年々、企業に対するサイバー攻撃は増加・巧妙化しています。その中でも特筆すべき攻撃手段の一つとして挙げられるのが、2016～2017年ごろより被害の事例をたびたび目にするようになった「ファイルレスマルウエア」です。
一体、ファイルレスマルウエアとはどういった攻撃手段で、なぜ現在脅威となっているのか。また、我々はどのように対策すればいいのか。
情報セキュリティ担当でなくとも知っておきたいファイルレスマルウエアの基本を押さえましょう。

ファイルレスマルウエアは“実行ファイルをインストールさせずにサイバー攻撃を行う”

ファイルレスマルウエアとは、実行ファイルをPCにインストールさせずにサイバー攻撃を行うマルウエア（malware：maliciousware = 悪意のあるソフトウエア）です。またそのようなサイバー攻撃を「ファイルレス攻撃」と称します。

拡張子.exe/.bat/.scrといった実行ファイルをインストールする代わりに、ファイルレスマルウエアはWindows標準搭載の管理ツール『PowerShell』や、『WMI（Windows Management Instrumentation）』、あるいはWordやExcelのマクロなどを利用して攻撃を行います。このようにPCに標準搭載の機能を悪用して行う攻撃はLotL（Living off the Land：環境寄生型）攻撃ともいい、ブラックリストによる被害の防止や、ウイルス対策ソフトによる検知が通用しにくいという特徴を持ちます。

ファイルレスマルウエアの攻撃プログラムはHDD、SSDなどのディスクではなく、PCの電源を切ると失われるメモリ上で実行される点もまた、対策の困難さを高めています。

2014年以降、たびたび流行を繰り返し、警察庁サイトでも注意喚起が掲載されている『Emotet（エモテット）』もファイルレス攻撃を行うマルウエアの一種であり、『コンピュータウイルス・不正アクセスの届出状況［2022 年（1 月～12 月）］』（独立行政法人情報処理推進機構 セキュリティセンター）において、同ウイルスの感染被害が2022年には145件寄せられたことが報告されています。

ほかにもIcedID、Gold Dragonなど近年数多くのマルウエアによるファイルレス攻撃の事例が報告されており、その攻撃件数は右肩上がり、攻撃の成功率は通常のマルウエアの数倍以上におよぶとの報告もあります。

ファイルレスマルウエアにはどのように対抗すればいいのか

巧妙なファイルレス攻撃にはどのように対抗すればよいのでしょうか？

第一に挙げられるのは、「不審なファイルやURLは開かない」という意識を徹底共有するということです。「ファイルレスマルウエア」とはいっても、きっかけとなるのは.rtf/.lnk/.xls /.docといった形式の悪意を持って送付されたファイルにアクセスすることだからです。もし仮に不審なファイルを開いてしまったとしても、「マクロを有効にする」「コンテンツの有効化」といったボタンはクリックせず、すぐに情報セキュリティ担当者に報告・相談してください。

また、利用しない場合はPower Shellやマクロを無効化しておくのも対策となるでしょう。

とはいえ、それらのツール・機能の利便性は高く、業務に欠かせないという方も少なくないはず。そのような場合は「Antimalware Scan Interface」（AMSI）や「Windows Defender」、Power Shell搭載のセキュリティ機能などによる対策を徹底することが重要です。また、インシデント発生後の異常をふるまい検知によってアラートする機能を持つEDR（Endpoint Detection and Response）など多層的な防御を施すことも重要でしょう。

ファイルレス攻撃は進化を続けている──マクロレス攻撃とは？

20年以上前にはすでに誕生していたファイルレスマルウエアですが、近年特に拡散され、進化してきています。

例えば、マクロを利用した攻撃手段に対し、デフォルトでマクロを無効化しておくという対策が普及したことを受け、広まったのが「マクロレス攻撃」です。その仕組みは、文書内に埋め込んだ動画やSettingContent-msファイルのコードを書き換え、悪意のあるプログラムを実行させるというもの。また、メール本文やOffice文書に記載したURLから悪意あるウェブサイトへ誘導する手法も存在します。

こうした手法に対しMicrosoftや多くのセキュリティベンダーも対策を講じていますが、攻撃者の側もさらに手法を巧妙化させることは確実です。万全なセキュリティ体制を整えるとともに、もしファイルレス攻撃の被害に遭ってしまった場合も被害を広げないためのガイドラインを設け、周知しておくことが求められます。

ファイルレスマルウエアでも、対策の第一歩は“不審なファイルは開かない”

近年増加・巧妙化の進むファイルレスマルウエアとその対策手段についてご紹介しました。水際で被害を防ぐにあたっては、不審なファイルやURLを開かないことが一番の対策手段になることは、ファイルレスマルウエアであっても、従来のマルウエアであっても変わりません。正規のやりとりと誤認させるための手段も巧妙化していることを前提に、情報セキュリティ教育を行いましょう。その上で、EDRなど多層的な防御にももちろん、取り組むことをおすすめします。