Fileless Malware - Attacks That Leave No Files

About 2 min read

ファイルレスマルウェアとは、ディスク上にファイルを書き込まず、メモリ上で 直接実行されるマルウェアの総称です。 従来型のアンチウイルスソフトはファイルのシグネチャ (パターン) をスキャンして 脅威を検知しますが、ファイルレスマルウェアはスキャン対象のファイルが 存在しないため、この検知手法をすり抜けます。2017 年頃から急増し、 現在では高度な標的型攻撃の多くがファイルレス手法を組み込んでいます。

Living off the Land (LOL) 手法

ファイルレスマルウェアの中核にあるのが「Living off the Land (環境寄生型)」 と呼ばれる手法です。OS に標準搭載されている正規ツールを悪用するため、 セキュリティ製品が「正常な管理操作」と「攻撃」を区別しにくくなります。

LOLBAS (Living Off The Land Binaries, Scripts and Libraries) プロジェクトは、 攻撃に悪用される可能性のある Windows 標準バイナリを体系的にカタログ化 しています。セキュリティチームはこのリストを参照して、監視すべきプロセスの 優先順位を決定します。

従来型アンチウイルスで検知できない理由

従来型アンチウイルスはディスク上のファイルをシグネチャデータベースと 照合する仕組みです。ファイルレスマルウェアはメモリ上でのみ動作するため、 スキャン対象が存在しません。さらに、PowerShell や WMI は OS の正規 コンポーネントであり、これらのプロセス自体をブロックすると業務に支障が 出ます。この「正規ツールの悪用」がファイルレスマルウェアの検知を 困難にしている根本的な理由です。

EDR による振る舞い検知

EDR (Endpoint Detection and Response) は、 ファイルの有無ではなくプロセスの振る舞いを監視します。PowerShell が Base64 エンコードされたコマンドを実行した、WMI 経由で不審なプロセスが 起動した、通常は通信しないプロセスが外部 IP に接続した、といった 異常パターンを検知してアラートを発します。 機械学習ベースの振る舞い分析を組み合わせることで、未知のファイルレス 攻撃にも対応できます。

レジストリやスケジュールドタスクへの潜伏

ファイルレスマルウェアは「ファイルを書かない」とはいえ、再起動後も 生き残るための永続化メカニズムを持つことがあります。Windows レジストリの Run キーにエンコードされた PowerShell コマンドを書き込む手法や、 スケジュールドタスクに悪意あるスクリプトを登録する手法が代表的です。 WMI イベントサブスクリプションを使えば、特定の条件 (ログオン、時刻など) をトリガーにしてメモリ上でコードを実行できます。ルートキットと 組み合わせることで、これらの永続化エントリ自体を隠蔽する高度な手法も 確認されています。

メモリフォレンジックの重要性

ファイルレスマルウェアの調査では、デジタルフォレンジックの中でも メモリフォレンジックが決定的に重要です。ディスク上に痕跡が残らないため、 RAM のダンプを取得して分析しなければ攻撃の全容を把握できません。 Volatility Framework などのツールを使い、メモリ上の不審なプロセス、 インジェクションされたコード、ネットワーク接続先を特定します。

インシデント発生時に端末を再起動すると、メモリ上の証拠がすべて消失します。 「まずメモリダンプを取得し、それから対処する」という手順をインシデント対応の 初動として徹底することが不可欠です。ラテラルムーブメントの 痕跡もメモリ上にしか残らないケースが多く、ランサムウェア対策の 観点からもメモリフォレンジックの体制整備が求められます。

ブラウザ拡張機能のセキュリティも、 ファイルレス手法と関連する攻撃ベクトルとして注意が必要です。malware analysis books on Amazonでも探せます。