PCのOSやアプリケーションのバージョンアップにより追加される新機能は、サイバー犯罪者も研究しており、常にマルウェア感染などに悪用できないかと模索されている。例えばWindowsに付属していたメールソフト「Outlook Express」では、本文のプレビュー機能がウイルスを自動実行するワームに悪用され、世界的に感染が拡大した。
Windowsでは近年、PowerShellが標準化された。これはコマンドラインツールを拡張したもので、1,000以上のコマンドに対応。2016年にはPowerShellのオープンソース化とLinux、Mac OS対応が発表されている。しかしPowerShellは、攻撃者にとっても便利なツールとなってきており、マルウェアとして利用されるケースも増えてきた。
PowerShellスクリプトを利用したファイルレスマルウェア
ファイルレスマルウェアに有効な標的型攻撃対策ソフトウェア「FFRI yarai」 ⇒ PDFのダウンロードはこちら |
PowerShellを悪用してマルウェアに感染させようとする攻撃は、2016年ごろから急激に増加している。2017年初頭には標的型攻撃メールで確認され、その後はいわゆる「ばらまき型」メールでも確認された。こうした攻撃は日本だけでなく、世界規模で発生している。例えば、米国、フランス、エクアドルなど40カ国の銀行、政府機関、電気通信会社をはじめとする140社以上の企業や組織が影響を受けたと、セキュリティベンダーであるカスペルスキーが伝えている。このうち銀行のケースでは、ソフトウェアとPowerShellを組み合わせることでシステム管理者のパスワードを盗み出していた。
日本で実際に行われた標的型攻撃は、リンクファイル(拡張子.lnk)を起点としてPowerShellスクリプトを呼び出すというものだった。これは、実行ファイル(拡張子.exe)を使用しないため、「ファイルレスマルウェア」と呼ばれている。
PowerShellは非常に強力なツールであるがゆえに、攻撃にも有用であり、従来の実行ファイル型マルウェアと同等の機能を実現可能だ。また、前述のように実行ファイルを使わないため、従来型のアンチウイルス製品に検知される可能性を下げる効果もある。さらに、ファイルレスマルウェアはディスク上に痕跡が残りづらいため、検体の入手が困難。その被害はすでに世界中で発生しており、早急な対策、対応が求められている。
では、このようなファイルレスマルウェア、あるいは今後登場すると思われる新たな攻撃手法に対し、どのような対策をすればいいのだろうか。
本稿で提供するPDFでは、ファイルレスマルウェアの実情と有効な対策について、より詳細に紹介されている。セキュリティ対策は”転ばぬ先の杖”が大前提。セキュリティ対策担当、経営層の方には、ぜひ本資料で、サイバー攻撃の最新事情を知るとともに、その対策を図るためのヒントをつかんでいただきたい。
提供レポートのご案内
「先読みする防御」が見据える次の脅威
ファイルレスマルウェアから守るセキュリティ技術≪目次≫
- OSの進化による便利な機能は、サイバー犯罪者にも狙われる
- PowerShellスクリプトを利用したファイルレスマルウェア
- 今後想定される、ファイレスマルウェアのさらなる進化
- 攻撃シーケンス上流でのブロックが重要
- ファイルレスマルウェアなど新たな攻撃も検知する「FFRI yarai」
[PR]提供:FFRI