ファイルレス攻撃とは？ 10分でわかりやすく解説

UnsplashのGrowtikaが撮影した写真      

ファイルレス攻撃とは、不正な実行ファイルをディスクへ保存して実行する工程を抑え、OSや正規ツール、スクリプト実行環境、管理機能を悪用して侵入後の操作を進める攻撃手法です。新規ファイルが少ないため、ファイルの有無やシグネチャだけを基準にした検知では取りこぼしが起きやすくなります。対策では、端末の挙動、認証、権限変更、ネットワーク通信、ログの相関を確認できる状態を整える必要があります。

ファイルレス攻撃とは

ファイルレス攻撃の定義

ファイルレス攻撃は、従来のサイバー攻撃と比べて、「新規の不正ファイルを作って実行する」依存度が低い攻撃です。攻撃者は、OSやアプリケーションに既に存在する正規のプログラム、管理機能、スクリプト実行環境を利用し、検知されにくい形で操作を進めます。

代表的に悪用される要素には、PowerShell、WMI、rundll32.exe、regsvr32.exe、mshta.exeなどがあります。これらは本来、管理や運用のために用意された機能です。そのため、単に「正規プロセスが動いているか」だけでは、正当な作業と攻撃者の操作を切り分けられません。

なお、「ファイルレス」といっても、攻撃の全工程で痕跡が残らないわけではありません。ディスク上の新規ファイルが少ない一方で、プロセスの実行履歴、PowerShellのログ、認証ログ、レジストリ、スケジュールタスク、ネットワーク通信などには痕跡が残ることがあります。

実務では、次のような状態が観測されると、ファイルレス攻撃またはファイルレス寄りの攻撃として調査対象に入ります。

• 侵入後の主要な処理が、スクリプトや正規プロセスの起動として観測される
• ディスク上の新規ファイルが少ない、または短時間で削除される
• 挙動の中心が、プロセス、メモリ、認証、権限変更、ネットワーク通信に偏る
• PowerShell、WMI、rundll32.exe、regsvr32.exe、mshta.exeなどの正規機能が通常と異なる文脈で使われる

従来のマルウェア攻撃との違い

従来型のマルウェア攻撃では、不正なEXEファイルやDLLを端末へ保存し、それを実行して侵害を進める形が多く見られました。この場合、ファイルのハッシュ値、既知パターン、シグネチャ、ファイル配置場所などが検知の手がかりになります。

一方、ファイルレス攻撃では、以下のような手法が組み合わされます。

• PowerShellやWMIなどの正規ツールを悪用し、管理作業に見える形でコマンドを実行する
• コードをメモリ上で展開し、ディスクに残る本体を少なくする
• ブラウザ、Office、公開サービス、VPN装置などの脆弱性を足がかりにする
• 認証情報を悪用し、正規アカウントによる操作に見せる

このため、「怪しいファイルを検査する」だけでは検知が遅れます。プロセスの親子関係、不自然なコマンドライン、権限変更、認証の失敗増、通常と異なる通信先などを組み合わせて判断する必要があります。

ファイルレス攻撃が注目される理由

ファイルレス攻撃が問題になる理由は、単に攻撃手法が高度だからではありません。企業が日常的に使う正規機能を悪用するため、業務と攻撃の境界が曖昧になりやすい点にあります。

1. ファイル検知に依存しにくく、従来のアンチウイルスだけでは検知が遅れる場合がある
2. 正規ツールを悪用するため、業務上の管理操作と見分けにくい
3. スクリプトやコマンドを少し変えるだけで亜種化しやすい
4. 侵入後の横展開、認証情報の窃取、ランサムウェア実行などに接続しやすい

その結果、端末にアンチウイルスを導入するだけでは対策が不足します。端末の挙動監視、ログの相関分析、権限設計、スクリプト実行の統制、初動対応の手順まで含めて設計する必要があります。

ファイルレス攻撃の変遷

ファイルレス攻撃の考え方自体は新しいものではありません。以前から、正規機能の悪用やメモリ上での実行は存在していました。近年は、クラウド利用、リモートアクセス、管理ツール、認証基盤の利用範囲が広がったことで、攻撃者が正規機能を悪用しやすい環境が増えています。

企業が見るべきなのは、「最新の手口名」だけではありません。侵入された後に、どの資産へ到達されると被害が大きくなるのかを整理し、検知と封じ込めの設計を資産単位で固める必要があります。

ファイルレス攻撃が成立する典型的な流れ

ファイルレス攻撃は、単一の攻撃手法ではありません。初期侵入、正規ツールの悪用、権限拡大、横展開、目的達成が連鎖して成立します。各段階で観測できる兆候が異なるため、対策も段階ごとに分けて考える必要があります。

1. 初期侵入経路で実行のきっかけを作る

ファイルレス攻撃の初期侵入経路は、特別なものに限られません。多くの場合、一般的な侵入経路から始まります。

• フィッシング詐欺によるID・パスワードの窃取
• 公開サーバやVPN装置などの脆弱性悪用
• 端末上のマクロ、スクリプト、ショートカットを使った実行誘導
• 正規アカウントの悪用によるなりすましログイン

この段階で攻撃者が得ようとするのは、「何かを実行できる足場」です。最初の処理が軽量で、すぐにメモリ上で次の処理を呼び出す設計になっていると、ディスク上の痕跡が少なくなります。

2. 正規ツールを悪用して処理を進める

侵入後、攻撃者は正規ツールを使って追加処理を呼び出したり、管理機能を悪用して情報収集や横展開を行ったりします。代表例はPowerShellやWMIです。

PowerShellは、管理自動化や運用に使われる正規機能です。一方で、攻撃者にとっても、スクリプト実行、外部からの取得、メモリ展開をまとめて行いやすい手段になります。WMIも資産管理や遠隔管理に使われるため、実行や通信が業務上の操作に見えやすい特徴があります。

3. 権限拡大と認証情報の窃取で操作範囲を広げる

侵入直後の権限は限定的であることが多いため、攻撃者は権限昇格や認証情報の取得を狙います。この段階が成功すると、横展開や重要データへのアクセスが容易になります。

防御側では、「誰が」「どの端末から」「どの権限で」「何にアクセスしたか」を追跡できる状態が欠かせません。ファイルが少なくても、認証ログ、プロセス起動、権限変更、通信先の変化が兆候として現れるためです。

4. 横展開・永続化・目的達成へ進む

攻撃者の目的は環境によって異なりますが、典型的には次の方向に進みます。

• 横展開：他端末、サーバ、重要システムへアクセス範囲を拡大する
• 永続化：再起動後も操作を続けられるように、タスク、レジストリ、管理機能などを悪用する
• 目的達成：情報漏えい、改ざん、業務妨害、ランサムウェア実行などにつなげる

「ファイルレス＝何も残らない」と捉えると、この段階での兆候を見落とします。実際には、管理機能の利用履歴、認証失敗の増加、深夜帯の権限変更、通常と異なる通信先など、複数の断片が残る場合があります。

ファイルレス攻撃の手口と特徴

ファイルレス攻撃では、メモリ上の実行、正規プロセスへの注入、スクリプト実行、Living off the Landと呼ばれる正規機能の悪用が組み合わされます。攻撃ごとに使われる技術は異なりますが、防御側は「正規機能が通常とは違う使われ方をしていないか」を確認する必要があります。

メモリ上でのコード実行

代表的な手口の一つは、コードをメモリ上で展開して実行する方法です。ディスクに本体を残さない、または残しても短時間で削除することで、ファイルベースの検知を回避しようとします。

ただし、メモリ実行でも完全に不可視になるわけではありません。プロセスの親子関係、不自然なコマンドライン、通常業務では発生しにくいネットワーク通信、短時間に集中する認証試行などが調査の手がかりになります。

正規プロセスへのコード注入

攻撃者は、正規プロセスにコードを注入し、その中で不正処理を実行することがあります。見かけ上は信頼されたプロセスが動いているように見えるため、プロセス名だけを基準にした判断では不十分です。

プロセスメモリへのコード注入やDLLインジェクションが使われる場合、防御側は「どのユーザー権限で」「どこから起動され」「どの通信先へ接続し」「どの権限操作をしたか」まで確認する必要があります。ここでEDRや監査ログが調査の基盤になります。

スクリプトベースの攻撃

PowerShellやJavaScriptなどのスクリプト言語を悪用した攻撃も一般的です。攻撃者は正規のスクリプト実行環境を使い、不正な処理を実行します。スクリプトは改変が容易なため、亜種の作成や検知回避にも使われます。

PowerShellを一律に禁止すれば解決する、という単純な問題ではありません。業務自動化や管理作業に必要な環境では、必要最小限の利用に絞り、監査ログを有効化し、危険な実行形態を抑止する設計が現実的です。

既存のシステムツールやソフトウェアの悪用

OSに内蔵されているツールや正規ソフトウェアを悪用する手法は、Living off the Landと呼ばれます。攻撃者はPowerShell、WMI、rundll32.exe、regsvr32.exe、mshta.exeなどを使い、外部から新しい攻撃ツールを持ち込まずに侵害を進めようとします。

対策の要点は、正規機能を一律に止めることではありません。業務上必要な機能を明確にし、利用者、端末、実行条件、ログ取得、アラート条件を定義して、通常業務から外れた使われ方を検知できるようにすることです。

ファイルレス攻撃の検知と防御

ファイルレス攻撃の検知では、単一の製品や単一ログに依存しない設計が必要です。ファイルが少ない攻撃では、端末の挙動、認証、通信、権限変更、管理機能の利用履歴を組み合わせて判断します。

検知が難しい理由

ファイルレス攻撃は、ファイルを作成せずにメモリ上で実行されることがあります。そのため、従来のシグネチャベース中心のアンチウイルスでは検知が遅れる場合があります。加えて、正規ツールの悪用や正規プロセスへの注入が絡むと、単純に「怪しいファイル」を基準にした判定ができません。

実務では、次の事情が検知を難しくします。

• 正規ツールは業務でも使うため、一律に止めると業務影響が出る
• ログを取得していない、または取得していても監視設計がない
• 単発イベントではなく、複数の兆候のつながりで判断する必要がある
• 正規アカウントを悪用されると、アクセス自体は許可された操作に見える

従来のアンチウイルスの限界

シグネチャベースのアンチウイルスは、既知のパターンを基準に検知します。そのため、未知の手口や改変されたスクリプトへの対応が後追いになる場合があります。さらに、ファイルを残さない、または短時間で削除する手口では、検査対象そのものが少なくなります。

これはアンチウイルスが不要という意味ではありません。既知マルウェアや不審ファイルの検知には引き続き役割があります。ただし、ファイル検知だけに依存すると、ファイルレス攻撃の一部を取りこぼします。挙動、権限、通信、ログを含めた防御へ拡張する必要があります。

EDRの役割

ファイルレス攻撃に対抗するには、端末上の挙動を継続的に追跡できる仕組みが有効です。EDRは、エンドポイントにおける不審な挙動を検知し、隔離、遮断、調査につなげるための基盤として使われます。

EDRが役立つのは、ファイルがなくても、異常なプロセス連鎖、不自然なコマンドライン、権限変更、通常と異なる通信先などを挙動として捉えられるためです。調査時には、いつ、どの端末で、どのプロセスが、どの操作をしたかを時系列で追跡できることが封じ込めの速度に直結します。

ログと監視の設計

EDRは有効な手段ですが、単体で十分とは限りません。実務では、端末、サーバ、認証、ネットワーク、重要資産のログを組み合わせて判断するケースが多くなります。

• 認証ログ：深夜帯の管理者ログイン、失敗の連続、通常と異なる場所からのログイン
• 端末ログ：PowerShellやスクリプト実行の監査、親子プロセス、コマンドライン
• ネットワークログ：未知ドメインへの通信、管理ポート利用の増加、不自然な横方向通信
• 重要資産のログ：ファイルサーバや重要システムへのアクセス増、権限変更履歴

ログを集めるだけでは、防御には直結しません。何が起きたら通知するか、通知を受けたら誰が何を確認するか、隔離やアカウント停止をどの条件で判断するかまで決めておく必要があります。

組み合わせるべき対策

ファイルレス攻撃に対処するには、EDRだけでなく、複数の対策を組み合わせる必要があります。優先順位をつける場合は、初期侵入、実行、権限拡大、横展開、目的達成のどこを止めるかで整理すると判断しやすくなります。

• 脆弱性対策：OS、ブラウザ、Office、VPN機器などの更新を継続し、未修正期間を短くする
• 権限管理：最小権限を徹底し、管理者権限の常用を避け、特権IDを定期的に棚卸しする
• スクリプト実行の統制：PowerShell等は必要最小限に絞り、監査ログ有効化と危険な実行形態の抑止を組み合わせる
• メール・Web対策：フィッシング対策、添付ファイルやURLの検査、報告手順の周知を継続する
• ネットワーク分離：セグメンテーションやアクセス制御で、侵入後の横展開を抑える
• バックアップと復旧：暗号化や破壊を想定し、復旧手順を定期的に確認する

企業がファイルレス攻撃に備えるために

ファイルレス攻撃への備えは、特殊な対策だけで成立するものではありません。侵入される可能性を前提に、被害を拡大させない設計と、兆候を早期に検知して封じ込める運用を整えることが中心になります。

従業員教育と報告手順の整備

フィッシングを起点にした侵入は今も多く、従業員が最初の実行を避けられるかが被害を左右します。ただし、教育は知識の共有だけでは不十分です。

怪しいメールを見分ける観点に加えて、報告先、報告方法、誤ってクリックした場合の連絡手順、端末をネットワークから切り離す条件まで決めておく必要があります。従業員に求める行動を明確にしておくと、初動の遅れを減らせます。

定期的な監視とログ分析

ファイルレス攻撃の検知には、システム監視とログ分析が欠かせません。EDRで端末の挙動を追跡し、認証ログやネットワークログと組み合わせて異常を確認できる状態を作ります。

運用を過剰に広げると、アラートが増えすぎて確認が追いつかなくなります。最初は、管理者権限の不審利用、深夜帯ログイン、スクリプト実行の急増、重要資産へのアクセス増など、影響が大きい観点に絞る方法が取りやすいです。

• 管理者権限の不審利用、深夜帯ログイン、スクリプト実行の急増など、絞った条件でアラートを作る
• アラート発生時の確認手順をテンプレート化する
• 月次または四半期でアラート条件を見直し、誤検知と見逃しを調整する

ゼロトラストの考え方を設計へ反映する

ゼロトラストは、ネットワーク内外という位置だけで信頼せず、ユーザー、端末、アプリケーション、データなどの資産を中心にアクセスを検証する考え方です。ファイルレス攻撃は侵入後の横展開で被害が拡大しやすいため、侵入後の移動を抑える設計と相性があります。

ただし、ゼロトラストは特定製品を導入すれば完成するものではありません。実務では、次のような観点を段階的に整えます。

• 重要システムへアクセスする条件を厳格化する。例として、多要素認証、端末状態の確認、接続元条件などがある
• 権限を分離し、1つのアカウント侵害から横展開しにくい構成にする
• ログを統合し、認証、端末、通信、権限変更の相関で異常を判断できるようにする

インシデントレスポンス体制の整備

被害を最小化するには、発生時に迷わず実行できる対応手順が必要です。特にファイルレス攻撃では、調査の手がかりがファイルではなくログや挙動に偏るため、初動の判断が遅れると影響範囲が広がります。

事前に決めておくべき項目は、端末隔離、アカウント停止、ログ保全、関係者への連絡、業務継続の判断、外部支援の要否です。机上演習でもよいので、定期的に手順を確認し、実際に機能するかを検証しておく必要があります。

参考資料

• Microsoft Learn：Fileless threats
• CISAほか：Identifying and Mitigating Living Off the Land Techniques
• NIST SP 800-207：Zero Trust Architecture

まとめ

ファイルレス攻撃は、不正ファイルに依存せず、メモリ上の実行や正規ツールの悪用によって侵入後の操作を進める攻撃手法です。新規ファイルが少ないため、ファイル検知だけでは見落としが起きやすく、端末の挙動、認証、権限変更、ネットワーク通信、ログの相関で判断する必要があります。企業は、EDR、ログと監視の設計、権限管理、初期侵入対策、ネットワーク分離、インシデント対応手順を組み合わせ、侵入後の被害拡大を抑える体制を整える必要があります。

よくある質問（FAQ）