ファイルレスマルウェア|情報処理安全確保支援士 シラバス準拠予想問題2 問5

ファイルレスマルウェアの説明として,最も適切なものはどれか。
  • ア:感染した端末内のファイルを暗号化し,復号のための金銭を要求することを主な目的とするマルウェアである。
  • イ:攻撃者からの遠隔指令を受け,DDoS攻撃,迷惑メール送信,情報窃取などを実行するように制御されるマルウェアである。
  • ウ:実行ファイルとしてディスクに保存されず,メモリ上で実行されたり,PowerShellやWMIなどの正規ツールを悪用したりして活動するマルウェアである。
  • エ:文書ファイルなどに含まれるマクロ機能を悪用し,利用者がファイルを開くことで不正な処理を実行するマルウェアである。
解説

ファイルレスマルウェアは、不正な実行ファイルをディスク上に保存せず、メモリ上で実行されたり、PowerShellやWMIなどのOS標準の正規ツールを悪用したりして活動するマルウェアです。

ファイルレスマルウェア

ディスク上に不審な実行ファイルが残りにくいため、従来のファイル検査型の対策では検知しにくい場合があります。正規の管理ツールを悪用する点も特徴であり、端末上の挙動監視やログ分析などによる検知が重要になります。

したがって、が適切です。

❌他選択肢が誤りの理由
ア:感染した端末内のファイルを暗号化し,復号のための金銭を要求することを主な目的とするマルウェアである。
⇒ランサムウェアの説明です。ファイルを暗号化して復号のための金銭を要求する点が特徴であり、ディスクに実行ファイルを保存せずメモリ上や正規ツールを悪用して活動するファイルレスマルウェアとは異なります。
イ:攻撃者からの遠隔指令を受け,DDoS攻撃,迷惑メール送信,情報窃取などを実行するように制御されるマルウェアである。
⇒ボットの説明です。攻撃者のC&Cサーバなどから指令を受けて不正な処理を実行するマルウェアであり、ファイルレスマルウェアのような実行形態そのものを説明したものではありません。
エ:文書ファイルなどに含まれるマクロ機能を悪用し,利用者がファイルを開くことで不正な処理を実行するマルウェアである。
⇒マクロウイルスやマクロを悪用するマルウェアの説明です。文書ファイル内のマクロ機能を悪用する点が特徴であり、メモリ上で実行されたりPowerShellやWMIなどの正規ツールを悪用したりするファイルレスマルウェアとは説明の中心が異なります。
TSUNAGARU-ADVICE

まず押さえたいこと

ファイルレスマルウェアは、典型的な実行ファイルとしてディスクに保存されず、メモリ上で実行されたり、PowerShellやWMIなどの正規ツールを悪用したりして活動するマルウェアです。ポイントは、ファイルとして残りにくく、正規機能に紛れて検知を回避しやすいことです。

迷ったときの判断軸

端末内のファイルを暗号化して金銭を要求するものはランサムウェア、攻撃者の遠隔指令でDDoS攻撃などを行うものはボット、文書ファイルのマクロを悪用するものはマクロウイルスに近い説明です。ファイルレスマルウェアは、ディスク上の実行ファイルではなく、メモリや正規管理ツールを使うと判断しましょう。

科目Bにつなげるために

科目Bでは、不審なPowerShellの実行・WMIの悪用・外部C&Cサーバとの通信・EDRの検知ログなどから侵害を読み取る場面があります。ファイルレスマルウェアでは、ファイルスキャンだけに頼らず、プロセス・コマンドライン・通信・メモリ上の挙動を確認する視点を持ちましょう。