近年では、ウイルスやトロイの木馬といった従来型の「ファイル型マルウェア」ではなく、ファイルを使用しない「非マルウェア」を利用した攻撃が急増しています。

本記事、非マルウェアについて詳しく説明します。もし非マルウェア攻撃を受けた場合、すぐ専門のフォレンジック調査会社に相談することがおすすめです。

＼24時間365日 相談受付／

非マルウェアとは？

非マルウェアとは、ハードディスクにファイルを残すことなく、メモリ上でのみ動作するタイプのマルウェアを指します。

従来のウイルスのように実行ファイルを保存・実行するのではなく、すべての処理をメモリ上で完結させるのが大きな特徴があるため「ファイルレスマルウェア」とも呼ばれます。

非マルウェア攻撃では、実行ファイルを保存することなくメモリ上で直接実行されるため、一般的なウイルス対策ソフトでは検知が非常に難しくなります。企業ネットワーク内部に潜伏し、正規の管理ツールを悪用して情報を外部に送信するなど、非常に巧妙な手口が使われます。

非マルウェアの仕組み

以下では、非マルウェアの動作の仕組みや攻撃に使われる手口について、具体的に解説します。

実行ファイルを使用しない攻撃

一般的なマルウェアは、パソコン内にファイルを保存して実行されますが、非マルウェアはファイルを使わずに、メモリ上だけで動作するため、ウイルス対策ソフトが行う「ファイルスキャン」では見つけられないことが多く、非常に見つけにくいのです。

さらに、メモリ上での処理はパソコンの再起動とともに消えてしまうため、攻撃の痕跡すら残らないケースもあります。

既存ツールの悪用

攻撃者は、Windowsに標準で備わっている「PowerShell」や「WMI（Windows Management Instrumentation）」といった正規の管理ツールを悪用して侵入や操作を行い、セキュリティソフトにも異常と判断されにくく、気づかれにくい状況が生まれます。

ステルス性の高さ

非マルウェアは、攻撃後に証拠を残さないように設計されています。たとえば、動作のすべてをメモリ上で完結させ、処理が終わると自動的に痕跡を消去します。

動的コード生成による検出困難性

非マルウェアは、感染した後に操作ログやファイルなどの痕跡をほとんど残さないように設計されているので、使用者や管理者が異常に気づきにくく、長期間にわたって内部で動作し続ける可能性があります。

セキュリティソフトの検知限界

ウイルス対策ソフトは、ファイルや明らかな不正動作をもとに脅威を検知しますが、非マルウェアはファイルを使わず、PowerShellなどの正規ツールを悪用するため、検出が難しくなります。

さらに、暗号化された通信や正規サイトに似せた接続が行われることで、セキュリティソフトが見逃す可能性もあります。除外対象となる管理用ツールが使われることも多く、従来の対策だけでは十分とは言えません。

多段階の攻撃ステージ

非マルウェア攻撃は、一度の攻撃で完結するものではなく、段階的に目的を達成する手順が組まれています。

上記ステップはすべて見えないところで進行するため、気づいたときには既に被害が拡大している可能性があります。

万が一、非マルウェアによる被害が疑われる場合は、社内で無理に調査を行うのではなく、専門のフォレンジック調査会社へ相談することがおすすめです。

＼24時間365日 相談受付／

非マルウェア攻撃を防ぐための対策

非マルウェアは、見た目上では何も変化がないため、発見が非常に難しい攻撃です。早期発見と被害拡大の防止のため、次に紹介する方法を活用することが推奨されます。

不審なメールや添付ファイルを開かない

ファイルレスマルウェアの多くは、フィッシングメールを入り口としています。日常的なメールの取り扱いには以下の点に注意が必要です。

PowerShellの制限とログ取得

攻撃者に悪用されやすいPowerShellは、不要な利用を制限しておく必要があります。以下の操作を行うことで、リスクを軽減できます。

エンドポイント監視ツール（EDR）の導入

EDR（Endpoint Detection and Response）は、エンドポイント（パソコンやサーバーなど）上で発生する不審な挙動をリアルタイムで検知し、ログとして記録・分析できるセキュリティソリューションです。メモリ上で実行される非マルウェアのような攻撃にも有効で、従来のアンチウイルス製品では検知できない脅威の把握が可能となります。

導入する際には、検知精度、レスポンス機能、操作性、インシデント対応まで一貫して行えるかなどの観点から、信頼性の高いEDR製品を選定することが重要です。

代表的なEDR製品の例

• CrowdStrike Falcon
• SentinelOne
• Microsoft Defender for Endpoint

アプリケーションホワイトリストの活用

アプリケーションホワイトリストを用いることで、信頼されたプログラムのみが実行可能となり、不正なスクリプトの実行を防げます。

定期的なパッチ適用と更新

非マルウェア攻撃の入口は、ソフトウェアやOSの脆弱性であることが多く、常に最新の状態に保つことが重要です。

上記紹介した対策を講じても、万が一非マルウェアによる被害が発生してしまった場合には、速やかに専門家による調査を依頼することが重要です。

＼24時間365日 相談受付／

非マルウェアに感染した場合の対処法

非マルウェアは、通常のウイルスと異なりファイルに痕跡を残さないため、感染に気づいたときにはすでに内部情報が盗まれている可能性があります。以下の手順で、冷静かつ迅速に対応することが重要です。

非マルウェアは、痕跡がほとんど残らないという特性から、一般的な方法では証拠を見つけ出すことが非常に困難です。社内で独自に調査を進めようとすると、重要なログやデータが意図せず上書きされてしまい、結果としてデータの毀損や判断ミスにつながるリスクがあります。

被害の全容を正確に把握し、再発防止につなげるには、フォレンジック調査の専門機関に依頼することがおすすめです。

なお、マルウェアに感染した場合の対処手順については、以下の記事でも詳しく解説していますので、参考にしてください。

＞マルウェア感染した場合の対処法はこちらへ

まとめ

ファイルレスマルウェアは、見た目では判断しにくい正規のプロセスを装いながら、システム内部に深く侵入します。従来のウイルス対策では発見が難しいため、EDRの導入やPowerShellの制限、アプリケーションホワイトリストなど、複数の対策を組み合わせた多層的な防御が重要です。

万が一、攻撃を受けた可能性がある場合には、社内対応だけで解決しようとせず、フォレンジック調査の専門機関へ相談することが、被害の拡大防止と再発防止につながります。

＼24時間365日 相談受付／