず標的を仕留めます。

この攻撃では、不正なプログラムがダウンロードされるのは、ハードディスクではなく、デバイスのメモリ上です。メモリは、コンピュータの電源が切れるとデータが消えてしまうため、プログラムの実行痕跡も同時に消え去ります。

従来のセキュリティソフトは、ハードディスク上のファイルに焦点を当てていますが、メモリ上で動作するプログラムは検知できません。PowerShellを悪用した攻撃は、セキュリティソフトの監視をかいくぐり、ひっそりと悪事を働くのです。

さらに、Windowsの正規機能であるPowerShellを利用するため、不正なプログラムと正規のプログラムを見分けることは非常に困難です。この高い隠蔽性こそが、PowerShellを用いた攻撃の最大の脅威と言えるでしょう。

ファイルレスマルウェアは通常のものと同様、さまざまな被害が発生します。主なものを3つ解説します。

ファイルレスマルウェアに感染すると、攻撃者が用意した外部サーバーから、悪意あるプログラムが自動的にダウンロードされてしまいます。

まるで、ウイルスが体内に侵入し、増殖するように、悪意あるプログラムがシステム内で活動を始め、内部に保存されている個人情報や機密情報が、攻撃者の手に渡ってしまう危険性があるのです。 

PowerShellを悪用した攻撃は、複数の脅威を呼び込む可能性があります。攻撃者が用意したサーバーへの自動接続を許してしまうと、ファイルレスマルウェアだけでなく、ランサムウェアなどの凶悪なマルウェアも送り込まれてしまう危険性があるのです。

感染したシステムは、複数のマルウェアに同時に感染し、まるで多重感染のように、さまざまな脅威にさらされることになります。

ファイルレスマルウェアに感染すると、PCは攻撃者の遠隔操作で自由自在に操られてしまう「ゾンビPC」と化してしまうかもしれません。

攻撃者は、標的のPCを隠れ蓑に、システム全体の乗っ取りを企てたり、個人情報を盗み出したりするだけでなく、他のサイバー攻撃の拠点として悪用する場合もあります。

感染したPCは、まるで操り人形のように、攻撃者の命令に従い、さらなるサイバー犯罪に加担させられる危険性があるのです。 

2019年、国内の大手電機メーカーがファイルレスマルウェアによる攻撃を受け、約8,000人の個人情報と企業機密が不正アクセスされる事件が発生しました。この攻撃では、Windowsの標準ソフトである「PowerShell」を悪用する手口が使われています。

攻撃者は、国内の大手電機メーカーを直接狙うのではなく、同社の中国拠点を利用して社内ネットワークに侵入する「サプライチェーン攻撃」をおこないました。端末のメモリ内で活動し、PowerShellを通じて外部からの遠隔操作が可能になっていたのです。

攻撃は4月に始まり、攻撃者は中国拠点の端末を通じて、日本国内のウイルス対策管理サーバーにアクセスし、その後、国内の複数拠点の端末に侵入を広げていきました。国内のウイルス対策ソフトが異常な通信を検知したのは、その2か月以上後の6月28日です。

流出した情報には技術資料や受注状況といった社内資料の他に、防衛省が定める「注意情報」とされる機密情報も含まれていました。

この事例は、OSに標準で備わっている機能を悪用し、メモリ上にて実行されるという特性から、攻撃の検知が困難であることが原因で大規模な被害につながったとされています。

検知が困難なファイルレスマルウェアですが、情報漏えいなどの被害を回避するためにも予防対策は必須です。有効な対策を4つ紹介します。

ファイルレスマルウェアの基本的な対策として、まず「不審なメールや心当たりのないメッセージに添付されたファイルやURLは絶対に開かない」という意識を持つことが重要です。特に、メールの添付ファイルは、攻撃者が仕掛ける罠として頻繁に利用されるため、細心の注意が求められます。

企業や組織においては、従業員一人ひとりが「不審な添付ファイルを開かない」という意識を持つだけでは不十分です。定期的な攻撃メール訓練やセキュリティ教育を通じて、サイバー攻撃に対するリテラシーを高めましょう。

ファイルレスマルウェアという「見えない敵」に対抗するためには、従来のセキュリティ対策だけでは不十分です。そこで「エンドポイントセキュリティ」が新たな切り札として注目されています。

エンドポイントセキュリティは、アンチウイルスソフトやEDR（Endpoint Detection and Response）など、複数のセキュリティ対策を組み合わせた総合的な防御システムです。

特にEDRは、侵入を前提とした上で、システム内部の異常な挙動を検知し、迅速に対応する能力に長けています。従来のアンチウイルスソフトでは見逃してしまうような巧妙な攻撃も、EDRなら検知し、被害の拡大を防げるのです。

また、近年では、ファイルレスマルウェアの進化に対応するため、従来のパターンマッチングやふるまい検知に加え、より高度な検出技術を搭載したアンチウイルスソフトも登場しています。

社員一人ひとりのセキュリティ意識を高めるのは、ファイルレスマルウェアをはじめとするサイバー攻撃の脅威から会社を守るための、最も効果的な防御策の一つです。

ファイルレスマルウェアは、従来のマルウェアよりも高度な技術が使われていますが、侵入経路は変わらず、スパムメールなどに添付されたファイルを開いてしまうことが主な原因となっています。

そのため、送信元不明のメールを開かない、添付ファイルを不用意にクリックしないといった、基本的なセキュリティ対策の徹底が重要です。

また、社員向けの研修会などを定期的に開催し、ファイルレスマルウェアの巧妙な手口や、感染した場合のリスクについて周知徹底するのも有効です。個々の端末操作が、会社全体のセキュリティを脅かす可能性があると、社員一人ひとりが深く理解する必要があります。

ファイルレスマルウェアの脅威からシステムを守るためには、ネットワークとエンドポイント、両方の視点から端末の動きを「見える化」することが重要です。端末の動きを可視化すれば、普段とは異なる不審な挙動をいち早く察知し、迅速な対応が可能になります。

ネットワークの可視化では、ネットワーク内で誰が、どのデバイスを使い、どんなアプリケーションで、どのようなデータを取り扱っているのかを明確に把握します。ファイルレスマルウェアは社内ネットワークを通じて感染を広げるケースが多いため、不審な通信を検知できる体制の整備が重要です。

エンドポイントの可視化では、各端末上で実行されているプロセスやファイル、レジストリ、イベントなどを詳細に把握します。

ファイルレスマルウェアはOSの標準機能を悪用するため、正規のプログラムも含めたすべてのアクティビティを監視し、既知の脅威だけでなく、未知の脅威も検出できるような詳細な可視化が求められます。

従来のアンチウイルス、ホワイトリスト、サンドボックス技術、さらには機械学習手法でさえ、ファイルレス攻撃から完全に保護するのは困難です。そのため、自己防衛のために複数の防御手法を組み合わせた統合的なアプローチの採用が有効です。

さまざまなセキュリティ技術を組み合わせてリスクを最小限に抑え、侵入や活動を検出しやすくします。それにより、一つの手法が見逃した脅威を他の手法が補足し、より高いセキュリティレベルを維持できます。 

ファイルレス攻撃は、従来のセキュリティ対策では検知が難しい巧妙な手口ですが、その対策として注目されているのが「IOA（Indicators of Attack）」というアプローチです。

IOAは、攻撃の痕跡に着目し、攻撃が実際に進行中である可能性を示す兆候を捉える手法です。従来のセキュリティ対策のように、攻撃に使われたファイルの種類や特徴を分析するのではなく、攻撃の「行動パターン」を分析して、ファイルレス攻撃を検知しようという考え方です。

具体的には、コードの実行、システム内での横移動（ラテラルムーブメント）、偽装された操作など、攻撃者が行う可能性のあるさまざまな行動を監視し、それらの行動がどのように連動しているか、背後にある意図や目的は何かを分析します。

IOAは、攻撃がファイルベースかファイルレスかといった形式にはこだわらず、実行された行動の内容、他の行動との関連性、行動の順序などを総合的に判断します。正規のアカウントが悪用された場合でも、悪意のある行動を検知し、ブロックが可能です。

ファイルレスマルウェアという「見えない敵」との戦いは、まさに情報戦です。膨大なデータの中から、わずかな手がかりを見つけ出す「脅威ハンティング」が有効な手段となります。

しかし、脅威ハンティングは、専門知識やリソースが必要となるため、多くの企業にとってハードルが高いのが現実です。そこで、頼りになるのが、専門のプロバイダーが提供する「マネージド脅威ハンティングサービス」です。

このサービスは、24時間体制でシステムを監視し、ファイルレスマルウェア侵入の早期発見を目的としています。従来のセキュリティ技術では見逃してしまうような、巧妙に隠された異常な活動を検知し、迅速な対応を可能にします。

ファイルレスマルウェアは、正規のツールを巧みに悪用し、痕跡を残さずに攻撃を仕掛けるため、従来のセキュリティ対策では太刀打ちできません。システムに侵入し、気づかれないうちに目的を達成してしまうのです。

この「見えない敵」に対抗するためには、ファイルレスマルウェアの特性や攻撃手法を深く理解し、適切な対策を講じることが不可欠です。

攻撃者は、正規のツールを悪用して、セキュリティソフトの目を欺き、検知を回避しようとします。そのため、高度な識別技術や行動分析を駆使し、正規の操作と悪意のある操作を区別する必要があります。

ファイルレスマルウェアとの戦いは、まさに知恵比べです。常に最新の脅威情報を把握し、適切な対策を講じて、この「見えない敵」からシステムを守りましょう。

コンサルティングに関しては、専門性を持ったコンサルタントが、徹底して伴走支援するクオンツ・コンサルティングにご相談ください。

①大手コンサルティングファーム出身のトップコンサルタントが多数在籍
②独立系ファームならではのリーズナブルなサービス提供
③『事業会社』発だからできる当事者意識を土台にした、実益主義のコンサルティングサービス

クオンツ・コンサルティングは『設立から3年9ヶ月で上場を成し遂げた事業会社』発の総合コンサルティングファームです。
無料で相談可能ですので、まずはお気軽にご相談ください。