マルウェアとは何か? | その種類・感染経路から対策を考える
そもそもマルウェアとは何?
マルウェア(Mal-ware)とは、PCやデバイス、ネットワークなどに対して利用者が意図しない動作を引き起こす不正プログラムの総称で、「Malicious Software(悪意のあるソフトウェア)」の略語です。
マルウェアによる被害は様々です。コンピュータに保管しているデータを破壊・改ざんする、OS(オペレーティングシステム)に影響を与えパフォーマンスを低下させる、また場合によってはPCやデバイスが使用できないようになってしまうこともあります。
そして近年では攻撃者の手口が巧妙化し、マルウェア感染が非常に分かりにくくなっています。
「マルウェア」と「ウィルス」の違いは?
マルウェアという言葉があまり一般的ではなかった頃、悪意のあるソフトウェア全般を広く「コンピュータウィルス(ウィルス)」と呼んでいたことがあります。しかし現在では、コンピュータウィルスという単語は、ある特徴を持つマルウェアのいちカテゴリーとして厳密に使用されることが一般的になりました。
マルウェアにはどんな種類があるのか?
マルウェアには様々な種類があります。
ここでは代表的なマルウェアの種類と性質を見ていきたいと思います。
コンピュータウィルス
コンピュータウィルス(以降、「ウィルス」と表記。)は、コンピュータに格納されたファイルや、プログラム、OS(オペレーティングシステム)などに寄生し、宿主であるプログラムファイルを改ざんするなどして自己増殖していきます。
感染や発症の挙動が生物学的なウィルスと類似していることからこのように呼ばれています。ただし生物学的ウィルスと決定的に違うことは、「自然治癒はしない」ということです。
ウィルスを発見・駆除するには、基本的にウィルス対策ソフトを利用します。
ワーム
ワーム(Worm)はその名の通りネットワークやコンピュータを芋虫のように這いまわり、デバイスなどの脆弱性を突いて感染します。
ワームはウィルスの一種として分類されることがありますが、ウィルスのようにファイルなどに寄生するのではなく単独で活動します。ワームはウィルスと同様に自己増殖するので、ネットワークを介して甚大な被害を与える可能性があります。
ワームは人の手を介さずに爆発的に増殖することから、コンピュータのシステムメモリを大量に消費します。そのため、ワームに感染するとパソコンの処理速度やパフォーマンスが急激に低下することがあります。
過去にあったワーム被害では以下のようなものが知られています。
| Code Red (コードレッド) |
2001年に発見されたワーム。マイクロソフトのウェブサーバサービスであるIISの脆弱性を突いて感染し、サイトへの攻撃やウェブサイトの改ざんを行う。発見から数日で35万を超えるホストに感染し、世界中のネットワークを妨害した。 |
|---|---|
| Mydoom (マイドゥーム) |
2004年前後に発生したトロイの木馬型ワーム。メールの添付ファイルやファイル共有ソフトなどを通じて拡散された。何百万通もの電子メールにワームプログラムを添付し、インターネット上に爆発的に拡散。メールサーバなどを攻撃し、深刻な被害を与えた。 |
| Slammer (スラマー) |
2003年に発見され、マイクロソフトが提供するSQL ServerやMSDEの脆弱性を突いて感染する。感染速度が非常に速く、発見後約10分で感染台数が75,000台以上に達し、世界規模での通信障害を引き起こした。別称「SQL Slammer」。 |
マクロウィルス
Microsoft OfficeのWordやExcelにはマクロという機能があります。マクロとは表計算の自動処理を始め、特定の作業をあらかじめ記録し、実行できる簡易プログラムのことです。
マクロウィルスはこのマクロ機能を悪用し、コンピュータに不正プログラムを感染させます。
マクロ機能はWordやExcelファイルを開くことにより起動するため、マクロウィルスを仕込んだファイルをビジネスメールなどに添付し、利用者にファイルを開かせることでウィルスを拡散させる、トロイの木馬型の手法が多く見られます。
有名な事例としては、1999年に世界中に蔓延し、全米を中心に甚大な被害をもたらした「メリッサ(W97M/Melissa.A)」が知られています。
「トロイの木馬」とは?
トロイの木馬とは、不正プログラムを含むファイルを無害であるかのように偽装し、利用者に起動させるなどしてマルウェアを感染させる手法、またはそのファイル自体のことを指します。
ランサムウェア
ランサムウェア(Ransomware)は、システムやファイルを暗号化処理などでロックし、ユーザーが使用できない状態にしたうえ、復旧する為に金銭を要求する不正プログラムです。
ランサムウェアの「ランサム」は、「身代金(Ransom)」という単語に由来します。
ランサムウェアの拡散には、不正ファイルをメールなどに添付し、無作為に送りつける手法が知られています。
世界的にランサムウェアは古くから知られていますが、日本語に対応したランサムウェアの登場が遅れたため、国内では流行が遅く、2010年代前半から報告件数が増えるようになりました。
ランサムウェアでは「CryptoLocker(クリプトロッカー)」(2013年)、「WannaCry(ワナクライ)」(2017年)、「Bad Rabbit(バッドラビット)」(2017年)などの被害が有名です。
なお、近年ではランサムウェアがAndroidスマートフォンに感染する事例も報告され、ビジネスシーンだけでなく私たちの日常生活にも迫る脅威になっています。
ボット
サイバーセキュリティにおけるボット(Bot)とは、インターネットを経由して外部から不正にコンピュータを操作することを目的としたマルウェアを指します。
ボットを利用したサイバー攻撃でよく見られるのがDDoS攻撃です。DDoS攻撃とは、大量のコンピュータから企業などのウェブサーバに対して一斉に大量のリクエストなどを送信し、サービスを妨害する攻撃手法のことです。
攻撃者はまずネットワークなどを通じてボットプログラムを拡散し、複数のコンピュータに感染させ、独自のネットワーク(ボットネット)を形成します。そして、攻撃者のサーバからボットネットを通じて指示を出し、DDoS攻撃を行います。
DDoS攻撃を受けた場合、サイバー攻撃によるアクセスと正規のアクセスを見分けることが困難なこと、攻撃元を特定しにくいことなどから、対策に苦慮する事例が多いです。
「DoS攻撃」と「DDoS攻撃」との違いは?
DoS攻撃とは「Denial of Service attack」の略語で、サービス妨害攻撃などと訳されます。
DDoS攻撃はこれに「Distributed(分散された)」を加えた「Distributed Denial of Service attack」の略語で、複数に分散された拠点から行うDoS攻撃を指します。
マルウェア感染で考えられる被害
ここまで述べて来たようにマルウェアには様々な種類があり、攻撃者の目的も一つではありません。
では実際の現場でマルウェアに感染した場合、具体的にどのような被害が想定されるのでしょうか?
過去の被害を参考に検証していきたいと思います。
機密情報の漏洩
マルウェアによって企業や個人の情報が窃取される事例は数多く報告されています。特に顧客情報などの個人情報が漏洩した場合は被害が広範に及び、深刻な賠償問題になるケースもあります。
最近では、特定の企業や個人をターゲットにウィルスが含まれたファイルを送りつけるなど、攻撃対象に合わせた標的型攻撃と呼ばれる手法が流行しています。この標的型攻撃は担当者を騙す詐欺的な手口で行われるため、システムセキュリティだけで防御することが難しく、人的な教育を含め広範な対策が必要になります。
また、マルウェア感染の兆候が分かりにくくなっていることから、感染したコンピュータが長期にわたり外部との通信を行い、膨大な機密情報を流出させ続けることもあります。
関連記事
プライバシーマーク取得事業者だけでなく、個人情報を取り扱う全ての事業者にとって個人情報保護...
サービスや業務の障害
マルウェアの挙動や目的は様々なため、感染が分かった時点であらゆるリスクを考慮する必要があります。
場合によっては組織内の業務だけでなく、外部に提供しているサービスへの影響も考えられ、二次被害の防止や復旧のために業務やサービスをストップせざるをえない状況になることがあります。
関連記事
JINSオンラインショップで個人情報漏洩!クレジット情報も流出
JINSと言えば、低価格でデザイン性の高いメガネを販売するメガネチェーンで、最近では海外への出店や...
サイバー攻撃の踏み台にされる
マルウェアによるサイバー攻撃には攻撃対象に直接アプローチするものもありますが、先にターゲットとは別のコンピュータを乗っ取るなどして利用し、間接的な攻撃を行う手法もあります。
先ほど紹介したボットによるDDoS攻撃もその一つです。
他には企業などのウェブサイトを改ざんし、ウェブサイトを閲覧するとマルウェアに感染するようプログラムを仕掛けたり、偽サイトへ誘導するスクリプトを埋め込むなど、いわゆる水飲み場型攻撃という手法も一般に知られています。
このようにサイバー攻撃の踏み台として利用されると、気づかないうちに犯罪や不正行為に加担することになり、外部から組織のセキュリティ体制などを厳しく追及される恐れもあります。
「水飲み場型攻撃」をもっと詳しく!
水飲み場型攻撃とは、特定のユーザーがよくアクセスするサイトを改ざんし、不正プログラムなどを仕掛ける攻撃手法を指します。肉食動物が水飲み場に集まる草食動物を狙う様子に似ていることからこのように呼ばれます。
マルウェアの感染経路は?
それでは、マルウェアに感染する原因はどのようなものが考えられるでしょうか。
マルウェアの主な感染経路を検証していきたいと思います。
外部記憶メディアから感染
外部記録メディアであるUSBメモリやデータDVDなどからマルウェアに感染する恐れがあります。
メディアの自動再生を設定している場合などは、外部記録メディア接続するだけでマルウェアに感染してしまうこともあるので、慎重な運用が必要です。
ネットワーク経由で感染
コンピュータの脆弱性を利用し、ネットワークを介して感染を拡げます。
インターネットに接続しただけで感染し、ネットワークを乗っ取ります。そして対策プログラムの入手を妨害することもあるため、駆除するのにかなり労力を要することがあります。
メールの添付ファイルから感染
メールに添付された不正ファイルを実行することでマルウェアに感染することがあります。
迷惑メールなど分かりやすい形で送付されることもありますが、ビジネスメールを装うなどして巧妙にファイルを実行させようとする手口も増えているので注意が必要です。
不正サイトからの感染
ウェブサイトで無害なプログラムを装った不正ファイルが配布されていることがあります。これらのファイルを安易にダウンロード・実行してしまうと、マルウェアに感染し、深刻な被害を被ることがあります。
また、先述の水飲み場型攻撃のように、訪問者がウェブページを閲覧するだけでマルウェアに感染してしまうようサイトを改ざんする例もあります。
マルウェアにはどのような対策が必要か?
ファイアウォールを設置する
ファイアウォール(Fire Wall)とは、外部ネットワークからコンピュータを守る防御壁のことです。
外部からの通信を常時監視し、ネットワークで送受信されるパケット(通信単位)を検知して、不正な通信をブロックします。(パケットフィルタリング機能)
ファイアウォールにはインターネットとLANの間にハードウェアを設置して内部ネットワーク全体を防御するものの他、ソフトウェアを個々のコンピュータにインストールして利用するパーソナルファイアウォールと呼ばれるものがあります。パーソナルファイアウォールはフリーソフトを始め、ウィルス対策ソフトのパッケージとして販売されているものや、「Windows Defender」など、OSに標準搭載されているものもあります。
OSのセキュリティパッチを最新に保つ
セキュリティパッチとは、ソフトウェアの脆弱性や不具合を修正するプログラムのことです。
ウィンドウズには「Windows Update」というセキュリティパッチをアップデートする機能が搭載されていますので、自動更新に設定しておくと安心です。また、モバイルのOSなどについては、こまめに最新版をインストールすることで一定のセキュリティアップが期待できます。
ウィルス対策ソフトをインストールする
ウィルス対策ソフトを利用すると、コンピュータを検査してウィルスを検知・駆除することができます。
また、外部メディアなどをスキャンし、あらかじめチェックすることもできます。
そして、ウィルスのパターンファイルを自動的に更新することで、日々生み出される新種のウィルスの脅威にタイムリーに対処することができます。
ウィルス対策ソフトには多くの種類があり、機能やパフォーマンスも様々なので、比較のうえ慎重に選択することが重要です。
関連記事
インターネットを介した高度なネットワーク社会では、常に新しい脅威が私たちのサイバー環境を脅かし...
メールの添付データを検査する
マルウェアの多くはメールを介してコンピュータに侵入します。そして、攻撃者の手口は日々巧妙化しているため、メールに添付された不正プログラムを見抜くのは非常に難しくなっています。
そこで重宝するのがウィルス対策ソフトのスキャン機能です。スキャン機能でメールを自動的に検査するよう設定しておけば、不審なプログラムを検出してくれ、メールからのマルウェアの侵入を防止できます。
不正なウェブサイトに注意する
先述の水飲み場型攻撃のように不正に改ざんされたウェブサイトを閲覧するだけでマルウェアに感染してしまうことは珍しくありません。また、ウェブサイトで不正なファイルをダウンロード・インストールするよう仕向けるような手法も多く見られます。
これらウェブブラウジングでのリスクに対処するには、ウェブサイトを閲覧する際の注意点やルールを周知徹底し、現場レベルでセキュリティ意識を高めることが重要です。
以下、ルールとして挙げられる項目を記載します。
ブラウザは最新版を利用する
OSのセキュリティパッチを運用していても、アプリケーションであるブラウザにセキュリティホールがあると危険です。ブラウザはできる限りアップデートし、常に最新版を利用することが重要です。
サイトからのダウンロード・インストールを制限する
ウェブサイトで配布されているソフトウェアなどをを安易にダウンロード・インストールしないようにします。対策としては信頼できるウェブサイトのみからデータを入手する、ウィルス対策ソフトでのファイル検査を義務付けるなどが考えられます。
入力フォームなどに重要な情報を入力しない
信頼性が担保されたサイト以外では個人情報などの機密情報を入力しないこと。そうすることで不正サイトを通して内部情報が窃取されるリスクを低減できます。
定期的にバックアップする
万一コンピュータがマルウェアに感染した場合に備え、定期的にバックアップを取ることが重要です。
バックアップはできるだけ頻繁に行うことが望ましいですが、保管や管理の負担が大きくなる場合は適切な実施頻度を考える必要があります。
具体的なバックアップ方法は以下のようなものがあります。
システムイメージでPCをまるごとバックアップ
OSやインストールされているアプリケーションの設定、保管データなどをまるごとバックアップします。(システムイメージの作成)
システムイメージを作成しておけば、仮にデータの改ざんや破損があったとしてもPCをバックアップ時点の状態に戻すことが可能です。
重要なファイルだけをバックアップ
業務上で重要なデータやファイルのみバックアップします。
バックアップの保管場所は外付けHDDやUSBメモリなどの記録メディアが考えられます。ただし、バックアップ後にはネットワークを切り離して管理する必要があります。
他には外部サービスのクラウドストレージなどの利用も想定できますが、セキュリティを確保するために慎重な委託先の選定が求められます。
もしマルウェアに感染してしまったら?
攻撃者の手口は日進月歩で進化しているため、万全だと思えるセキュリティ対策を講じていてもマルウェアに感染してしまうことがあります。
もしマルウェアへの感染が疑われる場合は、冷静かつ迅速に対処しなければなりません。
ここではその対応について、大まかな手順を考えます。
管理者に報告する
マルウェア感染の兆候を発見したら速やかに管理者に報告し、システム担当者等と協力して、感染の有無を含めた状況の把握に努めます。
ネットワークを遮断する
マルウェアの被害で特に恐ろしいのが感染の拡大です。マルウェア感染が明らかになったら、速やかにネットワークを遮断し、感染拡大を防ぐことが重要です。
マルウェアの種類を特定・駆除する
どのようなマルウェアが感染したのか、状況を分析し、その種類を特定・駆除します。
この作業にはウィルス対策ソフトを使用する方法が考えられますが、それだけでは対処できない場合はセキュリティベンダーなど外部事業者などからサポートを受けることも検討します。
システムやファイルの破損を復旧する
ウィルスを駆除しても、データが破損してしまうことがあります。
その場合は、あらかじめバックアップしていたファイルを利用してシステムやファイルを復旧します。
再発防止策を立案・実施する
マルウェア感染の根本原因を特定し、再発防止策を策定します。
また、感染発見後の初動対応からマルウェアの駆除、システム復旧までの対応に問題はなかったか、もっと手順を最適化できないかなど、今後同じような状況になった場合を想定して詳細に検証することが必要です。
