Vectra AIプラットフォーム
リスクを低減し、攻撃を阻止し、セキュリティ態勢を強化するAI駆動型プラットフォーム
Vectra AI vs その他のすべて
比較ガイド
セキュリティ運用のユースケース
最新のアタックハブ
産業
セキュリティ運用のユースケース
すべてのユースケースを見る
T1055 110万件のリストで首位に マルウェア サンプルの分析結果で首位に立ち、上位10位の手法の80%は防御回避に焦点を当てている。ファイルレス マルウェア は、今日のセキュリティチームが直面する脅威の中で、最も急速に拡大し、最も検知を逃れやすいカテゴリーの一つです。従来の マルウェア が実行ファイルをディスクに保存するのとは異なり、ファイルレス攻撃は、PowerShell、WMI、.NETといった信頼されたオペレーティングシステムツールを悪用し、メモリ上で直接悪意のあるコードを実行します。その結果、フォレンジック上の痕跡を最小限に抑え、シグネチャベースのアンチウイルスを回避し、正当なシステム活動と見分けがつかないほどシームレスに溶け込む攻撃となります。ポネモン研究所の「2017年エンドポイントセキュリティリスクの現状」調査によると、ファイルレス攻撃の成功率はファイルベースの攻撃の約10倍でした。この調査結果は古くなっていますが、更新された調査結果に取って代わられていないため、依然として最も引用されるベンチマークとなっています。より最近のデータは、この問題が加速していることを示しています。ファイルレス マルウェア 攻撃は2024年から2026年にかけて78%増加し、ファイルレスおよびインメモリ技術は前年比で約30%増加しています。本ガイドでは、ファイルレス マルウェア がどのように機能するか、現在の脅威情勢を形作っている実世界のキャンペーン、そしてメモリ常駐型脅威に対して実際に効果を発揮する多層的な検知戦略について、包括的かつ実証に基づいた分析を提供します。
ファイルレス マルウェア ファイルレスマルウェアとは、PowerShell、WMI、.NETなど、オペレーティングシステムに組み込まれたネイティブの正規ツールを利用して、従来の実行ファイルをディスクに書き込むことなくサイバー攻撃を実行する悪意のある活動の一種です。主に信頼されたシステムプロセスを通じてメモリ上で動作し、シグネチャベースの検知を回避します。
その定義は明確ではあるものの、微妙なニュアンスを含む現実を過度に単純化しています。「ファイルレス」という用語は、ある連続体の上にあるものです。マイクロソフトの権威あるファイルレス脅威の分類体系では、ファイルレス脅威を以下の3つのタイプに分類しています:
実際の現場では、同義語が使用されている場合もあります。メモリ専用 マルウェア、非マルウェア 攻撃、ゼロフットプリント攻撃、およびリビング・オフ・ザ・ランド(LOTL)の手法は、すべてこの脅威カテゴリ内の概念を重複して表現しています。主な違いは、ファイルレス マルウェア はより広範なカテゴリーであり、LOTLはその中の特定の技術のサブセットであるという点にある。
ファイルレス マルウェア は、従来の意味でのウイルスではありません。従来のウイルスは、ファイルに付着することで増殖します。ファイルレス マルウェア は、正当なシステムプロセスを通じて動作するため、根本的に異なる脅威のカテゴリーであり、異なる検出アプローチを必要とします。
表:ファイルレス型と従来のマルウェアの主な違い マルウェア
ファイルレス マルウェア は、多段階の攻撃フローをたどります。効果的な検知システムを構築するには、各段階と、攻撃者が悪用するツールを理解することが不可欠です。
典型的なファイルレス攻撃の連鎖:
PowerShellは、Windowsにおけるファイルレス実行の主要な手段であり続けています。攻撃者は、Base64エンコードされたコマンドをPowerShellに直接パイプで渡すことで、ファイルを一切書き込むことなくペイロードをダウンロードして実行します。 T1059.001 この手法は、実際のキャンペーンにおいて最も頻繁に見られるもののひとつである。
典型的なパターンとしては、curl.exe や Invoke-WebRequest がリモートサーバーからスクリプトを取得し、それを直接 powershell.exe -EncodedCommand インメモリ実行のためです。アンチマルウェア・スキャン・インターフェース(AMSI)は、実行時にこれらのコマンドを検査するように設計されていますが、 攻撃者は引き続き回避手法を開発し続けている — これにより、AMSIは重要ではあるものの、完全ではない防御層となっている。
WMIの悪用は、攻撃に新たな側面を加えます。攻撃者はWMIイベントのサブスクリプションを作成します。これは、特定のシステム条件が満たされた際にコードを実行する永続的なトリガーです。APT29のバックドア「POSHSPY」は、WMIリポジトリ内に暗号化されたPowerShellコマンドを保存し、WMIフィルターによって定期的な実行をトリガーしていました。Mandiantの分析が示すように、これによりAPT29は、WMIリポジトリの外に痕跡を残すことなく、SYSTEM権限で動作する永続的なファイルレスアクセスを獲得しました。
プロセス注入(T1055)は、MITRE ATT&CK 最も広く見られるものです。「Picus Red Report 2026」では、110万件の マルウェア サンプルを分析した「Picus Red Report 2026」では、これを第1位にランク付けしており、上位10の手法の80%が防御回避、持続化、およびコマンド&コントロールに焦点を当てていることが判明した。
攻撃者は、信頼されている実行中のプロセス(RuntimeBroker.exe、svchost.exe、OneDrive.exeなど)のメモリ空間に悪意のあるコードを注入し、正当な署名付きバイナリのコンテキスト下で悪意のある活動を実行させます。 2026年2月のDEAD#VAXキャンペーンでは、4層の難読化と信頼されたWindowsプロセスへのプロセス注入を行い、IPFSでホストされたVHDファイルを使用してMark-of-the-Webの保護機能を完全に回避することで、この手法を実証しました。
レジストリベースの永続化機能は、エンコードされたペイロードをレジストリキーに保存することで、ファイルシステム上にペイロードを残すことなく、再起動後もその状態を維持します。DLLサイドローディング(攻撃者が、正当なデジタル署名付きアプリケーションの隣に悪意のあるDLLを配置する手法)は、現在、好んで用いられる手法となっています。Storm-0249は、まさにこの目的でSentinelOneの署名付きバイナリを悪用し、セキュリティツール自身のプロセスを攻撃の媒介に変えてしまいました。
ファイルレス マルウェア はもはやWindowsだけの問題ではありません。企業のクラウドワークロードの大部分をホストしているLinux環境も、独自のファイルレス攻撃の手法に直面しています:
2025年4月に発生したPostgreSQLを標的としたファイルレス型暗号通貨マイニング攻撃では、memfdの手法を用いて1,500台以上のサーバーが侵害され、Linuxインフラ上で一般的なサイバー犯罪の規模でファイルレス攻撃が行われている実態が明らかになった。攻撃者は、標的ごとにバイナリハッシュを変化させることで、レピュテーションベースの検知を回避していた。これは、従来は高度な持続的脅威(APT)にのみ見られた高度な手口である。
ファイルレス型マルウェアの分類について マルウェア を理解することは、セキュリティチームが各亜種に対して適切な検知策を構築するのに役立ちます。以下の表は、マイクロソフトのタイプI/II/III分類体系に、手法に基づくカテゴリおよび新たなクラウド型亜種を組み合わせたものです。
表:ファイルレス型マルウェアの分類 マルウェア 実行タイプおよび永続化メカニズムによる分類
ファイルレス攻撃の手法がクラウド環境へと拡大していることは、サイバーセキュリティ業界全体における重大な対応の不備であり、急速に拡大する脅威となっています。クラウドワークロードは特に脆弱です。なぜなら、コンテナは設計上一時的なものであるため、従来のファイルベースのスキャンでは、一般的な マルウェアに対しても、その有効性は限定的である。
具体的なクラウド型ファイルレス攻撃の手口には、次のようなものがあります:
2026年1月に発見されたAI支援型のクラウドネイティブ・ファイルレスフレームワーク「VoidLink」は、こうした進化を象徴する存在だ。大規模言語モデルの支援を受けて一人の開発者によって構築され(約8万8000行のコードが生成されたと報じられている)、VoidLinkはクラウド環境を標的とし、クラウドワークロード保護プラットフォームを回避するために特別に設計されたファイルレス実行チェーンを備えている。
2025年および2026年の実例は、ファイルレス攻撃の手法があらゆる主要な攻撃対象領域でどのように展開されているかを示しています。これらの事例は、競合他社のガイドの多くで引用されているPoweliks(2014年)やKovterといった古い文献よりもはるかに新しいものであり、ファイルレス脅威の現状を反映しています。
表:最近のファイルレス型 マルウェア 2025年から2026年にかけてのファイルレスマルウェアのキャンペーン
ランサムウェア攻撃へのファイルレス手法の組み込みが加速している。Recorded Futureによると、公表されたランサムウェア攻撃件数は、2024年の4,900件から2025年には7,200件へと増加し、47%の伸びを示した。ファイルレス マルウェア の亜種は40%増加しており(Gitnux、2026年)、過去24ヶ月間に93%の組織が、ランサムウェア攻撃を目的とした侵入を少なくとも1回は経験している。
2025年12月のStorm-0249によるキャンペーンはこのパターンを如実に示しています。この攻撃チェーンでは、ClickFixというソーシャルエンジニアリングの手法を用いて、ユーザーを騙してPowerShellコマンドを実行させます。そのコマンドは、curl.exeをPowerShellにパイプ接続することで、ファイルレス型のペイロードをダウンロードして実行します。この過程で、ファイルがディスクに書き込まれることは一切ありません。その後、ペイロードは正規に署名されたセキュリティバイナリを介してDLLサイドローディングを行い、持続性を確立した上でランサムウェアを展開します。 最終的な暗号化ペイロードに至るまでのすべての段階においてファイルレス技術が活用されているため、早期検知はファイルスキャンではなく、振る舞い に依存することになります。
ファイルレス型マルウェアの検出 マルウェア には、ファイルベースのセキュリティから行動ベースのセキュリティへの根本的な転換が必要です。既知のシグネチャをファイルスキャンで検出する従来のアンチウイルスでは、ファイルとして存在することのないコードを検出することはできません。 これが、2023年の標的型攻撃の79%が「リビング・オフ・ザ・ランド(LOTL)」バイナリを利用していた理由であり(KnowBe4、2025年)、攻撃者の活動の54%がログに記録されているにもかかわらず、アラートが生成されるのはわずか14%に留まる理由です(Picus Blue Report、2025年)。この検知のギャップは現実のものですが、適切なアプローチさえあれば解決可能です。
振る舞い 検知は、ファイルのシグネチャではなく、プロセスの動作、コマンドのパラメータ、およびシステムへの変更を監視します。以下の指標は、ファイルレス型に特有のものです マルウェア の活動に特有の指標です。
表:ファイルレス型マルウェアの振る舞い マルウェア 検出マッピング付き
他のガイドでは十分に解説されていない、重要なポイントをご紹介します。ファイルレス マルウェア はエンドポイント検知を回避します。それがその存在意義そのものです。しかし、ファイルレス マルウェア であっても、ネットワークトラフィックは発生します。コマンド&コントロール通信、横方向の移動の試み、データの持ち出しといったあらゆる動作が、観測可能なネットワーク上の挙動を生み出すのです。
ネットワーク検知・対応(NDR)は、エンドポイントツールが見逃した脅威を捕捉する、補完的な検知レイヤーを提供します:
EDRとNDRを組み合わせることで、エンドポイントの実行レイヤーとネットワーク通信レイヤーの両方にわたる可視性が確保され、ファイルレス型 マルウェア が悪用するギャップを埋めることができます。
ファイルレス型マルウェアを完全に防ぐことのできる単一の対策は存在しない マルウェアを完全に防ぐ単一の対策はありませんが、以下の対策は攻撃者にとってのコストを大幅に引き上げます:
インシデント対応にあたっては、ファイルレス型 マルウェア では、揮発性の証拠収集が不可欠です。ディスクフォレンジックだけでは主要な痕跡を見逃してしまうため、メモリフォレンジックを最優先する必要があります。ファイルレス型に特化したインシデント対応プレイブックには、初期対応措置としてメモリのキャプチャを含めるべきです。
ファイルレス攻撃手法を MITRE ATT&CK フレームワークにマッピングすることで、体系的な検知設計が可能になります。セキュリティチームは、個々の攻撃を逐一追跡するのではなく、ファイルレス攻撃が使用する特定の技術に対して検知範囲を構築できるようになります マルウェア が依存する特定の技法に対して検知網を構築できるようになり、既知の攻撃だけでなく将来の攻撃キャンペーンに対しても機能する、持続的な防御体制を構築できます。このアプローチは、攻撃のあらゆる段階で阻止するというサイバーキルチェーンの手法と合致しています。
表:ファイルレス型マルウェアで一般的に使用されるMITRE ATT&CK マルウェア 攻撃
ファイルレス マルウェア これらの防御策は、主要なフレームワークのコンプライアンス要件に直接対応しています。
表:ファイルレス型マルウェアのコンプライアンス・フレームワーク対応表 マルウェア 検出対策の対応表
ファイルレス型脅威の台頭に伴い、検知のあり方は変化しつつあります。3つのトレンドが相まって、メモリ常駐型攻撃に対する組織の防御体制を一新しつつあります。
まず、 XDR の統合により、エンドポイント、ネットワーク、およびアイデンティティからのシグナルが、統一された検知パイプラインに集約されます。単一の検知レイヤーを回避するファイルレス攻撃であっても、複数のレイヤーにまたがって観測可能な挙動を生み出します。エンドポイントでの異常なPowerShellの実行と、ネットワーク上の不審なアウトバウンドC2トラフィックを相関分析することで、いずれのレイヤー単独では得られない、信頼性の高いシグナルが生成されます。
第二に、AIを活用した 振る舞い は、単純なルールベースの検知を超えて成熟しつつあります。AIベースの防御を導入している組織は、導入していない組織と比較して、1件の侵害あたり平均190万ドルのコスト削減を実現しています(セキュリティ調査の集計データ、2025年)。これらのシステムは、正常な動作の基準を学習し、それからの逸脱を検知します。これは、正当な業務に溶け込むファイルレス型脅威に対抗するためにまさに必要なアプローチです。
第三に、脅威そのものが進化しています。SecurityWeekの「Cyber Insights 2026」分析では、AIを活用したポリモーフィックなファイルレス攻撃が新たなトレンドとして取り上げられており、PromptFluxとPromptStealは、LLM(大規模言語モデル)を悪用する攻撃として初めて確認された事例となっています マルウェア ファミリーとして挙げられています。また、VoidLinkがフレームワーク開発においてLLMの支援を活用し(約88,000行のコードを生成)、AIによって高度なファイルレスツールの作成障壁が低下していることを示唆しています。
Vectra AIファイルレス型マルウェアへのアプローチ マルウェア 検知へのアプローチは、「侵害を前提とする」という哲学とAttack Signal Intelligenceを中核としています。このプラットフォームは、シグネチャやファイルベースの指標に依存するのではなく、ネットワークおよびクラウド環境全体における振る舞い 分析し、エンドポイント検知ツールを回避された場合でも、ファイルレス攻撃が必然的に生み出すコマンド&コントロール通信、ラテラルムーブメント、データ流出を特定します。このネットワークレベルの振る舞い 、35件のAI特許と MITRE D3FENDへの12件の引用により裏付けられたこのネットワークレベルの行動分析は、EDRのカバー範囲を補完し、ファイルレス マルウェア による攻撃において生じる可視性のギャップを埋める重要な検知層を提供します。
ファイルレスの マルウェア の情勢は、攻撃側と防御側の双方におけるAI機能の進化を原動力として、新たな局面を迎えつつあります。今後12~24ヶ月の間に、セキュリティチームはいくつかの動向に備える必要があります。
AIを活用したファイルレス攻撃は、より高度化し、実行しやすくなるだろう。PromptFluxとPromptStealの発見――これらは初めて確認された マルウェア ファミリー——が発見されたことは、 マルウェア への転換を示唆している。VoidLinkは、LLMの支援があれば、たった1人の開発者でもエンタープライズ級のファイルレスフレームワークを構築できることを実証した。こうしたツールが普及するにつれ、ファイルレス攻撃の発生件数は増加する一方で、攻撃を実行するために必要なスキルレベルは低下していくだろう。
クラウドネイティブなファイルレス攻撃の手法は加速するだろう。組織がより多くのワークロードをコンテナ化およびサーバーレス環境へ移行するにつれ、攻撃者もそれに追随するだろう。memfdを利用したコンテナランタイムの悪用、クラウドAPIの悪用、そしてKubernetesを標的とした攻撃は、ファイルレス攻撃の新たな戦場となる マルウェアの新たな戦場となる。組織は、ファイルベースの脆弱性だけでなく、メモリ内に潜む脅威を可視化できるよう、クラウドワークロード保護戦略を見直すべきである。
規制の枠組みにより、高度な脅威検知に関する要件が強化される見込みです。EUのNIS2指令や、改訂が進むPCI DSS v4の要件により、すでに「適切」とされる基準の範囲は拡大しつつあります マルウェア 対策の範囲を拡大しつつある。ファイルレス型攻撃に特化した検知機能——振る舞い 、メモリスキャン、ネットワーク異常検知——は、単なるオプションの機能強化ではなく、コンプライアンス要件としてますます重要になっていく。
「メモリハーベスティング」マルウェア 、独自の脅威カテゴリーとして台頭マルウェア 。処理中にデータ(機密性の高いAIモデルデータを含む)がメモリ上に保持されるケースが増えるにつれ、攻撃者はメモリの内容を直接標的とするようになる。つまり、メモリを実行環境として利用するのではなく、データ抽出の標的として扱う方向にシフトしていくのである。
エンドポイント、ネットワーク、クラウド環境にわたる多層的な振る舞い に今投資する組織は、アーキテクチャを全面的に刷新することなく、こうした新たな脅威に対処できる体制を整えることができるでしょう。
ファイルレス マルウェア は、現代のセキュリティ運用が直面する最も重大な検知課題の一つです。信頼されたオペレーティングシステムのツールを悪用し、完全にメモリ上で実行されるこれらの攻撃は、セキュリティ業界が数十年にわたり依存してきたファイルベースの検知を回避します。ここで紹介するEggStreme、ShadowHS、Storm-0249といったキャンペーンは、ファイルレス手法が現在ではWindows、Linux、クラウド環境にまたがり、国家レベルの攻撃者から一般的なサイバー犯罪者まで幅広く利用されていることを示しています。
防御策は明確ですが、計画的な投資が必要です。組織には、エンドポイントの可視性とネットワークレベルの分析を組み合わせた、多層的な振る舞い 求められます。シグネチャベースのツールだけでは、誤った安心感を生み出すだけです。振る舞い 、NDR、プロアクティブな脅威ハンティング、そしてMITRE ATT&CK 、ファイルレス型 マルウェア に対処するために不可欠な包括的な検知機能を提供します。
ファイルレス攻撃の検知ギャップを埋める準備が整ったセキュリティチームは、 Vectra AI「 Attack Signal Intelligence」がハイブリッドおよびマルチクラウド環境全体で振る舞い を実現し、他のツールが見逃す攻撃を特定する方法についてご検討ください。
ファイルレス マルウェア とは、PowerShell、WMI、.NETなど、オペレーティングシステムに組み込まれているネイティブで正当なツールを利用して、従来の実行ファイルをディスクに書き込むことなくサイバー攻撃を実行する悪意のある活動の一種です。代わりに マルウェア バイナリに依存する代わりに、攻撃者は信頼されたシステムプロセスを悪用し、メモリ上で直接悪意のあるコードを実行します。この手法により、ファイルレス マルウェア を、従来の マルウェア よりも検出がはるかに困難になる。これは、照合すべきファイルハッシュが存在せず、分析すべき静的ファイルもなく、悪意のある活動が正当なシステム操作とシームレスに融合するためである。マイクロソフトは、「ファイルレス」という用語がファイルシステムとの相互作用の程度を多様に包含していることを認識し、ファイルレス脅威を3段階のスペクトル(タイプIからタイプIII)で分類している。セキュリティチームにとっての実務上の影響は、シグネチャベースの検出ツールではファイルレス脅威に対するカバー率が実質的にゼロであるため、振る舞い ネットワーク監視への移行が必要となる点にある。
ファイルレス マルウェア は通常、 フィッシング メール、エクスプロイト、あるいはClickFixのようなソーシャルエンジニアリングの手法を通じて侵入します。初期アクセスが確立されると、攻撃者は信頼されたシステムツールを悪用してメモリ上でコマンドを実行します。PowerShellが最も一般的な実行手段であり、攻撃者はエンコードされたコマンドを使用して、ファイルを書き込むことなくペイロードをダウンロードし実行します。持続性は、WMIイベントのサブスクリプションやシステムイベントをトリガーとするレジストリエントリなどのメカニズムを通じて確立されます。 そこから、攻撃者はプロセスインジェクションを利用して信頼されたプロセス内に潜伏し、SMB、WMI、WinRMなどの正当な管理プロトコルを使用して横方向への移動を行います。この一連のプロセスを通じて、悪意のある活動は正当なシステムプロセスの身元を装って実行されるため、ファイルベースのセキュリティツールが通常の動作と見分けることは極めて困難です。
ファイルレス マルウェア は、従来の意味でのウイルスではありません。従来のコンピュータウイルスは、他のファイルやブートセクタに自身を付着させることで複製する、ファイルベースのプログラムです。ファイルレス マルウェア は、実行ファイルをディスクに書き込んだり、同様の方法で自己複製を行ったりしません。その代わりに、標的となるシステム上に既に存在する正当なシステムプロセスやツールを通じて動作します。「マルウェア」という用語は、ファイルを使用するかどうかにかかわらず、すべての悪意のあるソフトウェアを包括的に指すために広く使用されているため、ファイルレス マルウェア は、従来の マルウェア と悪意のある意図を共有しつつも、実行および検知回避の手法が根本的に異なる、独自の脅威のカテゴリーとして捉えるのが適切です。
従来のアンチウイルスや多くのエンドポイント保護ソリューションは、ディスク上のファイルをスキャンして、既知のシグネチャや不審な特徴を探し出す仕組みになっています。ファイルレス マルウェア は、従来のファイルを一切生成しないため、この手法を完全に無効化します。悪意のあるコードは、PowerShellやWMIといった信頼されたシステムツールを通じてメモリ上で実行され、その結果生じるプロセス活動は正当なシステム操作に紛れ込みます。脅威インテリジェンスデータベースと照合すべきファイルハッシュも、サンドボックス化やデトネートすべき静的ファイルも、そして多くの場合、フォレンジック調査のためのディスク上の痕跡も存在しません。ControlDの2026年 マルウェア 統計によると、企業の54%が、OSの組み込みツールを悪用するファイルレス攻撃の検知に困難を感じています。Picus Blue Report 2025では、攻撃者の活動の54%がログに記録されている一方で、実際にアラートを生成するのはわずか14%であることが判明しており、データ収集と実用的な検知との間に大きな隔たりがあることが浮き彫りになっています。
従来のシグネチャベースのアンチウイルスでは、ファイルレス型を検出できません マルウェア を検出できません。スキャンすべき悪意のあるファイルが存在しないためです。振る舞い 、AMSI統合、およびメモリスキャンを備えた最新のエンドポイントセキュリティソリューションは、一部のファイルレス手法、特にAMSIが実行時にスクリプトの内容を検査するPowerShellベースの攻撃を検出できます。しかし、プロセスインジェクション、WMIによる永続化、またはLinuxのmemfd実行を利用する高度なファイルレス攻撃は、エンドポイントのみの検知をしばしば回避します。 最も効果的なアプローチは、エンドポイント検出・対応(EDR)とネットワーク検出・対応(NDR)、および振る舞い 組み合わせることです。これにより、ファイルのシグネチャではなく、C2通信、横方向の移動パターン、異常なプロセス活動といった観測可能な行動を通じて、ファイルレス脅威を捕捉する多層的な可視性を構築します。
防御には、複数の防御層が連携して機能することが必要です。まずはエンドポイントの強化から始めましょう。PowerShellのスクリプトブロックログ記録と制約付き言語モードを有効にし、振る舞い 機能を備えたEDRを導入し、WDACまたはAppLockerを通じてアプリケーションの許可リストを実装します。最小権限の原則に基づき、管理ツールへのアクセスを制限します。具体的には、PowerShell、WMIコマンド、その他の管理ユーティリティを実行できるユーザーを限定します。 正当なWMIによる永続化は稀であり、新しいサブスクリプションは直ちに調査が必要となるため、WMIイベントのサブスクリプションを継続的に監視します。ファイルレス攻撃によって生成されるC2通信やラテラルムーブメントをネットワークレベルで検出するために、NDRを導入します。ネットワークをセグメント化して被害範囲を限定します。ファイルレス攻撃のインジケーターに焦点を当てた、プロアクティブな脅威ハンティングを実施します。最後に、ディスクフォレンジックだけでは主要なファイルレス攻撃の痕跡を見逃してしまうため、インシデント対応プレイブックには、初期対応措置としてメモリフォレンジックを含めるようにしてください。
従来型 マルウェア は、セキュリティツールがスキャン、ハッシュ化、およびシグネチャによる検出が可能な実行可能ファイルをディスクに書き込みます。ファイルレス マルウェア は、主にメモリ上で正規のシステムツールを使用して動作し、ディスク上に残す痕跡は最小限か、あるいは全くありません。これにより、検出要件は根本的に異なります。従来の マルウェア は、保存中のファイルやダウンロード中のファイルをウイルス対策ソフトがスキャンすることで検知可能です。ファイルレス マルウェア では、振る舞い が必要となる。つまり、プロセスの挙動、実行するコマンド、確立するネットワーク接続を監視しなければならない。フォレンジック上、従来の マルウェア は、ファイルパス、PEヘッダー、ファイルハッシュなどを証拠として残します。ファイルレス マルウェア の場合、メモリフォレンジックやイベントログの分析が必要となる。マイクロソフトのタイプI/II/III分類は、その境界が二分法ではないことを認めている。多くの攻撃は、完全にファイルレスなものと完全にファイルベースなものの間のスペクトラム上に位置し、アクティブなペイロードをメモリ内に保持しつつ、レジストリキーやWMIリポジトリといった正当なファイルシステム上の痕跡を利用して永続化を図っている。