次世代ランサムウェアによる「メモリ常駐型」攻撃、従来の検知手法を完全回避

導入

今週、複数のセキュリティベンダーから、ディスク上にファイルを一切残さない「完全メモリ常駐型」の新しいランサムウェア亜種が確認されたとの報告が相次いでいます。この攻撃手法では、システム再起動により痕跡が完全に消去されるため、事後のフォレンジック調査が極めて困難となっています。従来のファイルベース検知やサンドボックス解析を完全に迂回する新たな脅威として、企業のインシデント対応戦略の根本的な見直しが求められています。

詳細な説明

この新型ランサムウェアは、侵入後にシステムの正規プロセス（explorer.exeやsvchost.exe等）にコードインジェクションを行い、メモリ空間内でのみ動作します。暗号化処理もメモリ上で実行され、暗号化キーや実行ログは一切ディスクに書き込まれません。特に巧妙なのは、システム管理者がタスクマネージャーで確認しても、正規プロセスとしてしか表示されない点です。また、ネットワーク通信も既存の正規アプリケーションの通信パターンを模倣するため、ファイアウォールやプロキシログからも異常を検知することが困難です。攻撃者は身代金要求後、システム再起動を促すことで証拠隠滅を図り、被害企業は「何が起きたのか分からない」状態に陥ります。

影響と対策

従来のファイルベース検知やシグネチャマッチングでは対応できないため、被害の発見と対処が大幅に遅れる可能性があります。対策として、メモリ解析機能を持つ次世代EDR製品の導入が急務です。また、プロセスの異常な挙動やメモリ使用パターンをAIで監視するUEBA（User and Entity Behavior Analytics）の活用も有効です。予防面では、ゼロトラストアーキテクチャの徹底により、たとえ侵入されても重要データへのアクセスを制限することが重要です。さらに、イミュータブルバックアップ（改変不可能なバックアップ）の実装により、暗号化被害からの迅速な復旧体制を整備する必要があります。

まとめ

「見えない敵」との戦いが本格化しています。従来の「ファイルを検知する」防御から「挙動を監視する」防御へのパラダイムシフトが、次世代ランサムウェアに対抗する唯一の道となります。技術の進歩に合わせた防御戦略の継続的なアップデートが不可欠です。

会社概要

社名：株式会社ピーエスアイ（PSI）
所在地：〒160-0022 東京都新宿区新宿5丁目5-3 建成新宿ビル4階
設立：1994年
TEL：03-3357-9980
FAX：03-5360-4488
URL：https://www.psi.co.jp
事業内容：サイバーセキュリティ製品の販売および導入支援、運用サポート、ITコンサルティング

報道関係者様からのお問合せ先

株式会社ピーエスアイ
広報担当：内藤
電話番号：（03）3357-9980
Eメールアドレス：psi-press@psi.co.jp