第21話 現在のアンチウイルスソフトでもファイルレス攻撃対応はされている
この1年で約9倍に増加したマルウエアの手口
最近のマルウェア手口の主流は「ファイルレス攻撃」に移りつつある。
「ファイルレス攻撃」とは従来のような「実行形式型のファイル」ではなく「メモリー上で実行するスクリプト」である。この手口はファイルを持たないため「ファイルレス攻撃」と呼ばれる。
そしてこのファイルレス攻撃は2019年から2020年にかけて約9倍という驚くべき増加数となっている。[*01]
既存のアンチウイルス対策では防ぐことは不可能
深刻なのは、このファイルレス攻撃では、従来の「マルウェアのファイル」の中にある固有のパターン(シグニチャ)を利用する方法では検出出来ない。なぜなら肝心の「ファイル」が存在しないからだ。
このため新しい手口の「ファイルレス攻撃」からパソコンを守るためには、従来のアンチウイルス対策ではなく、新しい対策を施さなければならないとされる。
ただし、このことについて、多くのシステム管理者が誤解をしている。確かに「ファイルレス攻撃」は従来の「シグニチャ検出」のみの方法では、検出出来ない。
しかし従来の「アンチウイルスソフト」が対応していないということではない。
ただし最新のアンチウイルスソフトは対応している
現在公開されているアンチウイルスソフトの多くは「ファイルレス攻撃」にも対応している。
たとえばWindwos 10に標準で採用されている「Windws Defender」は、下記の検出機能でファイルレス攻撃を防いでいる。[*02]
・PowerShell 等のスクリプトの検査機能
・WMIレポジトリのスキャン機能
・DLLインジェクションの検出機能
これらのファイルレス攻撃対応は「Windows Defender Exploit Guard」としてWindows Defender に含まれている。(Wikipedea「Windows Defender」より)
最新のマルウェア対策の対応は常に念頭に置きつつも
もちろんWindows Defenderのように既存のアンチウイルスソフトは、ファイルレス攻撃に対して100%防御できるわけではない。
新しい手口が作り出されてから対策が配布されるまでにはタイムラグが生じるからだ。
このためこれらの被害をより少なくするためには、EDR(Endpoint Detection and Response)やNGAV(Next Generation Anti Virus)と呼ばれる新しい対策方法は有効であろう。
ただし重要な点は「既存のアンチウイルスソフトはファイルレス攻撃に無策である」というのは誤解であるということだ。
それよりも先に対策すべきことがあるのでは?
そしてゼロトラストFTAの観点では、まず「それより脆弱な部分はありませんか」ということだ。
たとえば端末紛失や不正アクセスの脆弱性は低いで、ファイルレス攻撃の対策だけ特化することは、全体の「セキュリティの桶」の観点ではどこまで有効なのだろうか。
もちろんこれらのセキュリティ項目のセキュリティ対策はきちんと対策されている場合。
そしてOSのセキュリティパッチはきちんと最新版を適用させている。もちろん脆弱性の懸念があるInternetExploreやAdobe Flashなどの使用は禁止する。
これらの対策が行われた上で、更にマルウェア攻撃の対策のためにEDRやNGAVを検討するのは重要なことである。
セキュリティは脆弱なところから破られる。
自社のセキュリティ対策で重要なのは、自社の桶はどこが一番弱いかを知り、まずそこから対策することだ。
不安を煽るニュースに踊らされ、漠然とセキュリティツールを導入することに、本当に効果があるのかというのが、我々のゼロトラストFTAが提唱している考え方である。
経営者やITセキュリティの責任者の方に問いたい。
まとめ
・ファイルレス攻撃はマルウェアの主流となり始めている。
・ファイルレス攻撃は従来のアンチウイルスソフトのシグニチャ方式では検出できない。
・しかしアンチウイルスソフトでもファイルレス攻撃に対応した製品はある。
・もちろんERRやNGAVなどの製品はファイルレス攻撃に効果的ではあるが(マルウェア感染以外の)他の脆弱性も同じ水準で対策されていることが重要。
【2021年版】ゼロトラストFTAガイドブック(無料)はこちらからダウンロード出来ます。本ガイドブックが、一社でも多くの企業のセキュリティ対策に役立つことを願っています。
参考文献
*01 WatchGuard「Internet Security Report」
https://www.watchguard.com/wgrd-resource-center/security-report-q4-2020
*02 Microsoft Security Response Center「はい、これで見えますね: ファイルレス マルウェアをさらけ出す」
https://msrc-blog.microsoft.com/2018/02/06/now-you-see-me-exposing-fileless-malware/