ウイルス感染の対策をしている際に疑問をいただきました。
感染経路としては

1.メールにウイルスがDLされるようなマクロが組まれたWordなどが添付され送信される
2.上記Wordのマクロを有効化すると、コマンド実行などの様々な処理がされウイルスが勝手にDLされる
3.DL後、"2."で実行されたマクロがさらに動き、DLされたウイルスを自動で実行して感染

という流れが多い気がしますが、そもそもなぜメールに直接ウイルスを添付しないのでしょうか。書いていて気が付いたのですが、添付されたものがexeファイルよりWordとかの方がクリックする可能性が高いからとかですかね？
しかしダウンローダーを挟むとその分プロセスが増え、検知される可能性がその分高くなるだけなのではと感じました。

メールに直接マルウェア（ウイルス）を添付しない理由はいくつか考えられます。
私が思いつく理由を以下に挙げます。
1.メールにEXEを直接添付すると、検知される可能性が高い
  おっしゃるとおりだと思われます。

2.そもそもマルウェアのサイズが大きい
  マルウェアのサイズが10M、20Mなどの場合、メールに添付していると
  サイズがおおきくなりすぎて不自然です。

3.最新のマルウェアをダウンロードさせるため
  Fast Flux手法なので、C&CサーバのIPアドレスが高速に切り替わる場合は
  それに追従した最新のマルウェアをダウンロードします。

4.ポリモーフィック型マルウェアのため
  ポリモーフィック型マルウェアはダウンロードする際に、マルウェアの
  バイナリとファイル名にランダムな値を含むようにします。
  これによりアンチマルウェアソフトのシグネチャと一致しないように
  なります。

ダウンローダを介して埋め込まれる多段型のマルウエア（シーケンシャルマルウェア）がありますが、ダウンローダのみでは最終的にどんなマルウエアに感染させられるのかわかりませんし、ダウンロード先も日々変化するものもあり、検知しにくいと思われます。
本体のマルウエアが検知・削除されてもダウンローダは生き残ることもあります。

シーケンシャルマルウェア…
まず最小限の機能だけを有した不正プログラム(マルウェア)が潜伏し、その後ネットワークを通じて追加機能をダウンロードして自己を強化してから攻撃等の活動を行う不正プログラム。

>八王子さん
毎日暑いですね
こんにちは

ちょうど、似たような問題を解いておりました。

マルウェア感染リスクを低減する為に、あらかじめ登録した実行ファイルだけの実行を、ファイルのハッシュ値を比較する事によって許可するソフトウェア(以下Yソフト)を導入している場合

真正なソフトウェアを隠れ蓑として、その上で動くマクロウィルスについてはYソフトの管理外になるため。

参照:R3秋SC 問3 設3(2)

こういうパターンの時に、対策ソフトをすり抜けれるからの様です。

皆さんありがとうございます。

Pixさん
そもそもポリモーフィック型マルウェアを誤認していました。
単に難読化が施されたものという認識でしたが、DL時にファイル名変化など、動的に解析を免れる動きをするのですね。（難読化したデータを固定で使っていたら意味ないからよく考えれば当たり前でしたね）
それが既にメールに添付された状態だと、当然ファイル名などはメールから環境内に保存しても変化しないから検知されやすいと…勉強になります。

momochanさん
なるほど、ダウンローダだけが生き残る場合もあるのも納得です。
少し話がズレますが、私が最初の例で出している悪意あるマクロ付きWordは、厳密にはダウンローダではないのですかね？
他のウイルスのように永続化などの処理をしたりするけど、他マルウェアのDLを行う以外は実害があるようには見えないファイルをダウンローダというのですかね？
ダウンローダと呼ばれるマルウェアの定義があやふやに…

受かりたいさん

有益な情報共有ありがとうございます。
つまり「Wordだけ使いたいからWINWORD.EXEのハッシュ値をホワイトリストに登録。NWから取得したMalware.exeは許可されていないから感染リスクを下げられる。しかしWordのマクロで感染するようなマルウェアは許可されたWordを起因に動くから阻止できない」
…ということですかね。難しい。
ファイルレス型の、メモリ上に保存してコードを実行するマルウェアは防ぐことができないと回答にありますが、実はファイルレス型の理解も甘く…勉強します！

>八王子さんさん
文書ファイルを開いて悪意のあるマクロの実行を許可したことで、マルウェアに感染させられてしまいますが、そのマルウェアがダウンローダ型マルウェアだった場合は、他のマルウェアまでダウンロードさせてしまいます。

最初のマルウェアが他のマルウェアをダウンロードするだけのトロイの木馬だったりする場合もあるかもしれません。

情報処理安全確保支援士平成30年春期 午前Ⅱ 問14には、ダウンローダ型マルウェアの問題がありました。


>受かりたいさん
お久しぶりです。
SC、PMも頑張って下さい。
いつも受かりたいさんの投稿から"刺激"と"やる気"をいただいております。

> momochanさん
こんばんは

私もmomochanさんの書き込みを見て
いつもやる気を頂いております^_^

5月いっぱいで他資格を取得しようとしていたのですが、手こずってしまい、SCスタートが1ヶ月遅れてしまった訳ですが、1ヶ月というのがなかなか大きかったです><
しかし、最近の学習状況が良い傾向にあるが幸いでした^_^
ついつい、SC以外もあれも欲しいこれも欲しいで横道にそれる事が多いので気をつける様にしていますw

momochanさんは、学習状況いかがですか？
夏を制す！
勢いで参りたいですね^_^

>受かりたいさん
ありがとうございます。

学習状況、良い傾向ならこれからますます充実していきますね。
お互いに貪欲に打ち込んで参りましょう！