ファイルレスマルウェアとは

この記事は約 2 分で読めます

ファイルレスマルウェアとは、ディスク上にファイルを書き込まず、メモリ上で直接実行されるマルウェアの総称です。従来型のアンチウイルスソフトはファイルのシグネチャ (パターン) をスキャンして脅威を検知しますが、ファイルレスマルウェアはスキャン対象のファイルが存在しないため、この検知手法をすり抜けます。2017 年頃から急増し、現在では高度な標的型攻撃の多くがファイルレス手法を組み込んでいます。

Living off the Land (LOL) 手法

ファイルレスマルウェアの中核にあるのが「Living off the Land (環境寄生型)」と呼ばれる手法です。OS に標準搭載されている正規ツールを悪用するため、セキュリティ製品が「正常な管理操作」と「攻撃」を区別しにくくなります。

LOLBAS (Living Off The Land Binaries, Scripts and Libraries) プロジェクトは、攻撃に悪用される可能性のある Windows 標準バイナリを体系的にカタログ化しています。セキュリティチームはこのリストを参照して、監視すべきプロセスの優先順位を決定します。

従来型アンチウイルスで検知できない理由

従来型アンチウイルスはディスク上のファイルをシグネチャデータベースと照合する仕組みです。ファイルレスマルウェアはメモリ上でのみ動作するため、スキャン対象が存在しません。さらに、PowerShell や WMI は OS の正規コンポーネントであり、これらのプロセス自体をブロックすると業務に支障が出ます。この「正規ツールの悪用」がファイルレスマルウェアの検知を困難にしている根本的な理由です。

EDR による振る舞い検知

EDR (Endpoint Detection and Response) は、ファイルの有無ではなくプロセスの振る舞いを監視します。PowerShell が Base64 エンコードされたコマンドを実行した、WMI 経由で不審なプロセスが起動した、通常は通信しないプロセスが外部 IP に接続した、といった異常パターンを検知してアラートを発します。機械学習ベースの振る舞い分析を組み合わせることで、未知のファイルレス攻撃にも対応できます。

レジストリやスケジュールドタスクへの潜伏

ファイルレスマルウェアは「ファイルを書かない」とはいえ、再起動後も生き残るための永続化メカニズムを持つことがあります。Windows レジストリの Run キーにエンコードされた PowerShell コマンドを書き込む手法や、スケジュールドタスクに悪意あるスクリプトを登録する手法が代表的です。WMI イベントサブスクリプションを使えば、特定の条件 (ログオン、時刻など) をトリガーにしてメモリ上でコードを実行できます。ルートキットと組み合わせることで、これらの永続化エントリ自体を隠蔽する高度な手法も確認されています。

メモリフォレンジックの重要性

ファイルレスマルウェアの調査では、デジタルフォレンジックの中でもメモリフォレンジックが決定的に重要です。ディスク上に痕跡が残らないため、RAM のダンプを取得して分析しなければ攻撃の全容を把握できません。Volatility Framework などのツールを使い、メモリ上の不審なプロセス、インジェクションされたコード、ネットワーク接続先を特定します。

インシデント発生時に端末を再起動すると、メモリ上の証拠がすべて消失します。「まずメモリダンプを取得し、それから対処する」という手順をインシデント対応の初動として徹底することが不可欠です。ラテラルムーブメントの痕跡もメモリ上にしか残らないケースが多く、ランサムウェア対策の観点からもメモリフォレンジックの体制整備が求められます。

ブラウザ拡張機能のセキュリティも、ファイルレス手法と関連する攻撃ベクトルとして注意が必要です。マルウェア解析の専門書は Amazonでも探せます。