痕跡ゼロ? メモリ常駐で検出を妨害する「インメモリマルウェア」の脅威数年も検出されない例も

メモリ常駐型のマルウェアを利用したサイバー攻撃が相次いで明るみに出ている。国家レベルでの関与も疑われる事例も明るみに出た。現状と対策をまとめる。

2014年01月29日 08時00分 公開
[Antone Gonsalves,TechTarget]

 米セキュリティベンダーのFireEyeは先日、同社ブログでゼロデイ攻撃を報告し、標的型攻撃が、より短期間なメモリ常駐型のマルウェア(インメモリマルウェア)を利用したものへと移行しつつことを示唆した。同社によると、米国内で活動している民間のシンクタンクが標的型攻撃のターゲットとなったといい、この攻撃には国家政府が間接的に関与している疑いがある。FireEyeは標的となった組織名の公表を拒否し、国内外の安全保障政策に特化した組織とだけ説明している。

 攻撃者は標的組織のWebサイトへ侵入し、Webサイトの訪問者のクライアントPCのメモリに「Hydraq/McRAT」と呼ばれるマルウェアの亜種を仕込んだ。当時まだ見つかっていなかった「Internet Explorer」の脆弱性を悪用した。Windows端末に読み込まれたこのマルウェアは、攻撃用サーバであるコマンド&コントロール(C&C)サーバへアクセスして、命令を待つ状態になる。

 「そして攻撃者はマルウェアに感染したクライアントPCに、ファイルを探してダウンロードするよう手動で命令を送る。リモートデスクトップを操るのに似ている」と、同社の脅威インテリジェンス担当マネジャー、ダリアン・キンドランド氏は説明する。

ITmedia マーケティング新着記事

news158.png

売れるネット広告社、「売れるD2Cつくーる」にLP自動生成機能を追加
売れるネット広告社が「売れるD2Cつくーる」に、新たに「ランディングページ自動生成(AI...

news132.jpg

「Apple炎上」から何を学ぶか?(無料eBook)
Appleが新しい「iPad Pro」の広告用に公開した「Crush!」が世界中で大炎上したのは記憶に...

news105.jpg

Web担当者を悩ませる「フォーム営業」をブロック 「ヘルプドッグフォーム」に新機能
ノーコードのフォーム作成管理システム「ヘルプドッグフォーム」が「フォーム営業ブロッ...