いわゆるマルウェアは、ユーザに何らかの方法でソフトウェアをインストールさせて攻撃行動を実行するが、ディスクには痕跡を残さず、メモリ内だけに常駐して、攻撃を実行する手段も登場している。これを「ファイルレスマルウェア」「ファイルレス攻撃」などと呼ぶ。
では、どのように攻撃を行うのか。コンピュータのOSなどが持つ「正規」のツールや機能を悪用するのが一般的である。ディスク上にはファイルがないためウイルス対策ソフトなどでの検出やサンドボックスでの分析は困難であり、また、利用を許可されたアプリケーションを利用するためホワイトリスト型の対策も機能しない。
この攻撃が広く知られるきっかけとなったのは、コマンドラインでWindowsマシンを管理できる「Windows PowerShell」を使った攻撃の登場だ。2014 年に発見されたPoweliksというファイルレスマルウェアは、Windows PowerShellがコンピュータに存在するかをチェックし、存在しない場合はダウンロードを促した上でコンピュータを支配下に置き、情報収集などの目的を達成する。
ただし、ディスクにファイルの痕跡はなくとも、例えばPoweliksなら、コマンドラインでコンピュータに指示を送った形跡は残る。このような行動や不正な変更を監視したりするような機能を備えた製品などを導入することが有効な対策となる。
