検知できない「ファイルレスマルウェア」対策の第一歩正当なアプリが不正なコマンドを実行

PowerShellやWMIなど、OSに組み込まれた「OSに信頼されている」プログラムに不正なコマンドを実行させるファイルレスマルウェアが注目されている。「ファイルレス」故に生じる問題とは?

2018年04月20日 08時00分 公開
[Adrian DavisComputer Weekly]

 ファイルレスマルウェアはさまざまな意味で興味深い課題として、セキュリティ専門家から注目されている。ストレージには何も書き込まれないため、シグネチャベースのアンチウイルスソフトウェアなどの標準的なセキュリティ製品は弱体化するか、または完全に役に立たない存在となる。

Computer Weekly日本語版 4月18日号無料ダウンロード

本記事は、プレミアムコンテンツ「Computer Weekly日本語版 4月18日号」(PDF)掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。

なお、同コンテンツのEPUB版およびKindle(MOBI)版も提供しています。

ボタンボタン

 さらに、マルウェアに埋め込まれた命令を実行する際、「Windows PowerShell」や「Windows Management Instrumentation」(WMI)などの信頼性が高いプログラムを利用するため、その命令は正当なものとして扱われる。

 そこで次のようなジレンマが生じる。システムやアプリケーションを自分自身から守るにはどうすればいいのか。また、正当なプログラムが不正なコマンドを実行することを阻止するために、セキュリティ制御をどのように配備すればいいのか。

 やるべきことは4つある。

 まず、人間はどこで過ちを犯すかという要因を考慮しなければならない。ファイルレスマルウェアからのアクセスを許す場所として最も一般的なのは、マルウェアを仕込まれたWebサイトや、そうしたWebサイトへのリンクを含んだ電子メールだ。

 第二に、

ITmedia マーケティング新着記事

news018.jpg

Cookie廃止で広告主とデータプロバイダ、媒体社にこれから起きることとその対策
連載の最後に、サードパーティーCookie廃止が広告主と媒体社それぞれに与える影響と今後...

news100.jpg

メタバース生活者定点調査2023 メタバース利用経験は横ばいでも認知は向上
博報堂DYホールディングスによる「メタバース生活者定点調査2023」の結果です。メタバー...

news165.jpg

GoogleのBIツールからLINEにノーコードでデータ連携 primeNumberが「trocco action for Looker」を提供
primeNumberが「trocco action」の提供を開始。第一弾としてGoogleのBIツール「Looker」...