ほとんどの個人向けウイルス対策ソフトは、ファイル内に隠れているマルウェアをスキャンします。これは、従来のマルウェアの多くがファイルを介して拡散されるためです。しかし、ファイルを作成しない攻撃の場合はどうでしょうか?ファイルレスマルウェアは、従来のウイルス対策ソフトを回避する急速に拡大している脅威です。なぜなら、単純に存在しないファイルを探しているからです。
Malwarebytesは、シグネチャスキャンやファイル解析を超えて、あなたの家族のパソコンに潜むファイルレス脅威をどのように検出しているのかをご紹介します。
ファイルレス攻撃とは?
ほとんどのマルウェアは痕跡を残します。再起動しても生き残るために、ハードドライブにファイルを残します。これらのファイルこそが、従来のウイルス対策ソフトが探し出すものです。
ファイルレス攻撃は異なるルールで動作し、コンピューターのアクティブメモリ内だけに存在します。つまり、再起動すると消えますが、それまでに被害を与えます。
ファイルレス攻撃は、自分自身のファイルを一切持ち込みません。その代わり、すでにパソコンが信頼している正規のWindowsツールを乗っ取ります。たとえばPowerShellは、Windowsの日常的な作業を助ける組み込みプログラムです。ファイルレスマルウェアはメモリに潜り込み、PowerShellなどのツールを使って有害なコマンドを実行し、通常のシステム活動に紛れ込みます。
Windowsはこれらのツールを安全だと認識しているため、警告を出しません。また、ディスクに悪意のあるファイルが保存されないため、従来のウイルス対策ソフトはスキャンや隔離ができず、完全に見逃してしまいます。
ファイルレス攻撃は効果的なため、ますます一般的になっています。サイバー犯罪者は、パスワードを盗んだり、ファイルを人質に取って身代金を要求したり、あなたが気づかないうちにパソコンを仮想通貨のマイニングマシンに変えたりします。
Malwarebytesがこれらの見えない攻撃を止める方法
Malwarebytesは異なるアプローチを取ります。ハードドライブ上のファイルをスキャンするだけでなく、プログラムが実際にパソコンのメモリ内で何をしているかを監視します。私たちは包括的な保護を開発し、2つの強力な方法で防御システムを構築しました:
防御レイヤー1:スクリプト監視
スクリプト監視は、危険なコードが実行される前に検出します。PowerShell、VBScript、JavaScript、その他のスクリプトであっても、実行しようとした瞬間にチェックします。悪意がある場合は即座にブロック。安全な場合は通常通り実行されます。
攻撃者は悪意のあるコードを意味不明に見せるために暗号化します。アルファベットの各文字を3つずらした秘密のメッセージを想像してください。私たちの技術はこれらの暗号化されたコマンドを自動的に解読し、実際に何をしようとしているのかを明らかにします。
防御レイヤー2:コマンドライン保護
コマンドライン保護は、プログラムがシステム上でコマンドを実行する際に何をしようとしているかを追跡します。
PowerShellやWindows Script Host、その他のコマンドツールが実行されるとき、何をしようとしているかを調べます。怪しいウェブサイトからファイルをダウンロードしようとしていませんか?システムファイルを変更しようとしていませんか?セキュリティソフトを無効にしようとしていませんか?攻撃者が最初の防御レイヤーを回避しようとしても、これらのパターンを検出します。
ファイルレス攻撃はどのようなものか?
具体的な攻撃シナリオとMalwarebytesがどのように保護するかを見てみましょう:
攻撃シナリオ1:偽装されたメール添付ファイル
一見正規の請求書や書類のようなメールを受け取ります。ExcelやWordの添付ファイルを開くと、マクロ(作業を自動化する小さなスクリプト)が含まれています。マクロは一見無害に見えますが、実は悪意のあるコマンドを隠すために暗号化されています。
次に起こること:マクロがバックグラウンドでPowerShellを静かに起動し、ランサムウェアをダウンロードしようとします。従来のウイルス対策ソフトはファイルが現れるのを待っているため、何もせずにいますが、ファイルはまだ作成されていません。
Malwarebytesが止める方法:スクリプト監視がマクロを解読し、ランサムウェアをダウンロードしようとしているのを検知して、PowerShellコマンドを即座にブロックします。ランサムウェアはあなたのパソコンに到達しません。Malwarebytesが脅威をブロックしたという通知が表示され、ファイルは安全なままです。
攻撃シナリオ2:静かな仮想通貨マイナー
見た目は普通のウェブサイトを訪れたり、広告をクリックしたりします。隠されたJavaScriptコードが即座に実行され、あなたのパソコンのプロセッサーを乗っ取って仮想通貨をマイニングし始めます。ノートパソコンのファンがうるさくなり、パソコンが熱くなりますが、その原因に気づきません。その間にも、電気代が月ごとにじわじわと上がっていきます。
次に起こること:スクリプトはPowerShellや類似のツールを使って、マイニングソフトを直接パソコンのメモリに読み込もうとします。バックグラウンドで継続的に実行され、コンピューターの処理能力を盗みます。
Malwarebytesが止める方法:コマンドラインスキャナーがマイニングスクリプトのパターンを認識し、プロセッサーを使い始める前にブロックします。パソコンは通常通りのパフォーマンスを維持し、犯罪者はリソースを悪用できません。
攻撃シナリオ3:しつこいバックドア
高度な攻撃者は、長期間あなたのパソコンにアクセスしたいと考えています。正規のWindowsツールであるWindows Management Instrumentation(WMI)を使い、永続的なバックドアを作成します。このバックドアにより、従来のマルウェアファイルをインストールすることなく、いつでもあなたのパソコンにアクセスできるようになります。
次に起こること:WMIを使って、バックグラウンドで見えないスクリプトを実行するスケジュールタスクを設定します。これらのスクリプトにより、攻撃者はあなたのパソコンに恒久的なリモートアクセス権を持ちます。再起動しても意味がありません。バックドアはWindows自体に組み込まれ、通常のシステムタスクに偽装されています。
Malwarebytesが止める方法:保護機能がWMIの活動を監視し、不審なパターンを検出します。WMIが不正なバックドアやスケジュールタスクを作成しようとした場合、コマンドをブロックし、警告を表示します。バックドアは確立されません。
Malwarebytesのファイルレス保護について
セキュリティソフトを選ぶ際は、「ファイルを書き込まない攻撃にも対応できるか?」「メモリベースの脅威を検出できるか?」と問いましょう。Malwarebytesなら、その答えは「はい」です。
自動で動作
設定は不要です。ファイルレス保護はインストールした瞬間から静かにバックグラウンドで動作します。攻撃をブロックしてファイルを守るまで、その存在に気づかないでしょう。
日常のツールと連携
正規のプログラムやスクリプトは通常通り動作します。PowerShellの実行、業務ソフトの利用、ウェブ閲覧も中断されません。本当に脅威があるときだけ介入します。
より大きな防御の一部
ファイルレス保護は、Malwarebytesの幅広いセキュリティスタックの一層であり、機械学習による検出、ウェブ保護、エクスプロイト保護と連携します。各レイヤーが互いを補完し、一つが見逃しても他が検知します。
ファイルを書き込まない攻撃も阻止
ファイルレス攻撃はメモリに潜みますが、無敵ではありません。ファイルレス保護は、プログラムがメモリ内で何をしているかを監視し、不審なコマンドを解析し、データの窃取やファイルの破壊が起こる前に攻撃をブロックします。
Malwarebytes Premiumに含まれています
ファイルレス保護はMalwarebytes Premiumに含まれています。家庭用デバイスでも小規模ビジネスシステムでも、Malwarebytesは自動で動作し、邪魔をせず、従来のウイルス対策が見逃しがちな脅威も検知します。
翻訳元: https://www.malwarebytes.com/blog/inside-malwarebytes/2025/12/fileless
