ファイルレス感染が将来ウィルスになる理由

PC セキュリティの専門家は、「ファイルレス感染」として知られる新しいタイプのマルウェアについて検討し始めました。このカテゴリに分類されるウィルスの最も奇妙な点は、跡を残さないで活動するということです。この手法だと、アンチウィルスまたはアンチ・スパイウェア・プログラムが用いているファイル・ベースでの検出を回避することができます。ファイルレス・マルウェアの持つ悪意のある性質と奇妙な振る舞いを念頭におくと、そのようなウィルスに関する充分な知識がまだ集まっていないことも驚くことではありません。幸いなことに、IT の専門家はすでにこのマルウェアを 2 つのグループに分類するだけの充分な情報を収集できています。

ファイルれす・ウィルスの最初のグループは「エスケーパー」と呼ばれます。そのようなマルウェアの主な目的は、その悪意のあるタスクが終了した直後にシステムから消えることです。エスケーパーはオペレーティング・システムに関する技術的な情報を収集し、それを他のマルウェアに感染させます。自分のタスクが終了すると、そのようなファイルレス・ウィルスはシステムから消え去ります。このカテゴリで最も有名なウィルスが PowerSniff および USB Thief です。PowerSniff についてお話しますと、これはマクロの姿を装っていますが、極度に積極的なウィルスのコードが埋め込まれているのです。USB Thief はポータブルなデータ・ストレージ・デバイスに隠れています。そのようなデバイスが PC に接続されると、感染により跡を残さずに被害者のオペレーティング・システムに関するデータの収集を開始します。

ファイルレス感染の 2 つ目のグループは「レジデント」と呼ばれます。このような攻撃的な開発キットは、見えないままでいながらシステムで動作することもできてしまいます。一般にこれらのプログラムは PC のレジストリ内で暗号化されたスクリプトを実行するため、検出できないとしても驚くべきことではありません。「レデント」メンバーの 1 つに Kovter ウィルスがあります。これは、悪意のあるスクリプトを乗せた読み取り不可能なレジストリ・キーを作成します。Kovter は PC の画面やデータをブロックすることができるため、FBI ランサムウェアとの関連が疑われています。

残念ながら、ファイルレス・ウィルスについてはあまり知られていません。その変化する形や幅広い能力から、大きなダメージを引き起こすことがあるのは確かです。しかし、その仕事を終えるとすぐに消え去る能力により、このウィルスについてより詳しい情報を調べることが難しくなっています。このような感染から自衛する最も効果的な方法は、信頼のおけるセキュリティ・ソフトをインストールすることです。それを常に更新しておけば、ソフトウェアがこの一見検出不可能なマルウェアを検出する可能性も高くなるわけです。