目次 [ close ]
  1. 対象試験と出題頻度
  2. 用語の定義
  3. 解説
    1. 具体的な活用例・対策
  4. 試験ではこう出る!
  5. 【確認テスト】理解度チェック

対象試験と出題頻度

詳細をクリックして確認
対象試験:
情報セキュリティマネジメント試験
基本情報技術者試験
応用情報技術者試験
出題頻度:
★★☆☆☆
ランクC(応用)

用語の定義

ファイルレスマルウェアとは、一言で言うと「ファイルとしてディスクに保存されず、メモリ上で直接動作することで従来のウイルス対策ソフトの検知を回避するマルウェア」のことです。

イメージとしては、「足跡を残さず空中に浮かんで活動する幽霊のような侵入者」と同じです。
通常のマルウェアは、感染するとディスク上にファイルとして保存されます。ウイルス対策ソフトはこのファイルをスキャンして検知します。しかし、ファイルレスマルウェアはファイルを作成せず、メモリ上だけで活動するため、従来のファイルスキャンでは見つけることができません。

解説

ファイルレスマルウェアは、近年急増している高度なサイバー攻撃手法です。「ファイルがない」ため、従来のシグネチャベース(パターンマッチング)のウイルス対策ソフトでは検知が非常に困難です。ファイルレスマルウェアの特徴は以下の通りです。

  • ディスクに保存されない: マルウェアのコードはメモリ上にのみ存在し、ファイルとして残らない
  • 正規ツールの悪用: Windows標準のPowerShell、WMI、コマンドプロンプトなど、正規のシステムツールを利用して悪意ある動作を行う
  • 再起動で消える: メモリ上で動作するため、PCを再起動すると消える(ただし、永続化の仕組みを持つものもある)
  • 痕跡が少ない: ファイルが残らないため、フォレンジック調査が困難

ファイルレスマルウェアの典型的な攻撃フローは以下の通りです。

  • ステップ1:初期侵入 – フィッシングメールの悪意あるリンクやマクロ付き文書で侵入
  • ステップ2:スクリプト実行 – PowerShellなどのスクリプトを起動し、悪意あるコードをメモリにダウンロード
  • ステップ3:メモリ上で活動 – ファイルを作成せずにメモリ内で動作し、情報窃取やバックドア設置を行う
  • ステップ4:永続化(オプション) – レジストリやタスクスケジューラを悪用し、再起動後も再感染する仕組みを作る

ファイルレスマルウェアは、標的型攻撃やランサムウェア攻撃の初期段階で使用されることが多く、Emotetなどの有名なマルウェアもファイルレス技術を活用しています。

具体的な活用例・対策

ファイルレスマルウェアの主な侵入経路と対策を紹介します。

  • フィッシングメール: 不審なメールの添付ファイル(特にマクロ付きOffice文書)やリンクを開かない
  • 悪意あるWebサイト: ブラウザやプラグインを最新に保ち、脆弱性を塞ぐ
  • 正規ツールの悪用: 不要なスクリプト実行環境を無効化する(後述)

ファイルレスマルウェア対策の基本は以下の通りです。

  • EDR(Endpoint Detection and Response)の導入: ファイルではなく「振る舞い」を監視し、不審な活動を検知する
  • PowerShellの制限: 実行ポリシーを制限し、不要なスクリプト実行を禁止する。ログを有効化して監視する
  • マクロの無効化: Office製品のマクロをデフォルトで無効化し、必要な場合のみ有効にする
  • アプリケーションホワイトリスト: 許可されたアプリケーションのみ実行を許可し、不正なスクリプトの実行を防ぐ
  • メモリ保護機能の活用: WindowsのASLR、DEPなどのメモリ保護機能を有効にする
  • ログの収集・分析: PowerShellのスクリプトブロックログなどを有効化し、不審な活動を追跡できるようにする

試験ではこう出る!

情報セキュリティマネジメント試験・基本情報技術者試験・応用情報技術者試験で出題されます。以下のキーワードとセットで覚えましょう。

【重要キーワード】

  • マルウェア(ファイルレスマルウェアを含む)
  • メモリ常駐・ディスクレス
  • PowerShell・WMI・スクリプト
  • Living off the Land(環境寄生型攻撃:正規ツールの悪用)
  • EDR(振る舞い検知)
  • シグネチャベース検知の限界

試験問題で「ファイルとしてディスクに保存されない」「メモリ上で動作する」「正規のシステムツールを悪用する」「従来のウイルス対策では検知困難」といった記述があれば、それは「ファイルレスマルウェア」に関する記述です。

【確認テスト】理解度チェック

ここまでの内容を理解できたか、簡単なクイズで確認してみましょう。

Q. ファイルレスマルウェアに関する説明として、最も適切なものはどれでしょうか?

  • A. ファイルを暗号化して使用不能にし、復旧と引き換えに身代金を要求するマルウェア
  • B. OSの深部に潜伏し、自身や他のマルウェアの存在をセキュリティソフトから隠蔽するツール群
  • C. ファイルとしてディスクに保存されず、メモリ上で直接動作することで検知を回避するマルウェア

正解と解説を見る

正解:C

解説:
ファイルレスマルウェア(Fileless Malware)とは、ファイルとしてディスクに保存されず、メモリ上で直接動作することで、従来のファイルスキャン型ウイルス対策ソフトの検知を回避するマルウェアです。PowerShellなどの正規ツールを悪用して攻撃を行うため、「Living off the Land(環境寄生型)」攻撃とも呼ばれます。
Aは「ランサムウェア」、Bは「ルートキット」の説明です。ファイルレスマルウェアの特徴は「ファイルを作らない」「メモリ上で動作」「正規ツールの悪用」という点であり、従来のマルウェアとは検知の難しさが異なることを理解しておきましょう。