ファイルレスマルウェアはさまざまな意味で興味深い課題として、セキュリティ専門家から注目されている。ストレージには何も書き込まれないため、シグネチャベースのアンチウイルスソフトウェアなどの標準的なセキュリティ製品は弱体化するか、または完全に役に立たない存在となる。
本記事は、プレミアムコンテンツ「Computer Weekly日本語版 4月18日号」(PDF)掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。
なお、同コンテンツのEPUB版およびKindle(MOBI)版も提供しています。
さらに、マルウェアに埋め込まれた命令を実行する際、「Windows PowerShell」や「Windows Management Instrumentation」(WMI)などの信頼性が高いプログラムを利用するため、その命令は正当なものとして扱われる。
そこで次のようなジレンマが生じる。システムやアプリケーションを自分自身から守るにはどうすればいいのか。また、正当なプログラムが不正なコマンドを実行することを阻止するために、セキュリティ制御をどのように配備すればいいのか。
やるべきことは4つある。
まず、人間はどこで過ちを犯すかという要因を考慮しなければならない。ファイルレスマルウェアからのアクセスを許す場所として最も一般的なのは、マルウェアを仕込まれたWebサイトや、そうしたWebサイトへのリンクを含んだ電子メールだ。
「メールに書かれているリンクをクリックするのはやめよう」というメッセージを人々に広く伝えて理解を得るのは困難なことだ。だが、それでもこのメッセージを強く打ち出して、ユーザーが安全に利用できるように、啓発し続ける必要がある。「4つの目(eyes)は1回のクリックよりも有能」という名言もある。利用者の使い方に不安がある場合は、それを非難するのではなく、周りに助けを求めようと思わせる環境作りに注力すべきだ。
第二に、必要以上のリスクを負わないように、OSにパッチを適用しておくなどの保守作業もやはり重要だ。PowerShellとWMIを完全に無効にすることはできないが、セキュリティ更新プログラムを実行すれば、ファイルレスマルウェアでエンコードされている攻撃の被害を最小限に抑えられる。
ユーザーとアプリケーションに最小限の権限だけを付与すると、PowerShellのログ出力機能とConstrainedLanguage(制限付きの言語)モードの実装と同様に、影響を最小限に抑えることができる。
本記事は抄訳版です。全文は、以下でダウンロード(無料)できます。
■Computer Weekly日本語版 最近のバックナンバー
Computer Weekly日本語版 4月4日号 開発者を悩ませるモバイル機器最前線
Computer Weekly日本語版 3月20日号 音声アシスタントアプリ開発のヒント
Computer Weekly日本語版 3月7日号 逆に考えるんだ「GDPRはチャンスだ」と
ツイートから見る訪日外国人の高評価観光スポット――東京海上日動火災保険とNTTデータ調査
ソーシャルビッグデータを活用した全国インバウンド観光調査の結果です。
AmazonがAppleとGoogleを抑えトップブランドに――BrandZ 2019
世界最大級の広告代理店WPPとその調査・コンサルティング業務を担うKantarによる「世界で...
人工知能「Adobe Sensei」は日本のデジタル広告市場をどう変えるのか
「Adobe Advertising Cloud」の事業責任者に広告業界で経験豊富なエキスパートが就任。日...
ITmediaはアイティメディア株式会社の登録商標です。
