セキュリティの基礎知識

File Less Malware

ファイルレスマルウェアとは?

アンチウイルスやその他のセキュリティ製品は、主に検知によってランサムウェアからの保護を行います。その中には、シグネチャを使用するものもあれば、機械学習やヒューリスティックなどの手法を用いるものもあります。これらの技術は、既知の悪意のあるアプリケーションに対して非常に有効ですが、場合によっては未知のものにも有効です。しかしこれらの技術のほとんどは、新しい、あるいは未知のファイルレスマルウェアの検知には向いていません。


ファイルレスマルウェアは悪意のあるプログラムの一種ですが、特定のファイルを持ちません。これらのプログラムは、通常メモリ(RAM)上でのみ実行されます。以前は、コンピュータを再起動してRAMをクリアすれば、このようなマルウェアを削除することができました。しかし今日では、これらのファイルレスマルウェアプログラムは、レジストリ、PowerShell、WMIデータストア、またはその他のオペレーティングシステムの機能を使用して、マシン上に持続的に存在するようになっています。


一般的な技術では、ファイルをスキャンして、ファイルに関する特定の機能、パターン、悪意のある特性や属性を探すことでマルウェアを検知するため、これらの技術ではファイルレスマルウェアの検知は難しいのです。ファイルが存在しないため、どんなに効果的な検知手段を使っても検知することはできません。


マルウェアの作者は、自分の作品を検知されないようにするために、ファイルレス型を使用することが多くなっています。PoweliksやYeabests.ccは、ファイルレス型の良い例です。しかし、ファイルレス技術を使用しているのは、クリックボットやブラウザハイジャッカーだけではありません。Sorebrectのようなランサムウェアも、検知を回避するためにファイルレス技術を使用しています。