対象試験と出題頻度
「ウイルス対策ソフトを入れているのに感染した」。
近年こうした被害が後を絶ちません。その正体の一つがファイルレスマルウェアです。
実際、令和6年春の応用情報技術者試験では、午後問1のセキュリティで「ファイルレスマルウェア攻撃による感染」が題材として登場しました。
“ファイルを残さない”という常識外れの手口は、出題者にとって格好のネタになっています。
この用語は情報セキュリティマネジメント・基本情報技術者・応用情報技術者で扱われます。マルウェアの一種ですが、「従来型のウイルス対策ソフトでは検知しづらい」という特徴が、他のマルウェアとの違いを問う材料として使われます。
→ マルウェア全体の分類・見分け方は「マルウェアの種類と違い|12種の分類・見分け方をわかりやすく解説」で整理しています。
対象試験・頻度の詳細(クリックで開閉)
情報セキュリティマネジメント
基本情報技術者
応用情報技術者
★★☆☆☆
ランクC(応用)余裕があれば覚える
用語の定義
セキュリティを勉強していると、「マルウェアって”ファイル”のことじゃないの?ファイルがないマルウェアって意味がわからない」と引っかかりがちです。
ファイルレスマルウェア(Fileless Malware)とは、一言で言うと
「ディスクに実行ファイルを保存せず、メモリ上だけで動く不正プログラム」
のことです。
イメージとしては、「手ぶらで侵入し、現場の道具だけで仕事をする泥棒」です。
普通の泥棒は自分の道具(=不正なファイル)を持ち込むので、その道具を見つければ正体がバレます。
ところがこの泥棒は何も持ち込まず、家にもともと置いてある道具(=OS標準のツール)を勝手に使って目的を果たし、終わったら何も残さず立ち去ります。道具が残らないので、後から「誰が何をしたか」を突き止めるのが極端に難しくなります。
📊 ファイルレスマルウェアの基本情報
| 項目 | 内容 |
|---|---|
| 英語名 | Fileless Malware(非マルウェア型攻撃とも呼ばれる) |
| 分類 | マルウェアの一種(手口による分類) |
| 動作の場所 | 主記憶(メモリ/RAM)上 |
| 悪用される道具 | PowerShell、WMI などOS標準ツール |
解説
従来のウイルス対策ソフトは、基本的に「ディスクに書き込まれたファイルを検査する」発想で作られています。
怪しいファイルのパターン(シグネチャ)と照合し、一致したら隔離する仕組みです。
攻撃者はこの守りの”穴”に目をつけました。検査される場所にファイルを置かなければいい、というわけです。
攻撃の流れ(3ステップ)
典型的な攻撃は、次の3段階で進みます。攻撃者が「ディスクを避けてメモリに居座る」流れを押さえると、検知の難しさが腑に落ちます。
▲ ディスクを経由しないため、ファイル検査型の対策をすり抜けやすい
従来型マルウェアとの違い
従来型は「ディスクに不正ファイルを置く」、ファイルレスは「メモリで正規ツールを借りる」。
この置き場所の違いが、検知の難易度をまるごと変えます。
従来型マルウェア
💾 ディスク
(virus.exe)
→ シグネチャ照合で検知しやすい
ファイルレスマルウェア
🧠 メモリ(RAM)
(PowerShell等)
→ ファイルが無く検知が困難
悪用される正規ツールの例
攻撃者が「現場の道具」として借用する代表例が次の2つです。
どちらもWindowsの管理に欠かせない正規機能であるため、ブロックすると業務に支障が出る点が対策を難しくしています。
OS標準ツールを攻撃に転用する手法は、英語でLotL(Living off the Land:環境寄生型)とも呼ばれます。
# PowerShell をメモリ上で実行する典型例(概念イメージ)
powershell.exe -NoProfile -WindowStyle Hidden -EncodedCommand <Base64>
│ │ │
│ │ └ コマンドを難読化して隠す
│ └ 画面に出さず裏で実行
└ Windows標準ツール(=正規プログラム)
▲ 上記は仕組み理解のための概念表記です(攻撃コードではありません)
| 正規ツール | 本来の用途 | 悪用のされ方 |
|---|---|---|
| PowerShell | Windowsの自動化・管理 | メモリ上でスクリプトを実行し、ファイルを残さず処理を進める |
| WMI | システム情報の取得・管理 | 永続化やコマンド実行の足場として利用される |
💡 覚えるのはここだけ(3行整理)
・ディスクに実行ファイルを残さず、メモリ上だけで動くマルウェア
・PowerShellやWMIといったOS標準の正規ツールを悪用する
・ファイル検査型のウイルス対策ソフトでは検知が難しい
では、この手口が試験でどのように問われるか整理します。
試験ではこう出る!
出題は「攻撃の特徴を問う知識型」と「午後の事例で対策を考えさせる応用型」の2系統に分かれます。
とりわけ応用情報の午後では、感染シナリオの一部として登場するのが近年の傾向です。
📊 過去問での出題実績
| 試験回 | 出題内容 | 問われたポイント |
|---|---|---|
| AP R6春 午後 問1 |
「ファイルレスマルウェア攻撃による感染」を含むセキュリティ事例問題。 | ・感染シナリオの中で対策の妥当性を判断 ・ファイル検査型対策の限界が前提知識 |
| SC R4秋 午後Ⅱ 問1 |
マルウェアの動作解析を題材にした事例(高度試験での関連出題)。 | ・メモリ上で動く挙動の理解 ・ログからの痕跡追跡 |
📝 IPA試験での出題パターン
パターン1:「特徴を選べ(知識型)」
マルウェアの説明文が並び、「実行ファイルをディスクに保存せずメモリ上で動作する」ものを選ぶ形式。ひっかけとして、自己増殖する説明(ワーム)、正規ソフトを装う説明(トロイの木馬)、暗号化して身代金を要求する説明(ランサムウェア)が並ぶ。キーワードは「メモリ常駐」「正規ツールの悪用」。
パターン2:「対策の妥当性(午後・応用型)」
AP R6春のように、シグネチャ照合中心の従来型対策ではなぜ防ぎきれないか、振る舞いを見る仕組みがなぜ有効かを問う。「メモリやプロセスの挙動を監視する対策が必要」という結論に結びつけられるかが分かれ目。
午前対策はこれで十分です。Base64エンコードの中身など、攻撃コードの詳細まで問われることはありません。
【確認テスト】理解度チェック
Q. ファイルレスマルウェアの説明として、最も適切なものはどれでしょうか?
- A. ネットワークを通じて自分自身の複製を次々と他のコンピュータへ拡散させ、自己増殖していく不正プログラムである。
- B. 利用者のファイルを勝手に暗号化し、復号と引き換えに金銭を要求する不正プログラムである。
- C. 実行ファイルをディスクに保存せず、PowerShellなどOS標準の正規ツールを悪用してメモリ上で動作する不正プログラムである。
正解と解説を見る
正解:C
解説:
ファイルレスマルウェアは、ディスクに実行ファイルを残さずメモリ上でOS標準の正規ツールを悪用して動作する点が最大の特徴です。ファイルとして痕跡が残らないため、ファイル検査を前提とした従来型対策では検知が難しくなります。
選択肢Aはワームの説明です。自己増殖して拡散する点が特徴で、メモリ常駐や正規ツールの悪用を本質とするファイルレスマルウェアとは別概念です。選択肢Bはランサムウェアの説明です。データを暗号化して身代金を要求する手口であり、ファイルを残さない動作とは無関係です。いずれもマルウェアの一種ですが、分類の軸が異なります。
よくある質問(FAQ)
Q. ファイルレスマルウェアには、どんな対策が有効ですか?
ファイル単位の検査ではなく、プロセスやメモリの「振る舞い」を監視するEDR(Endpoint Detection and Response)が有効とされます。加えて、PowerShellの実行ログ取得や実行制御、不要な正規ツールの利用を限定するアプリケーション制御を組み合わせる多層防御が現実的です。NISTなどの公的機関も、単一の対策に頼らない多層化を推奨しています。
Q. 再起動すれば消えるなら、あまり怖くないのでは?
そう単純ではありません。確かにメモリ上のコードは再起動で消えますが、攻撃者はレジストリやWMIに起動の足場を仕込み、再起動後に再びメモリへ展開する「永続化」を行うことがあります。また、消えるのは検知や調査を難しくする利点でもあり、被害が見えにくい点こそが脅威です。
Q. 「非マルウェア型攻撃」という呼び方も見かけますが同じ意味ですか?
ほぼ同じ対象を指します。独立した不正ファイル(=従来の意味でのマルウェア)を使わず、正規ツールだけで攻撃を成立させることから「非マルウェア型攻撃(non-malware attack)」とも呼ばれます。試験では「ファイルレスマルウェア」という名称で覚えておけば対応できます。
Q. ゼロデイ攻撃とはどう違いますか?
着目している軸が異なります。ゼロデイ攻撃は「修正前の未知の脆弱性を突く」というタイミングに着目した分類で、ファイルレスマルウェアは「ファイルを残さず動く」という手口に着目した分類です。両者は排他ではなく、未知の脆弱性を突いてファイルレスで侵入する、といった組み合わせも起こり得ます。R6春の午後問1でも両者が並んで登場しました。
関連用語マップ
【前提知識】マルウェア / メモリ(主記憶)
【関連用語】ワーム / トロイの木馬 / ランサムウェア / ゼロデイ攻撃
【発展】EDR / 振る舞い検知 / ゼロトラスト
