最新のセキュリティ対策は、先進のAI(人工知能)や機械学習などの脅威防御技術を融合することで、マルウェアやその他の脅威の特定および防御機能を向上させる一方、サイバー攻撃者は常に、これらの対策技術による検出を回避するための技術を生み出しています。その中で最も巧妙な回避手法の1つが「ファイルレス活動」です。ファイルレス活動ではシステム内に侵入する際、実行可能なマルウェア本体をファイルとして保存しません。システム内に標準搭載されるWindows正規ツールを悪用して攻撃を開始し、実行可能ファイルに依存せずに攻撃を持続化させます。
トレンドマイクロの2019年年間セキュリティラウンドアップでは、一般に蔓延するファイルレスの脅威の最新情勢について報告しました。トレンドマイクロでは、事後対処を行うEndpoint Detection and Response(EDR)などの技術を通じてファイルレス活動の痕跡を追った結果、過去1年間で140万件を超えるファイルレス活動関連の検出を確認しました。ファイルレス活動によって可能になる活動のステルス性や持続性を考えると、この検出動向は予測されていたものと言えます。また攻撃の際に、ファイルレス活動のためのコンポーネントや技術の使用が確認された数多くのマルウェアの拡散活動の事例を踏まえると、ファイルレス活動が増加傾向にあるのは明らかでした。
■ファイルレス活動:不正ソフトウェアをインストールせずにシステム内へ侵入
「ファイルレス」という用語は、マルウェアの本体がファイルを要せずPCのメモリ内に存在することを示唆します。ファイルレス活動の機能性は、実行、情報窃取、および活動の持続化に寄与するものです。攻撃の流れにおいては、終始「ファイルレス」である必要はありません。最終的にマルウェアの本体がファイルとして存在しない状態であることを示しています。
ファイルレス活動では実行後に痕跡を残さないため、検出や調査が困難となります。ファイルレス活動は攻撃者に対しシステムへのアクセスを可能にし、その後の不正活動も継続できるようにします。攻撃者は、脆弱性を利用する攻撃方法である「エクスプロイト」、正規ツール、マクロ、およびスクリプトを使用することで、システム侵害や特権の昇格、およびネットワーク内での拡散活動を可能にします。
ファイルレス活動は、従来型セキュリティ対策ソフトの検出を回避するのに効果的です。これは、従来型セキュリティ対策ソフトがPCのディスクに書き込まれたファイルをスキャンし、不正かどうか評価するよう動作するためです。スキャンの対象であるファイルが存在しなければ、当然検知もできません。このような脅威は、システムメモリ内での実行やレジストリ内での常駐、あるいは、PowerShell、Windows Management Instrumentation(WMI)、PsExecなど通常はホワイトリスト登録されている正規ツールを悪用して、見えない形で攻撃を進行します。
ファイルレスの脅威の多くは、Windows OSの標準機能であるPowerShellのタスク自動化および構成管理フレームワークを悪用します。Microsoftのフレームワークは重要なシステムやアプリケーション機能を実行するアプリケーション・プログラミング・インターフェイス(API)にアクセスします。攻撃者はこれらの標準機能を、ペイロードの配布や不正コマンドをファイルレスで実行するための攻撃手法として悪用します。
一方、WMIは、エンドポイントのシステムタスクを実行するために使用されるもう1つの既知のWindowsアプリケーションであり、ファイルレス活動を実行するのに好都合です。攻撃者は、WMIをコードの実行や水平移動、あるいは活動の持続化のために悪用します。さらにWMIリポジトリは、定期的に呼び出される不正なスクリプトを格納するために利用されます。PowerShellとWMIは一般的に、システム管理タスクの自動化のため、企業内ネットワークで利用されます。攻撃者は通常、これらの正規ツールを不正に利用することで、従来型のシグネチャベースの検出システムを回避し、持続性の維持や情報窃取、あるいはその他の不正活動を実行します。
ファイルレス活動自体は決して目新しい手法ではありませんが、多くの攻撃者の常套手段となりつつあります。一般に蔓延するファイルレス活動や注意すべき手法、および攻撃者によるセキュリティ侵害を抑止するために採用できるセキュリティ対策について解説したインフォグラフィック「Fileless Threats 101:Fileless Attack Work and Persist in Systems」(英語)も合わせてご参照ください。
■ファイルレスの脅威への対策
ファイルレス活動で使用する技術の多くは、攻撃の持続化を可能にするものです。これは、企業組織が利用する社内インフラストラクチャの整合性に影響を与える可能性があります。別個のバイナリまたは実行可能ファイルがないにもかかわらず、ユーザや企業は依然としてファイルレスの脅威を阻止できる対策を講じることが可能です。
ファイルレス活動に対抗し脅威を軽減させるには、1つの対策技術だけに特化しない「多層防御」によるアプローチが必要です。企業組織はシステム保護に加え、未使用または重要でないアプリケーションのアンインストール、およびネットワークトラフィックを監視する必要があります。挙動監視機能を採用することで、PowerShellやWMIなどの正規ソフトウェアやアプリケーションに対する不正変更の追跡を可能にします。カスタムサンドボックスや侵入検知および防止システム(IDS/IPS)は、コマンド・アンド・コントロール(C&C)通信やデータ漏洩などの不審なトラフィックを阻止することにも役立ちます。
■トレンドマイクロの対策
法人利用者では、複数のレイヤーを複数の技術で守る、多層防御が特に効果的です。防護のポイントとして、メール、Webなどのゲートウェイでの防御、エンドポイントでの防御、内部ネットワークとサーバでの防御が特に重要です。法人向けのエンドポイント製品「Trend Micro Apex One™」や中小企業向けのクラウド型エンドポイントセキュリティサービス「ウイルスバスター™ビジネスセキュリティサービス」では、「FRS」技術によりウイルス検出と同時に、挙動監視機能(不正変更監視機能)の強化により、侵入時点で検出未対応のランサムウェアであってもその不正活動を検知してブロックできます。メール対策製品「Deep Discovery™ Email Inspector」や「Trend Micro Cloud App Security™」などで使用可能なサンドボックス機能も未対応のランサムウェアの検出に有効です。また、クロスジェネレーション(XGen)セキュリティアプローチにより、高い検出率と誤検出/過検出の回避を両立しつつ、コンピュータへの負荷軽減を実現します。「Trend Micro XDR」は、最も効果的なAIと専門家による分析を、お客さま環境内のセンサーから収集された活動データに適用して、誤検出が少なく精度が高いアラートを生成します。
参考記事:
- 「Security 101: How Fileless Attacks Work and Persist in Systems」
by Trend Micro
翻訳: 益見 和宏(Core Technology Marketing, Trend Micro™ Research)