ファイルレスマルウェア ふぁいるれすまるうぇあ
簡単に言うとこんな感じ!
そう、ファイルを一切ディスクに置かずに攻撃するマルウェアだよ!コンピューターのメモリ(RAM)の中だけで動くから、ウイルス対策ソフトが「怪しいファイル」を探しても何も見つからないんだ。まるで足跡を残さない忍者みたいな攻撃手法ってこと!
ファイルレスマルウェアとは
ファイルレスマルウェア(Fileless Malware)とは、悪意のあるプログラムをディスク上のファイルとして保存せず、コンピューターのメモリ(RAM)上だけで動作させる攻撃手法のことです。従来のマルウェアは「怪しいexeファイルをダウンロードさせる」のが基本でしたが、ファイルレスマルウェアはその常識を覆します。
攻撃者は、Windowsにもともと備わっている正規のツール(PowerShellやWMI、mshta.exeなど)を悪用して攻撃コードを実行します。これをLOLBins(Living Off the Land Binaries=現地調達型攻撃)と呼びます。ウイルス対策ソフトは「ファイルのパターン一致」でマルウェアを検出することが多いため、ファイルが存在しないこの攻撃はすり抜けやすいという特徴があります。
多くのファイルレスマルウェアは再起動すると消えてしまうものの、レジストリやスケジュールタスクに一部の設定を書き込んで再起動後も生き残る「半ファイルレス」型も増えています。標的型攻撃(APT)でよく使われており、企業の情報システム担当者が最も頭を悩ませる脅威のひとつです。
ファイルレスマルウェアの仕組みと種類
ファイルレスマルウェアがどうやって動作するかを整理すると、次のような流れになります。
| フェーズ | 内容 | 使われる技術の例 |
|---|---|---|
| 侵入口 | メールの添付ファイル・Webの脆弱性・マクロ経由で最初の足がかりを作る | 悪意あるOfficeマクロ / ドライブバイダウンロード |
| 展開 | 正規ツールを使ってメモリ上に攻撃コードを読み込む | PowerShell / WMI / Rundll32.exe |
| 持続化 | 再起動後も生き残るための仕掛けを仕込む | レジストリ / スケジュールタスク / WMI イベントサブスクリプション |
| 実行 | メモリ内で命令を実行し、情報収集・横展開・データ窃取を行う | リフレクティブDLL注入 / プロセスハロウイング |
LOLBinsとは? — 「現地調達」で攻撃する手口
LOLBins(Living Off the Land Binaries)は「現地調達」を意味し、攻撃者がOSに標準搭載された正規ツールを武器として流用することを指します。
Windows標準ツールの悪用例
─────────────────────────────────────────
PowerShell.exe → スクリプト実行・ダウンロード・暗号化
WMI (wmic.exe) → リモートコード実行・情報収集
mshta.exe → HTMLアプリケーション経由でスクリプト実行
regsvr32.exe → リモートからDLLを登録・実行
certutil.exe → ファイルのデコード・ダウンロード
─────────────────────────────────────────これらはすべてWindowsに最初から入っている正規プログラムなので、「使われていること自体」を検出するのが難しいのです。
従来型マルウェアとの比較
| 比較項目 | 従来型マルウェア | ファイルレスマルウェア |
|---|---|---|
| ディスクへの書き込み | あり(exeやdllを保存) | なし(メモリのみ) |
| 検出のしやすさ | パターンマッチで検出しやすい | 検出が非常に難しい |
| 再起動後の生存 | 通常は生き残る | 基本的に消える(持続化技術を除く) |
| 使用するツール | 独自の悪意あるバイナリ | OSの正規ツール |
| 調査・証拠収集 | ファイルが残る | メモリダンプが必要 |
歴史と背景
- 2001年頃 — Code Redワームがファイルを書き込まずメモリ上だけで動作する先駆け的事例として登場
- 2014年頃 — PowerShellを悪用した攻撃が急増。高度な標的型攻撃(APT)グループが採用し始める
- 2017年 — 「Kovter」「PowerGhost」などファイルレス手法を使うマルウェアが一般的なサイバー犯罪にも普及
- 2017年 — Symantecのレポートで「検出されたマルウェアの約50%がファイルレス手法を使用」と報告され業界に衝撃
- 2018〜2019年 — Microsoft DefenderがPowerShellのScript Block Loggingを強化し、検出能力を向上
- 2020年代 — EDR(Endpoint Detection and Response)の普及でふるまい検知が強化されるも、攻撃手法もさらに巧妙化。メモリフォレンジックが防御の要に
ファイルレスマルウェアへの対策技術
従来のアンチウイルス(シグネチャベース)だけでは対抗が難しいため、複数の技術を組み合わせる必要があります。
実務での対策チェックリスト
システム発注・選定の場面で確認したいポイントをまとめます。
| チェック項目 | 内容 |
|---|---|
| EDR導入 | ふるまい検知・メモリ監視ができるEDR製品を選定しているか |
| PowerShell設定 | Script Block Loggingが有効か。不要なユーザーへのPowerShell実行権限を制限しているか |
| LOLBins制限 | AppLockerやWindows Defender Application Controlで実行を制御しているか |
| パッチ管理 | ブラウザ・Officeなど侵入口となるソフトのアップデートを徹底しているか |
| ログの保全 | SIEM等でイベントログを集中管理・長期保存しているか |
関連する規格・RFC
※ ファイルレスマルウェア自体に直接対応するRFCは存在しないが、関連するセキュリティフレームワークを参照。
| 規格・フレームワーク | 内容 |
|---|---|
| MITRE ATT&CK T1059 | コマンドおよびスクリプトインタープリターの悪用(PowerShell等のLOLBins手法を網羅) |
| MITRE ATT&CK T1055 | プロセスインジェクション(メモリへの悪意コード注入の分類) |
| NIST SP 800-83 | マルウェアインシデント対応ガイドライン |
関連用語
- マルウェア — コンピューターに害を与えることを目的とした悪意あるソフトウェアの総称
- EDR — エンドポイントの振る舞いを監視し脅威を検知・対応するセキュリティ製品
- PowerShell — Windowsの高機能コマンドラインツール。攻撃者にもよく悪用される
- SIEM — 複数のログを集中管理して相関分析し、脅威を検出するシステム
- ゼロデイ攻撃 — パッチが存在しない未知の脆弱性を突く攻撃手法
- APT(高度持続的脅威) — 特定の標的に対して長期間にわたって行われる高度な攻撃活動
- メモリフォレンジック — インシデント後にRAMの内容を分析して攻撃の痕跡を調べる手法
- 多層防御 — 単一の対策に依存せず複数のセキュリティ層を組み合わせる考え方