2018年04月20日 08時00分 公開
特集/連載

正当なアプリが不正なコマンドを実行検知できない「ファイルレスマルウェア」対策の第一歩

PowerShellやWMIなど、OSに組み込まれた「OSに信頼されている」プログラムに不正なコマンドを実行させるファイルレスマルウェアが注目されている。「ファイルレス」故に生じる問題とは?

[Adrian Davis,Computer Weekly]
Computer Weekly

 ファイルレスマルウェアはさまざまな意味で興味深い課題として、セキュリティ専門家から注目されている。ストレージには何も書き込まれないため、シグネチャベースのアンチウイルスソフトウェアなどの標準的なセキュリティ製品は弱体化するか、または完全に役に立たない存在となる。

Computer Weekly日本語版 4月18日号無料ダウンロード

本記事は、プレミアムコンテンツ「Computer Weekly日本語版 4月18日号」(PDF)掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。

なお、同コンテンツのEPUB版およびKindle(MOBI)版も提供しています。

ボタンボタン

 さらに、マルウェアに埋め込まれた命令を実行する際、「Windows PowerShell」や「Windows Management Instrumentation」(WMI)などの信頼性が高いプログラムを利用するため、その命令は正当なものとして扱われる。

 そこで次のようなジレンマが生じる。システムやアプリケーションを自分自身から守るにはどうすればいいのか。また、正当なプログラムが不正なコマンドを実行することを阻止するために、セキュリティ制御をどのように配備すればいいのか。

 やるべきことは4つある。

 まず、人間はどこで過ちを犯すかという要因を考慮しなければならない。ファイルレスマルウェアからのアクセスを許す場所として最も一般的なのは、マルウェアを仕込まれたWebサイトや、そうしたWebサイトへのリンクを含んだ電子メールだ。

 「メールに書かれているリンクをクリックするのはやめよう」というメッセージを人々に広く伝えて理解を得るのは困難なことだ。だが、それでもこのメッセージを強く打ち出して、ユーザーが安全に利用できるように、啓発し続ける必要がある。「4つの目(eyes)は1回のクリックよりも有能」という名言もある。利用者の使い方に不安がある場合は、それを非難するのではなく、周りに助けを求めようと思わせる環境作りに注力すべきだ。

 第二に、必要以上のリスクを負わないように、OSにパッチを適用しておくなどの保守作業もやはり重要だ。PowerShellとWMIを完全に無効にすることはできないが、セキュリティ更新プログラムを実行すれば、ファイルレスマルウェアでエンコードされている攻撃の被害を最小限に抑えられる。

 ユーザーとアプリケーションに最小限の権限だけを付与すると、PowerShellのログ出力機能とConstrainedLanguage(制限付きの言語)モードの実装と同様に、影響を最小限に抑えることができる。

この記事を読んだ人にお薦めの関連記事

注目テーマ

ITmedia マーケティング新着記事

news018.jpg

2018年新卒の約6割が入社を後悔――レバレジーズ調べ
レバレジーズは、2018年に新卒入社した人を対象に、就職先に関する意識調査を実施しました。

news005.jpg

小さく始めるHubSpot、マーケティングの流れにそってバランス良く施策を実践しよう
HubSpotで始めるマーケティング。最初の一歩はここから始めましょう。

news088.jpg

アライドアーキテクツ、ファンマーケティングクラウド「ブランドタッチ」を提供開始
アライドアーキテクツは、ブランドの支持者を発掘し、起用を支援するクラウドサービス「...