OSのバージョンアップにより追加される新機能は、ユーザーの利便性を向上させる反面、マルウェア感染などでサイバー犯罪者に悪用されるケースもある。近年Windowsで標準化されたPowerShellは、コマンドラインツールを拡張したものでWindowsのほとんどの操作を行うことが可能。2016年にはオープンソース化とLinux、Mac OS対応が発表された。しかし、これは攻撃者にとっても便利なツールとなってきており、マルウェアとして利用されるケースも増えている。
PowerShellを利用した”ファイルレスマルウェア”
ファイルレスマルウェア対策とは? ⇒ PDFのダウンロードはこちら |
PowerShellを悪用してマルウェアに感染させようとする攻撃は、2016年ごろから急激な増加傾向が見られる。2017年初頭には標的型攻撃メールで確認され、その後はいわゆる「ばらまき型」メールでも確認された。日本ではリンクファイル(拡張子.lnk)を起点としてPowerShellスクリプトを呼び出すというものだった。実行ファイル(拡張子.exe)を使用しないため、「ファイルレスマルウェア」と呼ばれている。
ファイルレスマルウェアに対して、セキュリティ対策ベンダーは非常に重大な問題と受け止めている。なぜなら現時点では一般的なウイルス対策ソフトでは検知が難しいからだ。リンクファイルに記載されるスクリプトの場合も亜種の作成が行いやすく、一般的なウイルス対策ソフトのパターンマッチング技術では検知が困難といえる。
リンクファイルには、OS標準のPowerShellコマンドと、エンコードされた引数が設定されており、このエンコードされた引数こそがPowerShellで悪意ある動作を行うためのスクリプト本体だ。また、その後のプロセスそのものは正規のものとして扱われ、マルウェアはその正規プロセス内のメモリ上で動作する。これにより、ディスク上にマルウェアを生成することなく、PCにマルウェアを感染させることができるのだ。
“ファイルレスマルウェア”のためのセキュリティ対策とは
PowerShellは非常に強力なツールであるがゆえに、攻撃にも有用であり、従来の実行ファイル型マルウェアと同等の機能を実現可能だ。また、前述のように実行ファイルを使わないため、従来型のアンチウイルス製品に検知される可能性を下げる効果も期待できる。さらに、ディスク上に痕跡が残りづらいため、検体の入手が困難。ファイルレスマルウェアによる被害はすでに世界中で発生しているので、早急な対策、対応が求められている。
現状、ファイルレスマルウェアとしてはJScript(拡張子.js)ファイルやOfficeマクロ(拡張子.docx)などのファイルを使ったものや、リンクファイルを使ったものなど多種多様なものがある。また、今後、さらに増加する可能性も高い。しかし前述したように、このようなPowerShellを悪用するファイルレスマルウェアは、一般的なウイルス対策ソフトでは検出できない。では、どのような対策が必要なのか……。
本稿で提供するPDFでは、ファイルレスマルウェアの実態や仕組み、さらにそれから企業を守るセキュリティ技術について詳細が語られている。新たなる脅威に対して先手を打ちたい企業の経営層やセキュリティ担当の方には、ぜひご一読いただきたい。
提供レポートのご案内
「先読みする防御」が見据える次の脅威
ファイルレスマルウェアから守るセキュリティ技術≪目次≫
- OSの進化による便利な機能は、サイバー犯罪者にも狙われる
- PowerShellスクリプトを利用したファイルレスマルウェア
- 今後想定される、ファイレスマルウェアのさらなる進化
- 攻撃シーケンス上流でのブロックが重要
- ファイルレスマルウェアなど新たな攻撃も検知する「FFRI yarai」
[PR]提供:FFRI