目次
ファイルレス攻撃とは
ファイルレス攻撃は、特定のソフトウェアコード(ソースコード)のインストールを必要とせず、標的の端末でネイティブに搭載されているツール、Windows端末であればPowerShellやWindows Management Instrumentation(WMI)等を乗っ取ることで、様々な悪意ある活動を可能にします。
最初のファイルレス攻撃は2001年に報告されたレッドコードワームとされており、既に20年近くの歴史がありますが、特にここ数年の被害状況は顕著となっています。
2017年時点でサイバー攻撃全体のうち、77%はファイルレス攻撃が占めているという報告もあります*1。
ファイルレス攻撃の対策はなぜ必要?
ファイルレス攻撃は、ディスクにファイルの痕跡を残さないため、検出が困難です。
ファイルレスマルウェアは検出されにくいため、攻撃者は標的の環境で長期間の潜伏が可能となり、その間にアクセス権限、資格情報を奪取し、後の活動で必要となる情報を盗み出します。今やサイバー攻撃の対策トレンドとして、ファイルレス攻撃の対策は前提となりつつありますが、その対策は容易なものではありません。
ファイルレス攻撃への対策が難しい理由として、以下の理由が挙げられます。
修正パッチ適用までのタイムラグとゼロデイ攻撃
攻撃者は標的をマルウェアに感染させるため、アプリケーションやOSの脆弱性を突く攻撃を行います。
脆弱性はベンダーから提供される修正パッチを適用することで修正できますが、プログラムのバグはなくなることはありません。そのうえ、次々と新しい脆弱性が発見されるため、定期的なアップデートは必須となります。
しかし、クライアントPCの台数が多い場合には全台へのパッチ適用には、一定の時間を要します。パッチの即時適用が難しい理由は、主に2つあります。
まず、パッチ適用によって現状利用しているサービスが問題なく継続できるかどうか、確認するテストを行う必要があること。
そして、問題ないことを確認したうえで、パッチ適用を行うスケジュールを調整しなければならないことです。
パッチ適用にはある程度の負荷がかかるので、通常の業務に影響しないようなタイミングで行う必要があります。
また、修正プログラムが作成される前に攻撃を行うゼロデイ攻撃に対してはパッチを頼ることは出来ません。
正規ツールが悪用される
攻撃がPowerShellやWMIといった、端末にデフォルトでインストールされている正規のツール、あるいはマクロ等を使用することもあります。その場合、その動作は正当なものとみなされてしまい、それが悪意ある動作かどうかの判別が非常に難しくなります。
また、それらのツールは通常の業務で無意識に利用されていることが多いです。いざ制限を掛けると様々な問題が発生する可能性があり、使用の禁止や制限が出来ない場合も多いです。
ディスクに痕跡を残さずメモリ上で動作
ファイルレスマルウェアは、実行ファイルをハードディスク上に配置せず、メモリ(RAM)上で動作します。
そのため、従来型のアンチウイルス製品のディスクスキャンやパターンマッチングといった手法では、そもそもディスク上にファイルが無いため検知することができません。
ファイルレスマルウェアは実行ファイルをハードディスク上に配置せず、メモリ(RAM)上で動作します。ディスク上にファイルが存在しないため、従来型アンチウイルス製品のディスクスキャン・パターンマッチングといった手法では検知することができません。
また、メモリ上で動くため端末を再起動するとマルウェアが削除されてしまい、フォレンジックのための証跡も非常に少なくなります。
ファイルレス(ランサムウェア)攻撃の被害事例
被害事例1:米国の大手保険会社
米国イリノイ州シカゴを拠点とする保険会社は、2021年3月にPhoenix Cryptolockerランサムウェア攻撃の被害を受けています。
正規のWebサイトを介して、配信された偽のブラウザアップデートによって従業員の端末に侵入され、ネットワーク内の横展開、セキュリティツールの無効化、バックアップの削除等が行われた後に15,000を超えるシステムが暗号化されました。
最終的に被害を受けた当保険会社はシステム復旧のための身代金として、4000万USドル(当時約44億円)を支払ったとされています*2。
被害事例2:米国の石油パイプライン大手
2021年5月、米国石油パイプライン大手がランサムウェア攻撃の被害に遭っています。結果として、この被害により一時的な操業停止に追い込まれています。
攻撃者は、多要素認証を採用していないVPNシステムのパスワードを悪用した結果、ネットワーク内に侵入。当企業はデータの盗難及び会計監査を含むシステムの暗号化という被害を受け、こちらも復旧のために500万USドル(約5.5億円)を攻撃者に支払っています*3。
ファイルレス攻撃の対策はMorphisec
ファイルレス攻撃の対策において、当社がお勧めするのはMorphisecという製品です。
Morphisec(モルフィセック) | 攻撃を成立させないエンドポイントセキュリティソリューション
Morphisec(モルフィセック)は、マルウェアの攻撃そのものを成立させない「エンドポイントセキュリティ(EPP)」です。セキュリティ製品として既知・ゼロデイ攻撃の対策、多層防御での活用、オフライン端末の保護の理由から選ばれています。メモリをランダマイズする防御手法でファイルレスマルウェアを対策することができます。
MorphisecはMoving Target Defense(MTD)という、メモリをランダマイズする防御手法を採用した、特にメモリを悪用するファイルレス攻撃への対策に特化したセキュリティソリューションです。
Morphisecは、ユーザーが業務で使用するアプリケーションが動作する際に、割り当てられるメモリリソースをランダムに変化させます。これにより、アプリケーションが修正パッチ適用前であり脆弱性を抱えた状態であっても、攻撃者が想定している脆弱点へのアプローチが成り立ちません。正規のアプリケーションは問題なく動作させつつ、攻撃者の悪意ある動作を防ぐため、メモリの脆弱点を狙うファイルレス攻撃に対して強い効果を発揮します。
また、従来型アンチウイルスのようなパターンマッチングやシグネチャを使用しないため、頻繁な更新が不要で手間がかからないという利点もあります。
既存のNGAV、EDR、XDRなどの防御層と競合しにくいため、防御層の強化として活用が可能です。
出典(参考文献一覧)
※1 Malwarebytes|What is fileless malware?(参考日:2022-11-17)
※2 TechTarget|Colonial Pipeline hack explained: Everything you need to know(参考日:2022-11-21)
※2 bleepingcomputer|Ransomware gang breached CNA’s network via fake browser update(参考日:2022-11-17)
※3 Morphisec|Biden Administration Aims to Disrupt Ransomware Gangs(参考日:2022-11-17)
※3 TechTarget|Colonial Pipeline hack explained: Everything you need to know(参考日:2022-11-17)
