最新トレンドに注目している方であれば誰でも、ファイルレスマルウェアがこの数年間で増加していることをご存知のことでしょう。しかしながら、今年はこの悪名高い脅威が新たな段階へと進化し、「vaporworm」が登場する年となるようです。ウォッチガードの脅威ラボが数ヶ月前に、2019 年は自己増殖型ワームに似た特性の新種のファイルレスマルウェアが登場する年になると予測したばかりですが、すでにこの予測が現実のものになりつつあるようです。

ウォッチガードのシニアセキュリティアナリストである Marc Laliberte が Help Net Security に寄稿した最新コラムで、ファイルレスマルウェアの基本を解説し、「vaporworm」が近い将来どのように拡大するかを予測しています。記事の一部を抜粋して以下にご紹介します。

「残念ながら、この予測が短期間で現実のものになりつつあるようです。我々がこの自己増殖型のファイルレスマルウェアの登場を予測したわずか 1 ヶ月後に、トレンドマイクロの研究者が、まったく同じ特性を持つとみられるファイルレスのトロイの木馬を発見しました。

このマルウェアは最初に、不正ペイロードを Windows レジストリ（Windows がメモリに保存するキーと値のデータベース）に保存します。次に、レジストリに 2 つ目のレジストリを作成しますが、これは、起動のたびにそのペイロードをメモリから読み込んで実行するよう、オペレーティングシステムに指示するものです。そして、拡散を目的として、システムに接続されているすべてのリムーバブルストレージ（USB メモリや外付けハードドライブなど）に自分のコピーをインストールします。

このマルウェアは、ファイルレスの実行とリムーバブルストレージを使ったワームに似た拡散方法が組み合わされた、非常に興味深いものではありますが、2017 年に Wannacry ランサムワームの拡散で見られたような、本格的なネットワークワームではありませんでした。ネットワーク拡散は、少なくとも感染率という点では、「良い」コンピュータワームと「優れた」コンピュータワームを区別する判断基準となるものです。

さらには、ネットワーク拡散によって、攻撃によるすべての感染を根絶するのが非常に困難になります。国家が外国の防衛請負業者のエンジニアリング業務を引き受けようと考えた場合を想像してみてください。それほど遠くない将来、Wannacry のように短時間で拡散する能力とファイルレスマルウェアの存在を隠す能力を兼ね備えた、非常に能力の高い、危険なマルウェア攻撃が見つかる可能性があります。これまでに数限りない攻撃で証明されてきたとおり、国家主導の攻撃で初めて使われた手法は、ほとんどの場合に、すぐに民間のサイバー犯罪でも使われるようになります。」

vaporworm の詳細については、Help Net Security の記事全文をお読みいただくか、Secplicity に掲載された、ウォッチガードの脅威ラボによるこちらの予測を参照してください。