サイバー犯罪者は、自身の攻撃を悟られないためになるべく痕跡を残さない攻撃手法を利用します。今回、トレンドマイクロは、マルウェア「JS_POWMET(パウメット)」(「JS_POWMET.DE」として検出)を起点とする不正活動において、より高度な「ファイルレス活動」が行われていることを確認しました。このスクリプト系マルウェアは、Windows のレジストリを利用した自動実行によって、遠隔操作サーバ(C&C サーバ)上から活動開始します。その後もマルウェアの不正コードをファイルではなくレジストリに保存して実行するなど、侵入段階から最終的に実行されるバックドア型マルウェアまで、物理的にマルウェア自体のファイルを作成せずに不正活動を遂行します。
近年では、2016 年末から標的型サイバー攻撃での使用が確認されている RAT「ChChes」をはじめ、2017 年 4 月に確認された暗号化型ランサムウェア「SOREBRECT」といった、ファイルを利用しないマルウェアによる攻撃が見られています。サイバー犯罪者にとって、マルウェアのファイルレス活動はセキュリティ対策の回避を可能にする非常に有効な攻撃方法です。多くのセキュリティ対策製品はマルウェア検出の際にファイル単位の検索を行うため、ファイルが存在しないと検出できなくなります。また、サンドボックスを利用したセキュリティリサーチャー・解析者にとっても、実行可能なファイルを作成しない感染手順は、解析困難なものとなります。ただし、これまで確認されていたファイルレス活動では、マルウェア本体を起動するためのコードなど、なんらかのファイルがどこかの段階で作成されており、実行可能な状態のマルウェア本体がファイルとして保存されないという状況を意味していました。しかし、今回確認された JS_POWMET では、確認されている範囲の活動においてはまったくファイルが作成されません。より完全な「ファイルレス」に近くなったものと言えます。
続きを読む