見出し画像

セキュリティ用語の基礎知識近年増加傾向にある『ファイルレス攻撃』の仕組みとは

株式会社ハイパー公式note

最近、ファイルレス攻撃が増えていると言われています。名前が示す通り、実行形式のファイルやOfficeのマクロなどは実体としてマルウェアのファイルが存在しないため、ウィルス対策ソフトなどのチェックをすり抜けてしまう厄介な攻撃です。
サイバー攻撃全体から見れば、ファイルレス攻撃の観測数はそれほど多くありません。しかし、ファイルレス攻撃から始まったランサムウェア被害も報告されており予断を許しません。

そこで今回はファイルレス攻撃の仕組みについて解説します。

ファイルレス攻撃の仕組み


ファイルレス攻撃は実行ファイル、マクロやスクリプト、あるいは画像ファイルなどを装ったファイルが残りません。そのため、マルウェアを介さない攻撃と思われるかもしれませんが、攻撃的なコードをメモリ上で不正に実行するプログラムは存在するため、「ファイルレスマルウェア攻撃」と呼ばれることもあります。

Windowsに標準で組み込まれたツールである「PowerShell」や「Windows Management Instrumentation(WMI)」などを乗っ取ることで、ランサム攻撃のためのマルウェアをこっそりダウンロードして実行する、機密情報を窃取する、あるいは別の組織に対する攻撃の踏み台にされるといった攻撃に悪用されるケースが多く、被害はWindows系のOSがインストールされたPCやサーバーに集中しているのもファイルレス攻撃の特徴です。

これらのWindowsツールは、システム管理者にとってとても利便性が高いツールです。Windowsの主要な機能にアクセス可能であり、Windows上でコマンドラインの実行、アプリケーションの実行、ファイルの実行や削除、レジストリ値の変更などさまざまな操作ができます。また、PowerShell はWinRM(Windows Remote Management)と呼ばれる仕組みにより外部から操作することもできます。

こうした正規のツールを悪用しているため、振る舞い検知型のセキュリティソリューションでも発見が難しく、メモリ上にしか不正なプログラムは存在しないため、電源を切ってしまえば痕跡も残りません。また、実行するPowerShellのスクリプトを難読化して、どのような攻撃を実行するのかわかりにくくしていることもあります。

ファイルレス攻撃の入り口となるのはどこか

こうしたファイルレス攻撃の入り口となるのは、意外にも既存のマルウェア攻撃と同じようにメールに添付されたファイルや改竄されたWebサイトです。そう考えれば、厳密にはファイルレスとは呼べないかもしれません。

ただしファイルレス攻撃の場合、ウィルス対策ソフトが検知しにくいよう画像ファイルに密かに埋め込まれるなど、巧妙に偽装化されたスクリプトであることも多いようです。また、攻撃者が手動でハッキングを試みて侵入するといったケースもあり、特にテレワーク用に外部に開放されているVPNの入り口が狙われがちです。

不正なプログラムはメモリ上にしか存在せず、ファイルレス攻撃はネットワーク上の別の箇所に自分のコピーを作ろうとする振る舞いから検知されるケースもあるようです。しかし、より高度なファイルレス攻撃では、レジストリ、Windowsサービス、タスクスケジューラなどの中に、こっそりと最小限のスクリプトを残すような検知しにくい手口を使っています。なお、とても大胆な手口として、こっそりショートカットファイルのアイコンなどに偽装したファイルを残すことで再度実行を促す攻撃も確認されていますので、見覚えのないアイコンを見つけたらクリックせずに管理者に連絡してください。

ファイルレス攻撃の事例

実はファイルレス攻撃はそれほど新しい手口というわけではありません。ところが、最近になってハッキングの知識がなくてもファイルレス攻撃を実行できるハッキングツールがいくつか出回るようになったことで、被害件数が少しずつ増えています。

最近のファイルレス攻撃の事例で言えば、2018年2月に平昌オリンピックを狙ってチケットの発券を妨害する、一部のイベント開催を中止するといったトラブルの原因もファイルレス攻撃から始まったと言われています。

国内での事例を例に挙げると、三菱電機が2019年に発表した(公式発表は2020年1月)不正アクセス事件では、ファイル名を書き換えられたPowerShellが利用されています。この事件で感染したPCは100台を超えており、技術資料や報告書など社内向けの資料に加えて、防衛省からの「注意情報」も漏洩した可能性があると発表されています。

ファイルレス攻撃を防ぐために必要な対策
検知されにくいと言われているファイルレス攻撃ですが、最初の入り口は他のマルウェアと大差ありません。ただし、添付ファイルはウィルス対策ソフトの検知を潜り抜けることも多いため、「知らない添付ファイルはクリックしない」「アヤシイWebサイトにはアクセスしない」ということをユーザーに周知することが大切です。

サンドボックス型のセキュリティソリューションも有効です。すべての添付ファイルを、サンドボックス(砂場)と呼ばれる他に影響しない環境で安全に添付ファイルを開くことで、本当にそのファイルが安全なのかどうかを確認することができます。

いずれにしても、一度侵入されてしまうと、ファイルレス攻撃を発見するのは困難であるといえるでしょう。PowerShellの振る舞いを検知できるセキュリティソリューションも有効ではありますが、巧妙化するファイルレス攻撃といたちごっこになってしまいます。

もちろんMicrosoft側もPowerShellやWMIが狙われていることは理解しているため、セキュリティアップデートは頻繁に行われています。PCやサーバーの安全性を担保するためには、定期的なPCのUpdateはもちろん、緊急で更新されるセキュリティ対策も忘れずに適用するようにしましょう。

まとめ

・ファイルレス攻撃はファイルを残さない不正プログラムの攻撃
・ファイルレス攻撃はWindows標準のPowerShellやWMIを悪用する
・侵入されてしまうと発見が難しい

いいなと思ったら応援しよう!