用語集 › 🔒 セキュリティ › ファイルレスマルウェア
【ふぁいるれすまるうぇあ】

ファイルレスマルウェア とは?

💡 足跡を残さない幽霊のような攻撃者
📌 このページのポイント
ファイルレスマルウェア vs 従来型マルウェア 従来型マルウェア ディスク malware.exe ファイルが存在 アンチウイルス 検知可能 ✓ ファイルスキャン ファイルレスマルウェア メモリ コード実行中 ファイルなし アンチウイルス 検知困難 ✗ スキャン対象なし Living off the Land: OS標準ツールを悪用 PowerShell スクリプト実行 WMI 管理機能を悪用 対策: EDR 振る舞いで検知
ファイルレスマルウェアのイメージ
ひよこ ひよこ

ファイルレスマルウェアって、ファイルがないのにどうやって動くの?

ペンギン先生 ペンギン先生

メモリ(RAM)上で直接コードを実行するんだよ。普通のマルウェアは「悪意のあるファイル」をPCに保存するけど、ファイルレスマルウェアはPowerShellなどのOS標準ツールを経由してメモリに直接読み込まれるから、ファイルとしては存在しないんだ。

ひよこ ひよこ

じゃあPCの電源を切ったら消えちゃうの?

ペンギン先生 ペンギン先生

メモリ上のコード自体は消えるけど、再起動後も動作するようにレジストリやタスクスケジューラに自動実行の設定を仕込むことが多いんだ。だから再起動しても毎回メモリ上に復活するよ。

ひよこ ひよこ

なんでアンチウイルスソフトで見つけられないの?

ペンギン先生 ペンギン先生

従来のアンチウイルスは「ディスク上のファイルをスキャン」して悪意のあるパターンを探す仕組みだからね。ファイルが存在しなければスキャン対象がないんだ。しかもPowerShellやWMIはWindowsの正規ツールだから「正当な操作」と区別がつきにくいんだよ。

ひよこ ひよこ

Living off the Landって何?

ペンギン先生 ペンギン先生

「現地調達」っていう意味の軍事用語から来ていて、OSにもともと入っているツールだけで攻撃する手法のことだよ。追加のマルウェアインストールしないから検知されにくい。セキュリティ業界ではLOLBins(Living off the Land Binaries)なんて呼ばれているよ。

ひよこ ひよこ

対策はどうすればいいの?

ペンギン先生 ペンギン先生

EDR(Endpoint Detection and Response)が有効だよ。プロセスの挙動やメモリの状態を監視して、不審な動作を検知するんだ。他にもPowerShellのログを有効化したり、AMSI(Antimalware Scan Interface)を活用したりする方法があるよ。ファイルレス攻撃は今や全マルウェア攻撃の半数以上を占めるとも言われていて、対策は急務なんだよ。

ペンギン
まとめ:ざっくりこれだけ覚えればOK!
「ファイルレスマルウェア」って出てきたら「ファイルを残さずメモリだけで動く見えないマルウェア」と思えればだいたいOK!
📖 おまけ:英語の意味
「Fileless Malware」 = ファイルを使わないマルウェア
💬 Fileless(ファイルなし)の名の通り、ディスクに痕跡を残さないから従来の検知方法をすり抜けるんだよ
🔗 あわせて読みたい
← 用語集にもどる