そもそもマルウェアとは?

マルウェア(Malware)とは「Malicious(マリシャス=悪意のある)なソフトウェア(Software)」のことを指し、不正かつ有害な動作を行う意図で作成された悪意のあるソフトウェアや悪質なコードの総称です。ユーザーに何らかの方法でソフトウェアをインストールさせて攻撃行動を実行します。

一方で、従来のマルウェアに加え、ファイルレスマルウェアはディスクにはソフトウェアのインストールなどファイル痕跡を残さず、メモリ内だけに常駐して、攻撃を実行する手段として登場しています。

マルウェアの種類

悪意のあるソフトウェアであれば、すべてマルウェアに含まれ、多くの新しい種類のマルウェアが年々発見されています。その中でもウイルス、ワーム、トロイの木馬は特に代表的なマルウェアと言われています。
マルウェアには次のようなものがあります。

・ウイルス
プログラムの一部を改ざんして入り込み、寄生することで、そのプログラムの動作を妨げ、ユーザーの意図に反する、有害な動作を行うためのプログラムです。感染機能や自己拡散機能を持ち、寄生して増殖する形態が病気の感染と似ていることから、ウイルスと名付けられました。

・ワーム
ウイルスとは違い他のプログラムを必要とせず、単独のファイルで、他のプログラムの動作を妨げ、ユーザーの意図に反する、有害な動作を行うためのプログラムです。感染機能や自己拡散機能を持ち、単独で存在することが可能なため、ワーム(虫)と名付けられました。

・トロイの木馬
ユーザーの意図に反し、攻撃者の意図する動作を侵入先のPCで秘密裏に行うプログラムで、一見しただけでは好ましいプログラムであるかのように見せかけるのが特徴です。問題のない画像や文書などのファイル、スマートフォンのアプリなどに偽装して、デバイスの内部へと侵入し、外部からの指令によって、そのデバイスを操ります。ギリシア神話で中に兵士が入った木馬をトロイアの街に招き入れた戦略から名付けられました。

・スパイウェア
PC内部からインターネットに対して情報を送り出すソフトウェアの総称です。
ユーザーが気付かないうちにPCなどのデバイスにインストールされ、ユーザーの個人情報やアクセス履歴などを収集して、感染したPCの内部情報を自動的に外部に送信します。

・キーロガー
従来はユーザーのキーボードの操作を記録し、ログ解析が出来るようにするためのソフトウェアでしたが、キーボードの操作記録をそのまま外部に送信させるなど悪用され
現在はスパイウェアの一種とされています。キーロガーを使えば、押されたキーを順番に記録できるので、IDとパスワードなどの情報を窃取出来ます。

・バックドア
トロイの木馬の一種で、ネットワークを介してユーザーのデバイスを自由に操り、パスワードなど重要な情報を窃取することを目的としています。
まず、マルウェアを標的とするPCに侵入させる。それに対応するプログラムをインストールしたPCを使って、外部から操作します。
攻撃者が侵入するためのネットワーク上のバックドア(裏口)を開けるという意味から名付けられました。

・ボット
攻撃者からの指令により、他のPCやネットワークへの攻撃や、サーバからファイルを盗むなど有害な動作を行うプログラムです。ボットウイルスに感染したことに気付かないユーザーは、感染したPCを使い続けることで知らないうちにPC犯罪に加担させられることもあります。

マルウェアの感染経路

様々な種類のマルウェアですが、実際にユーザーのデバイスにどのように侵入し、感染するのでしょうか。

感染経路は多岐に渡り、かつ身近に潜んでいます。例えば、フィッシングメールやWebサイトを介して感染する場合だと、受信した迷惑メールの中に不正なリンクや添付ファイルが含まれていて、そのリンクにアクセスすると感染します。また携帯電話でもSMS(ショートメッセージ)や不正なアプリのダウンロードを介して感染する場合もあります。無害なアプリをインストールしたつもりでも、アプリと一緒にマルウェアもインストールされる場合もあります。

また不正なリンクにアクセスするだけでなく、マルウェアに感染したWebページにアクセスして感染する場合もあります。攻撃者が脆弱性のあるホームページに侵入して、マルウェアを埋め込んでいます。この場合は拡散性の観点からアクセスの多い大手企業のホームページが狙われることが多いです。

さらにインターネット上に公開されているWebサイトからソフトウェアをダウンロードすることで感染する経路もあります。特にP2Pのユーザー間で自由にファイルの交換が出来るプラットフォームでは、ダウンロードの敷居が低いため危険性が高いと言われていています。

そして最近では、SNSやクラウドストレージも感染経路になり得ます。攻撃者はSNSやクラウドストレージのアカウントを乗っ取り、自然な文章の中に不正なURLを含めて拡散する場合があります。信頼している人やサービスから送られてくる情報だからこそ見抜きづらく、注意が必要です。

マルウェア感染で起こる被害

マルウェア感染で起こる被害としては、まず感染したPC内にある情報の消失・改ざん、端末のキー入力データの記録、内部ネットワーク情報やブラウザのパスワード窃取、Webカメラの不正アクセス、そして窃取した情報を外部C&Cサーバに送信して外部流出といった被害をもたらします。またこれらの情報の窃取に成功すると、今度は感染端末から他の端末へと横展開を行い、ドメインコントローラーなどネットワークまた組織全体をターゲットにした感染・攻撃へと広がる恐れがあります。ボットの場合は外部の指令サーバからの指示で、内部のデータを盗み出したり、外部への攻撃を行なったりします。さらにDDoS攻撃に悪用される場合もあります。

また感染したPC内にある情報を悪意のある第三者に送信されます。その結果、クレジットカードや銀行口座に関する情報が盗まれて金銭的被害に遭う場合が多くあります。

マルウェア感染に対処するには?

正規サイト以外の怪しげなサイトからソフトウェアをダウンロードして、入手元が不明なソフトウェアを業者や個人から入手するのは絶対に避けるべきです。
そもそも正規サイト以外の怪しげなサイトへのアクセス自体を避けるべきで、知らない人からのメールなどの連絡に含まれる不正リンクにも注意が必要です。少しでも違和感のある連絡や情報が届いた際には、すぐに行動を起こさずに冷静に対処しましょう。

ただし普段からこうした対策を強く意識していたとしても、100%防ぐことは不可能であり、感染に気付くのが少しでも遅れてしまえば貴重な情報をあっさり抜き取られてしまいます。従ってもし万が一マルウェアの感染が疑われる場合は、関連するユーザーカウントとパスワードを速やかにリセットして、不正アクセスやなりすまし攻撃の芽をつぶしておくことが大事です。

かつてエンドポイントセキュリティ対策の主力であったアンチウイルスソフトは、既知の脅威は効果的に検知・除去してくれるものの、近年猛威を振るっている未知の攻撃や高度な攻撃に対しては無力に等しく、もはや「アンチウイルスさえいれておけば安心」という認識は完全に過去のものとなりました。そこで現在、新たな防御策として注目を集めているのが、「次世代アンチウイルス(NGAV)」と呼ばれる製品です。

NGAVとはその名の通り、旧来のアンチウイルス製品の弱点を補完し、より強力な防御を可能にしたものです。これまでのアンチウイルス製品は、シグネチャベースのパターンマッチングの手法で既知の脅威を検知するのが主な役目でしたが、NGAVはこれに加えて「振る舞い検知」「AI分析」など複数の仕組みを組み合わせることで未知の攻撃や高度な攻撃を検知します。弊社では、「NGAV(次世代アンチウイルス)」製品として「Cybereason NGAV」を提供しており、「シグネチャ防御」「ファイルレス攻撃防御」「ふるまいベースのドキュメント保護」の3層の防御壁によって極めて高い検知率を誇ります。

また現状で最も有効な手段の1つと見られているのが、端末上でマルウェアが活動を始めた瞬間にその動きを検知できる「EDR(Endpoint Detection and Response)」です。
弊社が提供する「Cybereason EDR」は国内で最大級のシェアを誇るEDR製品で、PCやサーバ上でマルウェアが活動を開始した瞬間にその挙動をいち早くキャッチして管理者に通知します。マルウェアによる被害を確実に防ぐには、こうした先進的なセキュリティ製品をあらかじめ導入して、万全の備えを講じておくことをぜひお勧めします。

エンドポイントセキュリティ選定ガイド

次世代型のエンドポイントセキュリティの役割と必要性を明らかにし、EPPEDRMDRを導入する際の押さえておくべき選定ポイントをまとめた上で、国内シェアNo.1を誇るサイバーリーズンの製品・サービスの特長をご紹介しています。

複雑化するサイバー攻撃への対策として、これから次世代型のエンドポイントセキュリティ強化に取り組む方も、すでに取り組んでいる方も、本資料を参考に、さらなるセキュリティ強化に取り組むことをお勧めいたします。
https://www.cybereason.co.jp/product-documents/brochure/6189/

エンドポイントセキュリティ選定ガイド