2018年04月20日 08時00分 公開
特集/連載

正当なアプリが不正なコマンドを実行検知できない「ファイルレスマルウェア」対策の第一歩

PowerShellやWMIなど、OSに組み込まれた「OSに信頼されている」プログラムに不正なコマンドを実行させるファイルレスマルウェアが注目されている。「ファイルレス」故に生じる問題とは?

[Adrian Davis,Computer Weekly]
Computer Weekly

 ファイルレスマルウェアはさまざまな意味で興味深い課題として、セキュリティ専門家から注目されている。ストレージには何も書き込まれないため、シグネチャベースのアンチウイルスソフトウェアなどの標準的なセキュリティ製品は弱体化するか、または完全に役に立たない存在となる。

Computer Weekly日本語版 4月18日号無料ダウンロード

本記事は、プレミアムコンテンツ「Computer Weekly日本語版 4月18日号」(PDF)掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。

なお、同コンテンツのEPUB版およびKindle(MOBI)版も提供しています。

ボタンボタン

 さらに、マルウェアに埋め込まれた命令を実行する際、「Windows PowerShell」や「Windows Management Instrumentation」(WMI)などの信頼性が高いプログラムを利用するため、その命令は正当なものとして扱われる。

 そこで次のようなジレンマが生じる。システムやアプリケーションを自分自身から守るにはどうすればいいのか。また、正当なプログラムが不正なコマンドを実行することを阻止するために、セキュリティ制御をどのように配備すればいいのか。

 やるべきことは4つある。

 まず、人間はどこで過ちを犯すかという要因を考慮しなければならない。ファイルレスマルウェアからのアクセスを許す場所として最も一般的なのは、マルウェアを仕込まれたWebサイトや、そうしたWebサイトへのリンクを含んだ電子メールだ。

 「メールに書かれているリンクをクリックするのはやめよう」というメッセージを人々に広く伝えて理解を得るのは困難なことだ。だが、それでもこのメッセージを強く打ち出して、ユーザーが安全に利用できるように、啓発し続ける必要がある。「4つの目(eyes)は1回のクリックよりも有能」という名言もある。利用者の使い方に不安がある場合は、それを非難するのではなく、周りに助けを求めようと思わせる環境作りに注力すべきだ。

 第二に、必要以上のリスクを負わないように、OSにパッチを適用しておくなどの保守作業もやはり重要だ。PowerShellとWMIを完全に無効にすることはできないが、セキュリティ更新プログラムを実行すれば、ファイルレスマルウェアでエンコードされている攻撃の被害を最小限に抑えられる。

 ユーザーとアプリケーションに最小限の権限だけを付与すると、PowerShellのログ出力機能とConstrainedLanguage(制限付きの言語)モードの実装と同様に、影響を最小限に抑えることができる。

この記事を読んだ人にお薦めの関連記事

注目テーマ

ITmedia マーケティング新着記事

news144.jpg

オフライン広告の効果可視化とマーケターの働き方改革に向け、サイカとインテージが業務提携
サイカとインテージは業務提携を行い、オフライン広告の効果測定における汎用的な分析ソ...

news027.jpg

電通など3社、“人”基点でコンテンツマーケティングを高度化する「People Driven Content Marketing」を提供
電通と電通デジタル、サイバー・コミュニケーションズの電通グループ3社は、“人”基点で...

news014.jpg

スマホサイトのユーザビリティ 業種別1位は通信、企業別では?――トライベック・ストラテジー調査
トライベック・ストラテジーとトライベック・ブランド戦略研究所は、「スマートフォンユ...