ファイルレスマルウェア

ファイルレスマルウェアは、実行中にデータをディスクに書き込まない性質から、「メモリ常駐型マルウェア」と混同されることが多い。一部では、これは単なる既存概念の再定義に過ぎないとの指摘もある^[1]。その起源は1980年代のリーハイウイルスまで遡り、後にフレッド・コーエンがこの概念を体系化した^[2]。

しかし、両者は厳密には異なる。メモリ上で動作する点は共通しているが、「感染の開始」と「持続」の手法に決定的な違いがある。一般的なマルウェアは、添付ファイルやUSBのような外部メディア、周辺機器、携帯電話、ブラウザ経由のダウンロード、サイドチャネル攻撃などを通じて、実行のために一度はディスクへデータを書き込む必要があるためである^[3]。

前述の各方法は、何らかの形でホストのシステムのハードドライブにアクセスする必要があり、これは最も隠密性の高いアンチフォレンジクス（英語版）（攻撃者がデジタルフォレンジック調査から隠匿するための技術）を用いたとしても、感染した痕跡がホストのメディア上に何らかの形で残されることを意味するのである。

一方、ファイルレスマルウェアは、その始まりからプロセス終了（通常はシステム再起動による）まで、その内容がディスクに書き込まれない。システムレジストリ、メモリ内プロセス（英語版）、サービス領域のような痕跡の残りにくい揮発性のシステム領域に常駐することを目的としている^[4]。

ファイルレスマルウェアは、タスクを実行するために既存のオペレーティングシステムのバイナリを使用する、「環境寄生型」の技術を採用している^[5]。これらの既存のオペレーティングシステムバイナリの中でも、PowerShellは、悪意のあるコードをメモリ内で直接実行するために、ファイルレスPowerShell攻撃で悪用される一般的な環境寄生型ツールである。この技術は、被害者の端末に既に存在するリソースを使用して実行できるため、不要な追加のマルウェアをシステムに投下することを避けることにある。これにより、主に既存のシステムバイナリが一般的に署名され、信頼されているため、ステルス性が向上する。例えば、攻撃者がPsExecを使用して標的のシステムに接続するケースが挙げられる。

ファイルレスマルウェアは、標的に対する集中的な攻撃シナリオに向けて、自己改善・強化のモデルを採用してきたマルウェアの進化的な変異株であり、そのルーツは、一度起動されるとシステム割り込みを待ち、その制御フローにアクセスするまでメモリに常駐するTSR型のウイルスに遡ることができる^[6]。Frodo、Dark Avenger（英語版）、Number of the Beastなどのウイルスでその例が見られた^[7]。

これらの技術は、一時的なメモリ常駐型ウイルスに進化し^[8]、AnthraxやMonxlaといった有名な例で見られ^[9]、Code RedやSQL Slammerのようなメモリ注入型のネットワークウイルスやメモリ注入型のワームによって、より「ファイルレス」な性質を獲得した。現代のウイルスでは、スタックスネット、Duqu（英語版）、Poweliks^[10]、Phasebot^[11]などにその進化後の形態が見られる。

2017年2月8日、カスペルスキーのグローバル調査分析チームは、"Fileless attacks against enterprise networks"^[12]と題するレポートを公開した。このレポートは、ファイルレスマルウェアの変種とその最新の形態が、世界中の140の企業ネットワークに影響を与え、銀行、電気通信会社、政府機関が主要な標的であることを示唆している。 このレポートでは、ファイルレスマルウェアの一種が、PowerShellスクリプト（Microsoft Windowsのレジストリ内に配置される）を利用して、標的のコンピューターに対して攻撃を開始する方法を記述している。これは、Metasploitと呼ばれる一般的な攻撃フレームワークと、Mimikatzなどの攻撃支援ツール^[13]を活用し、さらに「SC」や「netsh」といった標準的なWindowsユーティリティを横方向の移動に利用している。 このマルウェアは、銀行が中央のドメインコントローラー（DC）の物理メモリでMetasploit Meterpreter（エクスプロイト後にペイロードを制御するモジュール）のコードが実行されているのを特定した後にのみ検出された^[12]。 シマンテックおよびトレンドマイクロ、サイバーリーズンなど主要なサイバーセキュリティ企業も同様の調査結果を公表している^[14][15][16]。

ファイルレスマルウェアの攻撃は、次の4段階に分類される^[17]。

1. アクセス権の取得: Webスクリプト（China Chopper（英語版）など）を使用して攻撃の足がかりとなるリモートアクセス権を得る。
2. 認証情報の窃取: Mimikatzなどを使用して、他のツールのアクセス権を得る。
3. 永続性の維持: レジストリを改ざんしてバックドアを作成する。
4. データの送信: 攻撃者にデータを送信する。

ファイルレスな方法で動作するマルウェアの出現は、デジタルフォレンジック捜査官にとって深刻な問題を提示している。彼らは、犯行現場からデジタルアーティファクトを取得できることに依存しており、これは証拠を保全し、法廷で採用可能なデジタル証拠を提出するために不可欠であるからである。

"Casey 2004"、"DFRWS 2001"、"NIJ 2004"、"Cohen 2009"^[18]といった多くの著名なデジタルフォレンジック調査のプロセスモデルは、それぞれ調査および/または分析フェーズを組み込んでおり、何らかのメカニズムによって証拠が取得/収集/保全できることを示唆している。

デジタル捜査官の標準的な手順と、彼らが犯罪現場のコンピューターをどのように扱うべきかを考慮すると、その困難さは明らかになる。従来の方法では、捜査官に対し次のように指示している^[19]。

• いかなる状況でもコンピューターの電源を入れないこと。
• コンピューターの電源が切れていることを確認すること。一部のスクリーンセーバーはコンピューターの電源が切れているように見えることがあるが、ハードドライブやモニターのアクセスランプが点灯している場合は、マシンがオンになっている場合がある。
• ノートパソコンから主電源バッテリーを取り外すこと。
• コンピューター本体のソケットから電源およびその他のデバイスのプラグを抜くこと。

ファイルレスマルウェアは、古典的なフォレンジック調査のモデルを覆す。なぜなら、ファイルレスマルウェアに対する証拠は、調査対象となる稼働中のシステムから取得されたメモリイメージに対してのみ行われるからである。しかし、この方法は、取得されたホストのメモリイメージ自体を侵害し、法的許容性を疑問視させる可能性がある。あるいは少なくとも、提示されたデジタル証拠の重みが大幅に減少するための合理的な疑義を抱かせ、トロイの木馬弁護（英語版）（第三者による遠隔操作、いわゆる踏み台を主張する弁護方法）や犯人性否認（英語版）（真犯人は別にいると主張する弁護方法）がより効果的に使用される可能性を高めることになる。

このため、ファイルレスマルウェアは、ネットワークに足がかりを確保し、追跡困難な横方向の移動を迅速かつ静かに行いたいと考える攻撃者にとって極めて魅力的な攻撃方法となる。標準的なフォレンジック調査手法がこの脅威に対して十分に準備されていない状況では、その傾向は一層顕著である^[20][21][22]。

デジタルフォレンジック調査会社のクラウドストライクは、ファイルレスマルウェアの検出方法について、「攻撃の可能性のあるアクションと他のアクションとの関連を調べる。（中略）特に、認証情報を窃取するプロセスに注目する」としている^[17]。

2020年代に入って、メモリフォレンジクス（英語版）の技術が発展し、YARAルールやEDR（Microsoft Event Data Recorder）、さらにはLOLBins（環境寄生型バイナリ）やLOLScriptsを探す方法（LOLBASプロジェクト -「どの正規ツールが、どんな攻撃に悪用可能なのか」をデータベース化したサイト）といった手法の活用により、ファイルレスマルウェアの動作を検知し、その仕組みを解明することは以前よりも容易になりつつある^[23]。