トレンドマイクロは 8月14日、マルウェア(ウイルス)自体のファイルを作成せずに不正活動を行う「ファイルレスマルウェア」の「JS_POWMET(パウメット)」を確認したことを公開しました。ファイルレスマルウェアは、コンピュータへの侵入や感染、攻撃などの際に実質的にファイルの形態を伴わないため、ファイルスキャンを使うセキュリティソフトでの検知は困難です。今回確認されたJS_POWMET は以下のように動作します。
こうしたファイルレスマルウェアとしては、2016年末の標的型サイバー攻撃で確認された「ChChes」、2017年4月に確認されたランサムウェア「SOREBRECT」等が過去にも存在しました。ただし、これまでのファイルレスマルウェアではマルウェア本体は保存されていないものの、「マルウェア本体を起動するためのコード」などのなんらかのファイルが保存されていました。しかしながら、今回確認された JS_POWMETは、まったくファイルとして保存されずに動作するマルウェアのようです。
現在、JS_POWMET の侵入経路は不明ですが、不正サイトにアクセスした際にダウンロードされたか、もしくは、他のマルウェアによって作成されたファイルが発端となると考えられています。このような新たなマルウェアへの対策としては、感染後の C&C サーバとの通信をブロックする出口対策が有効と考えられています。また、今回の事例についてはPowerShellの無効化により影響を軽減するという対策も考えられます。
このような「ステルス性が高いマルウェア」は、今後も多数発生すると予想されており、WannayCry などの感染メカニズムを取り込んだマルウェアも登場してきており、その動向には十分注意が必要であると考えます。
参考
【関連リンク】