ファイルレスマルウェアとは｜仕組み・対策 | london3.jp

概要

ファイルレスマルウェア（fileless malware）とは、その名のとおりディスク上に実行ファイルをほとんど残さず、メモリ上やOS標準の正規ツールを悪用して活動するマルウェアです。「ファイルがない」ため、ファイルを調べる従来型のウイルス対策ソフトでは検知が困難です。

WindowsのPowerShellやWMIなど、OSに最初から備わっている正規の機能を悪用する手法は環境寄生型攻撃（LOTL：Living Off The Land）とも呼ばれ、近年の高度な攻撃で多用されています。

詳細（仕組み・検知が難しい理由）

典型的な動作

不正なマクロやスクリプトを実行させる（メール文書など経由）。
ディスクに保存せず、メモリ上で不正コードを展開・実行する。
PowerShellなどの正規ツールを使って活動するため、不審に見えにくい。
再起動でメモリが消えるため、痕跡が残りにくい。

ファイルレスマルウェアのキーワードは「ファイルを残さない」「メモリ上で動く」「正規ツール（PowerShell等）を悪用」。パターンマッチング型では検知しにくく、振る舞い検知（EDR）が有効という流れが頻出です。

対策

ファイルではなく挙動（振る舞い）を監視する EDR を導入する。
不要なPowerShell・マクロの実行を制限し、実行ログを記録・監視する。
OS・アプリのパッチ適用で、入口となる脆弱性をふさぐ。
メール添付の文書のマクロを既定で無効化する。
最小権限の原則で、悪用された場合の被害を抑える。

「ファイルを調べる」発想の対策では追いつかないため、「何をしているか（振る舞い）」を見るEDRやログ監視が中心になります。ウイルス対策との違いを意識すると理解が深まります。

インシデント事例

PowerShellを悪用した標的型攻撃

標的型攻撃やランサムウェア攻撃の侵入後活動で、PowerShellを悪用してファイルを残さずに内部偵察・権限昇格・横展開を行う事例が多数報告されています。ウイルス対策ソフトをすり抜けて長期間気づかれなかったケースもあります。

マクロからのメモリ展開

不正マクロ付き文書を起点に、ディスクに保存せずメモリ上で不正コードを実行する攻撃が確認されています。マクロの無効化と振る舞い検知が有効な対策でした。

試験での問われ方

「ディスクにファイルを残さず、メモリ上や正規ツールを悪用するマルウェアはどれか」→ ファイルレスマルウェア。
「パターンマッチングでは検知が難しいマルウェアへの有効な対策はどれか」→ EDR・振る舞い検知。