みなさんが業務で使われているPCには、ウイルス対策ソフトが入っていると思います。ウイルス対策ソフトは、受信したメールやアクセスしたサイトに蔓延するマルウェアをいち早く特定し、エンドポイントのマルウェア感染を防ぐことができます。PCを買ったら最初に導入すべき、お守りのようなソフトウェアでしょう。
しかし、近年は「ウイルス対策ソフトを入れていたのにマルウェア感染してしまった…」というケースが増加しています。ウイルス対策ソフトによる検知が難しい厄介なマルウェア、その正体は“ファイルレスマルウェア”と呼ばれています。ファイルレスマルウェアは、エンドポイントのOS、アプリケーションなどの脆弱性を利用し、ファイルを使用せずに悪意のあるコードやプログラムを実行するマルウェアです。現在もその勢いは衰えることなく、年々増加傾向にあります。
今回より、シーイーシーセキュリティオペレーションセンター（CEC SOC）のセキュリティアナリストが、近年猛威を振るうファイルレスマルウェアの脅威や対策、代表的なマルウェアについて前編・後編に分けて解説します。
前編では、「従来型マルウェアとファイルレスマルウェアの違い」「ファイルレスマルウェアの脅威」について解説します。

従来型マルウェアとファイルレスマルウェアの違い

先述のとおり、ファイルレスマルウェアは「エンドポイントのウイルス対策ソフト（Endpoint Protection Platform 以下、“EPP”）による検知が難しい」という特徴があります。

では、EPPによる検知が容易であった従来のマルウェアとファイルレスマルウェアの攻撃手法には、どのような違いがあるか見てみましょう。なお、従来型マルウェアはさまざまな種類が存在しますが、代表的なものとして4つを挙げています。

上記のとおり、従来型マルウェアはいずれも脅威となりますが、攻撃を仕掛けるために悪意のあるファイルやプログラムを対象エンドポイントのディスク内に保存する、という共通点があります。つまり攻撃されたエンドポイント内に痕跡が残るのです。したがって、EPPによる検知が比較的容易となります。

一方、ファイルレスマルウェアはファイルを使用せずにメモリ内で実行されます。メモリは処理を終えると内容が消去されるため、不審な動作が行われた痕跡が残りません。したがって、EPPによる検知が困難となります。

ファイルレスマルウェアの感染経路と被害の特徴について、もう少し詳しく見てみましょう。

感染の引き金となるメールの大半は正規メールを模倣しています。一昔前の不審なメール（迷惑メール）は一目で不審であると見分けられるケースが多い印象でした。しかし、昨今のそれは巧妙に作り込まれており、不審なメールであることに気づくことが困難となっています。

ファイルレスマルウェアへ感染すると、従来型マルウェアと同様に機密情報が漏えいする恐れがあるほか、他のマルウェアに感染するリスクも浮上します。
さらに、感染したエンドポイントは攻撃者によって遠隔操作が可能となります。その結果、エンドポイントを乗っ取られる、感染拡大のために他のエンドポイントへの攻撃に利用されるなど、二次的な被害も深刻化する可能性があります。

まとめ

近年ファイルレスマルウェアが猛威を振るっておりますが、その背景には感染しても“不審な動作が行われた痕跡が残らない”ことで、EPPによる検知が難しいことが挙げられます。
それでは、そんな厄介なファイルレスマルウェアはどのような対策が有効でしょうか。
後編では、ファイルレスマルウェアの代表格“Emotet（エモテット）”や、ファイルレスマルウェアの対策についてご紹介しますので、ぜひご覧ください。