クリックなしで感染するファイルレスマルウェアが拡散中

最近ファイルレスマルウェア猛威を振るっており、先週末は様々なコンピュータに感染しました。Engadgetによると、マルウェアは、ヨーロッパ、中東、およびアフリカで感染が拡大したとのことです。マルウェアは、「Invoice(請求書)」または「order number(注文番号)」という題名で、リンクを含む悪意ある電子メールによって配布されました。リンクはPowerPointドキュメントのように表示されていますが、リンクをクリックすることなく、単にリンク上をマウス移動(ホバー)するだけで、パソコン上でスクリプト攻撃が開始されます。

Microsoft Officeの新しいバージョン(2007以降)を使用している場合は、パソコンへ感染する前にマルウェアのダウンロードを承認する警告が表示されます。最新版では、保護ビュー機能が実装されているためです。この機能は、スクリプト実行を行おうとした際に、「潜在的なセキュリティ上の懸念」を利用者に警告し注意を促します。[無効にする]をクリックすると、スクリプトは実行されません。

しかしながら、古いバージョンのOfficeには、このようなセキュリティ機能が実装されていません。また残念ながら、ファイルレス攻撃をブロックする既存のセキュリティソリューションは、あまり多くありません。しかし、昨年末にPC Maticは、セキュリティソフトとして珍しく、ファイルレス型ランサムウェアや標的型攻撃に対応する新しい保護機能を装備しました。

ファイルレス攻撃は、スクリプトエージェントを通じて実行されるため、従来のバイナリプログラムを利用するマルウェア攻撃とは若干異なります。これらのスクリプトエージェントには、PowerShell、Cscript、Wscriptなどが用いられます。通常、ファイルレス攻撃は、悪質な添付ファイルをダウンロードして実行する種類のマルウェアよりも高い確率で感染に成功します。これは、多くのセキュリティ対策ソフトが悪意のあるスクリプトを判別する仕組みを有していないためです。このため、従来のセキュリティソフト利用者や、セキュリティソフトを利用していない多くのパソコン利用者は、悪質なスクリプトが実行されるてしまう危険性があります。

PC Maticシリーズを利用していれば、ファイルレススクリプト型の未知の脅威にも対応することができます。
原文:http://techtalk.pcpitstop.com/2017/06/12/fileless-malware-what-is-it/