ファイルレスマルウェア

Q: ファイルレスマルウェア とは何ですか?

ディスク上の従来型実行ファイルを使わず、主にメモリ上で動作して正規のシステムツールを悪用するマルウェア。 サイバーセキュリティの マルウェア カテゴリに属します。

Q: ファイルレスマルウェア からどのように防御しますか?

ファイルレスマルウェア に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。

監修Florian AmetteCybersecurity entrepreneur & security researcher

ファイルレスマルウェアとは何ですか?

ファイルレスマルウェアディスク上の従来型実行ファイルを使わず、主にメモリ上で動作して正規のシステムツールを悪用するマルウェア。

ファイルレスマルウェアは、PowerShell・WMI・.NET・WSH・Windows レジストリといった正規コンポーネント(LOLBins)を悪用してメモリ上で動作することにより、ディスク上の痕跡を最小化する。これは「Living off the Land」と呼ばれる手法である。初期コードはフィッシング文書、エクスプロイト、メモリ型ローダなどを通じて配信され、その後のステージはリフレクティブロードでメモリに展開され、ディスクへ書き出されないことが多い。シグネチャ型 AV がスキャンする実体ファイルがほとんどないため、検知が一段と難しい。対策としてはスクリプトブロック/コマンドラインの監査ログ、AMSI 連携、ふるまい・メモリ検査を備えた EDR、Constrained Language Mode と WDAC による PowerShell の制限・署名運用などが挙げられる。

● 例

01
リフレクティブにメモリへロードされる PowerShell 製の Cobalt Strike Beacon ペイロード。
02
Windows レジストリにエンコード済みペイロードを格納するファイルレスマルウェア POWELIKS。

● よくある質問

ファイルレスマルウェアとは何ですか?

ディスク上の従来型実行ファイルを使わず、主にメモリ上で動作して正規のシステムツールを悪用するマルウェア。サイバーセキュリティのマルウェアカテゴリに属します。

ファイルレスマルウェアとはどういう意味ですか?

ディスク上の従来型実行ファイルを使わず、主にメモリ上で動作して正規のシステムツールを悪用するマルウェア。

ファイルレスマルウェアからどのように防御しますか?

ファイルレスマルウェアに対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。

ファイルレスマルウェアの別名は何ですか?

一般的な別名: メモリ常駐型マルウェア, LOL 型マルウェア。

ファイルレスマルウェア

ファイルレスマルウェアとは何ですか?

● 例

● よくある質問

● 関連用語

● 関連項目

ファイルレスマルウェア とは何ですか?

● 例

● よくある質問

● 関連用語

● 関連項目

ファイルレスマルウェアとは何ですか?