セキュリティ事故が発生してしまった際の「インシデントレスポンス」をテーマとしたセミナー「インシデント企業に学ぶ!事故対応の勘所セミナー」が、3月16日、新宿ミライナタワーのマイナビルームにて開催された。その中でFFRIの岡田一彦氏は、「高度化する標的型攻撃にエンドポイント保護の重要性~ファイルレスマルウェアの脅威~」と題してセッションを行った。

従来のファイル型マルウェアの10倍近い成功率「ファイルレス攻撃」の実態

高度化したマルウェアを用いたサイバー攻撃による被害が後を絶たない。そこで被害を報じるニュースに注目が集まるわけだが、注意したいのが、被害にあった企業や組織がセキュリティ対策を怠っていた訳ではないという点だ。サイバー攻撃自体がこれまでのセキュリティ対策を掻い潜るような手法がとられており、防御する側よりも攻撃側の進化スピードが勝っていることが伺えるのである。最近では特に、実行ファイル形式を使わない「ファイルレス」と呼ばれるサイバー攻撃が増えていることも、攻撃の進化の象徴と言えるだろう。このような動向を踏まえ岡田氏は、近年のファイルレスマルウェアによる攻撃の手口について紹介するとともに、未知のマルウェアに対してどのような対策が必要なのかを解説した。

ファイルレスマルウェアとは、ディスク上に保存された実行ファイルを使用せずに、メモリー上で不正なコードを実行するマルウェアを指し、2016年から2017年にかけて急激に増加している攻撃手法だという。さらに、過去12ヶ月にサイバー攻撃によるITインフラやデータの侵害を経験したとするITセキュリティ担当者のうち、実に77%がファイルレス攻撃によるものであったと回答している。

岡田氏は、「ファイルレス攻撃の成功率はファイル型の攻撃の10倍近く高く、一般的なマルウェアによる攻撃を念頭に置いた対策とは考え方を変える必要があります」と警鐘を鳴らす。

最新のサイバー攻撃であるファイルレス攻撃では、実行形式ではないショートカットファイルやスクリプトファイル、レジストリを使用し、Windowsに標準で備わるPowerShellを用いたPCのメモリー上に悪意あるコードを展開し実行する。

「PowerShellは強力なツールなので、これを悪用して感染端末を遠隔操作するなどの攻撃手口が多い」と岡田氏は説明する。

ファイルレス攻撃の大きな特徴の1つが、実行ファイルを使用しないメモリーベースの攻撃であり、Windowsの正規コマンドやプログラムが使用されることにある。メモリー上だけで稼働するので、再起動するとマルウェアが消去され、痕跡が残らないことから、発見が極めて困難となるのだ。

また、ファイルレス攻撃の他の特徴として、スクリプトやコマンドを難読化してしまう点や、アイコンや拡張子を偽装してしまう点も挙げられる。後者は、ショートカットファイルのアイコンや拡張子が変更できるというWindowsの仕様を悪用したものだ。

「こうして難読化されて一見するとどのような指示が埋め込まれているかわからないスクリプトが、テキストファイル等を装ったショーットカットから実行されてしまうのである」(岡田氏)

  • ファイルレス攻撃の手口

    ファイルレス攻撃の手口

国内でも、2013年頃からショートカットファイルを使用した標的型攻撃が観測されており、2016年頃からは上述のPowerShellを悪用した攻撃が確認されている。また、2017年初頭には、独立行政法人を狙った標的型攻撃でファイルレスマルウェアが使用されている。

ファイルレスマルウェアは、メモリー上に展開されるため、既存のセキュリティ対策製品では基本的にスキャンの対象外となってしまい検知が困難だ。加えて、通常Windows標準ツールの動作の場合はログも残らないことから攻撃の検知のみならずその後の攻撃手法の特定も難しい。

岡田氏はこう強調する。「“ファイルレス”と言っても、現在のマルウェアは感染経路となるファイルは存在します。それが将来、不正なスクリプトが直接実行され検体が残らないような“真のファイルレス攻撃”の出現によりさらに検知が困難になるのではないかと危惧しています」

エンドポイントでの多層防御でファイルレスマルウェアを検知・防御

ファイアウォールやIPS、URLフィルター、スパムフィルター、アンチウイルスといった既存のセキュリティ対策をすり抜けてしまうファイルレス攻撃をどのように防げばいいのだろうか。岡田氏が最も効果的とするのが、エンドポイントによる対策である。エンドポイントの特徴として、実際にマルウェアが動き出す唯一の「現場」であることから検知=防御が可能であること、マルウェア侵入・感染、動作など悪意ある行動はエンドポイントで発生するため検知できるタイミングが多いこと、そして社内ネットワークに接続していない状況等、環境に依存せず検知・防御可能であることがある。

しかしながら、パターンマッチング型のマルウェア対策では未知のマルウェアは防げない。対して振る舞い検知型マルウェア対策であれば、定義ファイルに依存しないため動きを捉えて未知のマルウェアも防御可能だ。

そこで、“先読み技術”によるファイルレスマルウェアを検知・防御するのが、FFRIが提供する「FFRI yarai」(以下、yarai)である。yaraiには、5つの振る舞い防御エンジンが搭載されており、エンドポイントによる多層防御を行うことでファイルレス攻撃を防ぐことが可能だ。

  • FFRI yaraiの5つの振る舞い防御エンジン

    FFRI yaraiの5つの振る舞い防御エンジン

岡田氏は言う。「通常、PCにはアンチウイルスソフトしか入ってないと思われる方も多いかもしれませんが、PCこそ多層防御していただきたいと思います。既存のアンチウイルスソフトはそのままで、そこにyaraiをインストールしていただくことで、アンチウイルスソフトが検知できないマルウェアをyaraiで検知・防御する運用が可能となります」

実際、yaraiによるファイルレスマルウェアを含む未知のマルウェアの検知・防御実績は際立っており、主だったランサムウェアやバンキングマルウェア、標的型攻撃等を見ても、発生報道時期よりも防御エンジンのリリース時期が7ヶ月から10ヶ月も前であること多い。

「これこそがyaraiの「先読み技術」であり、既存のセキュリティ対策では検知が困難なファイルレス攻撃にyaraiによる振る舞い検知とエンドポイント多層防御が効果的であることを実証しています」と岡田氏は力説した。

マルウェアの自動解析でタイムリーな初動対応を支援

一般的なマルウェア感染/発見時のインシデント対応では、解析結果の入手に時間がかかるため即座に対策できないという課題がある。また、セキュリティ人材の不足もあり、迅速な初期対応がリソース的に難しい場合もある。そこで、高度な知識と技術が必用とされるマルウェアの解析を自動化する製品が、FFRIの「FFRI yarai analyzer」(以下、yarai analyzer)である。もしマルウェアを検知=インシデントが発生した際には、不審なファイルをフォルダーに保存するだけで、yarai analyzerが即座に解析して、結果を日本語でレポート化する。

  • インシデント発生時の対応(例)

    インシデント発生時の対応(例)

「マルウェアによる被害状況やリスクを簡単に可視化できるため、インシデントレスポンスの時間を大幅に短縮し被害を最小化することが可能となります。yaraiでファイルレス攻撃などの未知のマルウェアを防御し、さらにyarai analyzerで解析をすることで、感染させることなく迅速な初動対応が実現できることをぜひ知っていただきたいです」──最後に岡田氏はこう訴えて壇を後にした。

[PR]提供:FFRI