「データレスクライアント」と「ファイルレスマルウェア」の2つは、仕組みとしては直接の関係はありません。しかし、セキュリティの観点から見ると、「リスクと対策のバランス」で密接に関係しているといえます。こちらの記事では、データレスクライアントとファイルレスマルウェアの2つはなぜ関係しているといえるのかという点についてまとめています。
データレスクライアントとは、クライアントPCには重要データを残さずに、サーバーやクラウドにデータすべてを集約する仕組みを用いています。この仕組みを取り入れることによって、ランサムウェアによってローカルにあるファイルを暗号化されたとしても、サーバー側にあるバックアップやキャッシュ管理によって被害を抑えられます。
また、PCの盗難や紛失が発生したとしても、重要データはローカルに残っていないことから、そのPCから情報が漏洩するリスクを下げられるといったメリットがあります。
ファイルレスマルウェアとは、従来のマルウェアとは異なるものです。コンピュータのディスクにファイルを残さずに、PowerShell・WMIなどの正規ツールを用いて攻撃するタイプのマルウェアです。このタイプは、通常のファイルを介さないことから、ファイルをスキャンして対策を行うウイルス対策ソフトでは検知が難しいといった面があります。
このように、ファイルレスマルウェアはPowerShellなどの標準機能を悪用することによってメモリ上で攻撃を実行し、ログオン情報や権限を奪いC&C通信などを行う点が特徴です。実行時のメモリやシステムリソースを悪用することから、従来のマルウェアと比較すると検出が難しく、対応が困難である点が問題となってきます。
仕組みとしては直接関係のないデータレスクライアントとファイルレスマルウェアですが、セキュリティの観点から考えると無関係とはいえません。ここでは、なぜこの2つが関係あるといえるのかという点について紹介していきます。
データレスクライアントの導入によって、「ローカルディスク上のデータ被害」を大きく減らせます。しかし、端末側のOSやPowerShell/WMIといった正規ツールが動いている状態であることから、ファイルレスマルウェアによるメモリ上の攻撃や権限を奪われてしまうといったリスクは残っている状態になります。
ファイルレスマルウェアは、ローカルにデータが残っていたとしてもファイルベースの被害を検知しにくくするといった点が特徴です。そのため、PowerShell制限・EDR・ログ監視などを行うことによって、セキュリティ対策は十分に行っておく必要があります。
例えデータレス環境だったとしても、標準機能を悪用することによってクライアントの権限を乗っ取る・クラウドやサーバに対してアクションするセッションや認証情報を狙う・他の端末に踏み台として広がってしまうといったリスクは考えられます。以上の点から、リスクを防ぐためにも端末側の振る舞い検知や最小権限、PowerShell制御は必要な対策であるといえます。
| ポイント | データレスクライアント | ファイルレスマルウェア対策 |
|---|---|---|
| 主な役割 | ローカルにデータを残さず、ファイルベースの被害を軽減 | メモリ・正規ツール(PowerShellなど)を悪用した攻撃を検知・抑止 |
| 効果の範囲 | ローカルディスクの暗号化・持ち出しリスクを下げる | ローカルにファイルが残っていなくても、攻撃そのものを防ぐ・検知 |
| 一緒に使う意味 | データ保護を強化 | データレスでも踏み台や権限を狙う攻撃から端末を守る |
上記の通り、「データレス」だけではファイルレスマルウェアの標的になる可能性があり、セキュリティは保証されないといった面があります。ただし、「フィルレス対策+データレス」という組み合わせを取り入れることによって、「データの保護」と「端末の踏み台化を防止する」の双方を強化できるという関係になっています。このように、この2つの関係を正しく理解し、十分なセキュリティ対策が行えるように取り組んでいくことが大切です。
こちらの記事では、データレスクライアントとファイルレスマルウェアの関係について解説してきました。この2つは一見関係がないように思えますが、セキュリティという観点から考えると、しっかりと注目しておきたい部分です。データレスクライアントを導入する場面でも、ファイルレスマルウェアなどさまざまな脅威に対する対策を行っておくことが必要といえます。ぜひこちらの記事を参考に、対策を行ってください。
