ファイルレス攻撃【情報処理安全確保支援士試験】
今回は、情報処理安全確保支援士の試験で問われるファイルレス攻撃について解説します。
サイバー攻撃の多くはメールの添付ファイルによるものなら、添付ファイルのないメールは安全なのかな?
そうとも言えないんじゃない?
この記事のまとめ
- ファイルレス攻撃の概要
- ファイルレス攻撃の手口
- ファイルレス攻撃の対策
ファイルレス攻撃
ファイルレス攻撃は、ディスク上に実行ファイルなどの痕跡を残さず、コンピュータのメモリや正規のシステムツールを悪用して実行されるサイバー攻撃です。
Windowsに標準搭載されているPowerShellやWMIなどの正規の管理ツールやスクリプト言語を悪用して攻撃します。
ファイルレス攻撃の手口
ファイルレス攻撃の手口として、下記が確認されています。
ファイルレス攻撃の手口
- メールに実行形式のマルウェアを添付せず、”.link”ファイルを添付する
- メール受信者が”.link”ファイルを実行すると、Windows標準搭載のPowerShellが起動し悪意のあるコマンドが実行される
- PowerShellにより外部のC&Cサーバなどから不正なプログラムが実行される
Advice
PowerShellはWindowsに搭載されているシステムを効率的に管理するコマンドラインインターフェースです。システム本来の機能を使うため、不審な挙動として認識されにくい点が挙げられます。
PowerShellの代わりにWindows Management Instrumentation(WMI)が悪用されるケースもあるで
ファイルレス攻撃の対策
ファイルレス攻撃で狙われるのは、多くがPowerShellかWMIです。それぞれの設定を変更することで、ファイルレス攻撃のリスクは低下します。
ファイルレス攻撃の対策
- Windows Remote Managerを無効にし、ネットワーク経由でPowerShellへの操作を無効化する
- PowerShellスクリプトファイルの実行ポリシをRestructedにする
- AppLockerでのアプリケーション制御ポリシにてPowerShellの実行を禁止する
防止策にはならんけど、PowerShellの実行ログを出力することで追跡も可能になるで
スポンサーリンク
ファイルレス攻撃・例題
実際に例題を解いて問題に慣れていきましょう。
問
ファイルレス攻撃に関する説明として,最も適切なものはどれか。(オリジナル)
ア:マルウェア本体を実行ファイルとして端末に保存し,定期的にディスク上で更新を行いながら活動する。
イ:OSに標準搭載された正規ツールを悪用し,ディスクに実体ファイルを残さずメモリ上で不正活動を行う。
ウ:ネットワーク機器の脆弱性を悪用してファームウェアを書き換え,恒久的に不正制御を行う。
エ:感染端末のファイルを暗号化し,復号と引き換えに金銭を要求する。
(ログイン後回答すると、ここに前回の正誤情報が表示されます)
ファイルレス攻撃・まとめ
この記事のまとめ
- ファイルレス攻撃の概要
- ファイルレス攻撃の手口
- ファイルレス攻撃の対策
今回はファイルレス攻撃について学習しました。過去には午後試験で問われているので、再度問われたときには答えられるようにしっかりと対策しておきましょう。
次回は暗号資産関連の攻撃について学習します。
