インターネットへの無制限なアクセスが可能な現代において、マルウェアはサイバーセキュリティに対する最も一般的な脅威の一つです。マルウェア(悪意のあるソフトウェア)とは、コンピュータ、サーバー、またはネットワークに意図的に損害を与えるあらゆる種類のソフトウェアを指します。これらの脅威はウイルス、ワーム、ランサムウェア、ボットネットなど多岐にわたり、Windows、Android、MacなどあらゆるOSやデバイスを攻撃対象とします。Statistaによれば、世界で60億6千万件のマルウェア攻撃が確認されており、その大半はアジア太平洋地域で発生しています。
これらのマルウェアは無害なリンクやファイルに偽装され、コンピュータの動作を妨害したり、機密データを収集したり、プライベートネットワークにアクセスしたり、スパムメッセージを表示したりと、その手法は様々です。したがって、組織がマルウェアの種類、拡散方法、検知・除去方法を理解することがますます重要になっています。
本記事では、サイバーセキュリティにおけるマルウェアの種類、マルウェア攻撃の実態、代表的なマルウェアの種類、そしてそれらに対する防御策について解説します。
マルウェアを理解する
マルウェアには様々な種類がありますが、共通の目的があります。それは、金銭的利益を得るために、対象のシステムインフラを妨害または破壊することです。デジタル時代の変革により、ますます多くのサイバー犯罪者が、検出されずにシステムに感染し、機密情報を流出させる高度なマルウェアを作成するようになりました。
これらのマルウェアが、システムの一部(CPUなど)に感染する基本的なウイルスから、組織全体のインフラを攻撃できる複雑なものへと、年月を経てどのように進化してきたのかを見ていきましょう。マルウェアの進化
マルウェアは出現以来大きく進化してきました。その歴史は5つの段階を経ており、1949年のワームやウイルスのような基本的なマルウェアから始まり、現在では特定の目的のために特別に作成されるまで至っています。
マルウェアの初期段階: マルウェアの初期段階は1949年、ジョン・フォン・ノイマンが「自己複製するコードの連鎖」という概念として最初のウイルスを提唱したことに始まります。このマルウェアは、コンピュータに損害を与えたり機密データを盗んだりするものではなく、MS-DOSシステムの抜け穴を探すために使用されていました。このマルウェアはペイロードを引き起こし、システムリソースを消費することでシステムを一時的にクラッシュさせた。
さらに、この種の初期マルウェアはユーザーから隠れることはなかった。ユーザーのコンピュータ画面に画像やメッセージを表示することができた。マルウェアの初期段階は1991年まで続き、1992年に第二段階が始まった。
マルウェアの第二段階:Windowsオペレーティングシステムは、その使いやすさと強力なユーザーインターフェースにより多くのユーザーを惹きつけた。しかし同時に、ハッカーや攻撃者も惹きつけました。そのため、初期のメールワームやマクロワームなど、ほとんどのマルウェアはWindowsオペレーティングシステムを標的としていました。この段階は1999年まで続き、その後第三段階のマルウェアが始まりました。
マルウェアの第三段階:マルウェアの第3段階は、インターネットが最盛期を迎えた2000年に始まりました。この段階では、ネットワークワームやウイルスの伝播が急増し、電子メール、侵害されたウェブサイトからのダウンロード、オープンなネットワーク共有などを通じて容易に拡散するようになりました。
マルウェアの第四段階:マルウェア進化の第四段階は2005年に始まり、一般にランサムウェアとルートキットが紹介されました。この段階では、攻撃者が以下のような複数の手法でユーザーのコンピュータを感染させるため、マルウェアの蔓延がさらに顕著になりました:
- フィッシングメールの送信
- ハッキングされたサイトからの無料ダウンロードを装ったメール添付ファイル送信
- USB経由
- その他のリムーバブルメディア経由
この段階では、マルウェアの目的は主に金銭的利益または感染したマシンの不正制御にあった。この段階は2016年まで続き、その後マルウェアの第5段階(現在の段階)へと進化した。
マルウェアの第5段階:マルウェアの第5段階は2010年にさかのぼって始まりました。このマルウェアは、仮想空間での諜報活動や、個人あるいは組織全体の業務妨害を目的として特別に設計されました。従来のマルウェアはユーザーや企業を標的とするサイバー犯罪者によって作成されていましたが、現在のマルウェアは非国家主体だけでなく、様々な国の国家主体によって作成されているため、はるかに強力です。
このマルウェア進化の段階は、人命に深刻な損害を与える可能性を秘めています。これは「‘高度持続的脅威’(APT)と呼ばれ、単なるマルウェアではなく、特定の標的を念頭に計画されたものであることを意味します。
初期段階では、マルウェアは容易に検知可能で無害であり、ユーザー側にはほとんど、あるいは全く迷惑をかけなかった。しかし進化するにつれ、マルウェアの意図も次第に洗練されていった。ランサムウェアからスパイ活動まで、個人や企業は金銭的利益やその他の目的のためにサイバー犯罪者から脅威に晒されている。&しかし、サイバー攻撃者が組織のシステムインフラを侵害する新たな手法を開発する一方で、企業や事業体もあらゆる脅威に対抗するため、サイバーセキュリティ強化に数十億ドルを投じている。マルウェア攻撃とは?
マルウェア攻撃は最も一般的なサイバー攻撃の一種であり、悪意のあるソフトウェアがユーザーのシステム上で不正な動作を実行します。この種のソフトウェアには、ランサムウェア、スパイウェア、ウイルス、ワームなど様々なタイプがあります。多くの場合、サイバー犯罪者は特定の目的を念頭に置いてマルウェアを作成します。その目的は以下のようなものがあります:
- データの窃取: 大半のマルウェアは、ユーザーの個人情報、医療記録、支払い情報、認証情報、社会保障番号などの重要データの窃取を主目的としています。この種のマルウェアは個人・組織双方に多大な損害をもたらします。
- コンピュータ動作の妨害: 一部のマルウェアは、ネットワークやシステムへの干渉を目的として特別に作成されています。その妨害行為は、オペレーティングシステム内のファイルの破損から大規模分散型サービス拒否攻撃(DDOS)まで多岐にわたります。
- 金銭の脅し: サイバー攻撃者や犯罪者はランサムウェアを用いて、組織やユーザーのデータを暗号化したり、コンピュータシステムを人質に取ったりします。これにより、匿名性を確保するため仮想通貨での支払いを要求することが多いです。
- 遠隔操作権の取得: 一部のマルウェアは、サイバー犯罪者にユーザーのシステムに対する制御権を提供し、ファイルの削除や改ざん、追加のマルウェア攻撃の実施など、悪意のある目的で遠隔操作を可能にします。&
サイバー犯罪者がマルウェアを利用する理由とは?
サイバー犯罪者がマルウェアを利用する最終目的は、金銭的利益、スパイ活動、または混乱を引き起こすことである。彼らはパスワード、電子メール、財務データ、さらには医療記録といった重要なデータをユーザーのコンピューターシステムから抽出し、被害者に対する圧力手段として利用します。攻撃者は収集したデータをダークウェブで販売したり、不正な支払いを実行するために使用します。
これらのサイバー犯罪者は、ソーシャルエンジニアリングの手法でユーザーを騙し、特定の行動を実行させることでネットワークへの不正アクセスを得ます。さらに、重要な情報を保有する組織は、そのデータが特に収益性が高いため、攻撃者の標的となりやすい傾向があります。
マルウェアはサイバー犯罪者にとって最も強力なツールの一つとなり、特にサイバーセキュリティ対策が脆弱な者や知識不足の者を標的にします。混乱を引き起こすためや、単に楽しみのためにコンピュータを感染させる者もいますが、企業や個人を妨害することを目的として強い動機を持つ者も存在します。
マルウェアの6種類
サイバーセキュリティにおいてマルウェアには多くの種類が存在し、個人や組織がこれらを理解し、サイバー脅威を回避する対策を講じることは極めて重要です。以下に6種類のマルウェアとその動作の詳細を記載します。
| 種類 | 動作内容 | 例 |
|---|---|---|
| ウイルス | 他のコンピュータプログラムを改変し、自己複製のための独自のコードを挿入する。 | Elk Cloner |
| ワーム | 自身を複製し、他のデバイスに拡散する。 | モリスワーム |
| トロイの木馬 | 正当なソフトウェアを装い、ユーザーの信頼を得る。 | CryptoLocker |
| ルートキット | 検知されずにマシンに潜入する。 | Sony BMG |
| ランサムウェア | 身代金が支払われるまで機密データへのアクセスを阻止する。 | WannaCry |
| キーロガー | ユーザーのデバイス上のキー入力を監視・追跡し、攻撃者に送信する。 | Ghost KeyLogger |
1. ウイルス
ウイルス型マルウェアは、他のコンピュータプログラムを変更し、自己複製のために独自のコードを挿入します。特定の時間や条件下で起動されると、重要なデータの暗号化、ファイルの削除、セキュリティ設定の妨害、システム全体の制御奪取など、プログラムされた様々なタスクを実行します。
このマルウェアはシステムの脆弱性を悪用して感染・拡散します。WindowsやMacなどのオペレーティングシステムを標的とするケースが多いですが、IoTデバイスやLinuxマシンも感染対象となります。コンピュータがウイルスに感染すると、以下のような症状が現れ始めます:
- 頻繁なフリーズやクラッシュ
- アプリケーションやプログラムの動作遅延や重さ
- 正規サイトに見せかけたポップアップ広告が頻繁に表示される
- パスワードが不明な変更を受ける
- コンピュータ起動後に見慣れないプログラムが起動する
- コンピュータの再起動やシャットダウンが困難になる
したがって、ウイルスがシステムを悪用していないことを確認するため、定期的にコンピュータのウイルススキャンを実行する習慣をつけることが常に重要です。
1982年に開発された最初のコンピュータウイルスはエルククローナーでした。当時わずか15歳だったリチャード・スクレンタがいたずら目的で作成しました。スクレンタはApple IIオペレーティングシステム向けにこのウイルスを開発し、複数のフロッピードライブを搭載したコンピュータ上でフロッピーディスク間を移動するようにしました。その結果、感染したコンピュータが起動するたびに50回に1回の確率で、スクレンタが書いた詩が画面に表示される仕組みでした。
エルク・クローナーは単なる冗談として作成され、ユーザーを苛立たせる目的であり、システムに損害を与える意図はなかった。
ウイルス対策で最も一般的な方法は、アンチウイルスソフトの導入である。加えて、全てのコンピュータシステムを最新の状態に保ち、パッチを適用し、脆弱性評価を適時実施することが重要だ。
2. ワーム
コンピュータワームはウイルスと本質的に異なりません。自己複製を行い、感染したシステム上で活動を継続することで他のコンピュータを感染させることを目的としています。標的となったコンピュータのネットワーク(インターネット、電子メール、ファイル共有プラットフォーム、トレントなど)を通じて拡散し、脆弱性やセキュリティ上の欠陥を利用してアクセスします。
しかしウイルスと異なり、ワームはユーザーの操作を必要としません。単に待機し、他のファイルやプログラムを悪用して被害を広げます。システム環境内を移動し、自らの意思で複製を生成することが可能です。lt;/p>
最初に広範に拡散したコンピュータワームの一つが、1988年にコーネル大学の大学院生ロバート・モリスによって作成されたモリスワームである。彼はセキュリティ上の広範な欠陥を実証するためにモリスワームを作成しましたが、公開後、ワームは瞬く間に拡散し、複数のコンピュータの脆弱性を標的にして、インターネットに接続された全コンピュータの10%を24時間以内に感染させる事態となりました。このワームは害を与える意図で作られたものではありませんでしたが、企業に数百万ドルの損害をもたらした最初のマルウェアとなりました。コンピュータワームから身を守るには、何よりもまずソフトウェアとパスワードを定期的に更新し、ポップアップ広告をクリックしたり、不明なソースからのファイルをダウンロードしたりしないことが重要です。メールの添付ファイルやメール内のリンクを開く際にも注意が必要です。
3. トロイの木馬
その名の通り、トロイの木馬マルウェアは正当なプログラムを装い、コンピュータシステムに損害を与える真の意図を隠します。トロイの木馬は、ユーザーがExcelシートやPDFなどの正当なファイルを添付したメールをクリックするフィッシングによって容易に拡散されます。
トロイの木馬は、他のコンピュータを制御するためのバックドアとして機能するため、サイバー犯罪者にとって人気の高い武器となっています。実際、ほとんどのトロイの木馬は、ユーザーにコンピュータに「インストール」するよう促すアンチウイルスポップアップ広告の形で現れます。ファイルが開かれたり、ダウンロードされたり、インストールされたりすると、トロイの木馬は攻撃者にコンピュータシステムへのリモートアクセスを許可することで効果を発揮します。重要なデータを削除または盗み出し、被害者を監視し、さらにはDDoS攻撃を仕掛けることさえ可能です。
トロイの木馬の一例がCryptoLockerです。サイバー攻撃者はソーシャルエンジニアリングを利用し、CryptoLockerの添付ファイルをFedExやUPSの追跡通知など、実在する企業からのメールに見せかけてユーザーを騙し、メール添付ファイルをクリックさせます。感染が成立すると、ユーザーはファイルを復元または復号化するために身代金を支払う必要があります。
トロイの木馬対策として、組織が実施できる効果的な方法はいくつかあります:
- 正規のウイルス対策ソフトの導入
- ソフトウェアの定期的な更新
- 不明なソースからのファイルやリンクのダウンロードを避ける
- 強固なパスワードの使用
- 多要素認証の有効化
これらの多層的なセキュリティ対策を講じることで、ユーザーはサイバー攻撃者がデバイスやシステムに不正アクセスするのを防ぐことができます。
4. ルートキット
端的に言えば、ルートキットはユーザーの同意なしにサイバー犯罪者にコンピュータの制御権を与えます。ルートキットの「root」は「rootユーザー」または「管理者」を意味し、「kit」はソフトウェアツールのパッケージを指します。この種のマルウェアは、ルートレベルのアクセス権を付与し、デバイス内で自身の存在を隠蔽するように設計されているため危険です。
ルートキットフィッシングメールを介してシステムに侵入し、サイバー犯罪者がマシンを遠隔操作することを可能にします。ルートキットは以下の目的などで使用されます:
- アンチウイルスソフトの無効化
- ユーザーの活動監視
- 重要情報の窃取
- 他のマルウェアの実行
ルートキットは、ウイルスやワームと同じ方法で拡散します。つまり、信頼できないソースやスパムメールから破損したファイルをダウンロードすることで拡散します。他のマルウェアが症状を示すのとは異なり、ルートキットはステルス性が高い。システムのセキュリティソフトを迂回して、サイバー攻撃者がバックドアアクセスを得ることを可能にする。
ルートキットマルウェアの実例として、2005年に著名な音楽会社であるソニーBMGで発生した事例がある。2005年に著名な音楽会社の一つであるソニーBMGで発生しました。電子フロンティア財団(EFF)の報告によれば、同社は海賊版防止を目的として、約2200万枚のCDにルートキットを埋め込みました。ユーザーがデバイスでCDを再生すると、このルートキットは自動的にステルスインストールされ、システム深部に潜伏しました。このルートキットは数多くのセキュリティ上の脆弱性を露呈させ、何百万ものユーザーをサイバー脅威に晒す結果となりました。
ルートキットのようなマルウェアからデバイスを保護するには、組織や個人がシステムを頻繁にスキャンし、疑わしいリンクやメール(一見正当に見える場合も多い)のクリックを避け、ソフトウェアを更新し、信頼できるソースからマルウェア対策ソフトを導入することが不可欠です。
5. ランサムウェア
ランサムウェアは、身代金として要求された金額が支払われるまで、ユーザーが自身のコンピューターや特定のデータにアクセスするのを妨げます。ランサムウェアは、感染したウェブサイトへのアクセス、フィッシングメール、またはシステムの脆弱性を通じて容易に拡散されます。ランサムウェアの主な症状には、データ漏洩、システム停止、データ侵害、知的財産窃盗などが含まれます。
最も有名なランサムウェアの一つがWannaCryです。2017年、WannaCryは主要システムに拡散し、Windowsの脆弱性「EternalBlue」を悪用してこれによりPCのハードドライブに保存されたファイルが暗号化され、ユーザーは自身のファイルにアクセスできなくなりました。ただし、ビットコインによる身代金を支払うことで復号化とファイルアクセスが可能となりました。ランサムウェア対策として、組織がセキュリティ対策として講じられる措置は以下の通りです:
- オペレーティングシステムを最新の状態に保ち、パッチを適用する
- 信頼できないソースからのソフトウェアインストールを避ける
- 特定のユーザーへの管理者権限付与を避ける
- ファイルを定期的にバックアップする
これらの防御策は、ランサムウェア攻撃の防止や、他の種類のサイバー脅威に対するシステムの防御力の向上に役立ちます。
6. キーロガー
キーロガーは、サイバー攻撃者がユーザーのキーボード入力内容を監視・記録するステルス型のマルウェアです。キーロガー攻撃では、すべてのキー入力が記録され、サイバー犯罪者に送信されます。デバイス内の情報のほとんどは入力によって記録されるため、サイバー犯罪者はクレジットカード情報、メール、銀行口座のパスワードなどの機密データを追跡し、企業ネットワークへのアクセス権を取得して情報を盗みやすくなります。
キーロガーは、従業員の勤務時間の追跡、デバイスの問題解決、さらには親が子供のデバイス使用時間を監視するなど、合法的な目的で使用されることがほとんどです。しかし、悪意のある者はキーロガーをサイバー犯罪の実行に利用します。キーロガーにより、攻撃者は被害者が何を入力したか、どのウェブサイトを訪問したかを把握し、被害者についてより深く理解することができます。これはソフトウェアベースのキーロガーであり、物理的に、あるいはマルウェア配布を通じてユーザーのデバイスにインストールされる可能性がありました。ユーザーの行動を監視し、キーストロークを記録し、ファイルに保存してサイバー攻撃者に送信するソフトウェアでした。このマルウェアは、パスワード、ユーザー名、攻撃者は盗んだデータを用いて、個人情報の不正利用や制限付きアカウントへのアクセスを試みました。
他のマルウェアと同様に、以下の手順を実行することでシステムをキーロガーから防御できます。
- 信頼できるソースからアンチウイルスおよびアンチマルウェアをインストールする。
- ソフトウェアとアプリケーションを頻繁に更新し、システムの脆弱性を修正する。
- 不審なリンクのクリックやメール添付ファイルの開封を避ける。
- ユーザー名やパスワードなどの機密データ入力には仮想キーボードを使用する。
- マルウェアやウイルスを検出するため定期的にスキャンを実行する。
マルウェアの検出と削除方法とは?
コンピュータがウイルスやマルウェアに感染すると、動作が異常になります。ユーザーはシステム内に未知または不審なファイルやアプリケーションがダウンロードされていることに気付くかもしれません。また、コンピュータが不要なポップアップを表示したり、頻繁にフリーズやクラッシュを起こすこともあります。システムが新しいソフトウェアのインストールや古いソフトウェアの削除を許可しない場合さえあります。
多くのPCでは、過熱やファンからの大きな騒音が発生する可能性があります。さらに、ハードドライブを搭載したコンピュータでは、回転音が聞こえることもあります。これらの兆候は全て、コンピュータに何らかの異常があるか、システムが侵害されたことを示しています。
マルウェアが検出されたら、迅速に対策を講じて除去し、システム全体への拡散を防ぐことが重要です。
- システムの使用を避ける: ユーザーが入力する機密情報の多くは、ショッピングやオンラインバンキングなどの目的でインターネット経由で行われるため、コンピュータにマルウェアが存在しないことが確実になるまで、これらの操作を一時的に停止することが重要です。
- ウイルス対策ソフトとマルウェア対策ソフトのインストール: ウイルスやマルウェアを自動スキャンするソフトウェアがシステムに不足していると、マルウェアが容易に侵入し感染を引き起こします。多くの場合、これらのマルウェアは、不審なソースからのファイルダウンロードや感染したウェブサイトのクリックによって侵入を許します。
- 定期的な更新: 新規インストールまたは既存のセキュリティソフトウェアは定期的に更新することが重要です。これらの更新により、マルウェアのシステム感染を防ぐことができます。
- 頻繁なデバイススキャン: システムが異常な動作をした場合、ソフトウェアが自動的にスキャンを実行するのを待たずに手動でスキャンを実行することが、マルウェアの侵入を防ぐ上で極めて重要です。また、見慣れないファイルを注意深く観察し、削除することも重要です。
- オペレーティングシステムの再インストール:マルウェアの侵入を確実に防げたかどうかは、往々にして疑わしいものです。しかし、コンピュータの動作が遅い、クラッシュする、過熱するなどの問題が継続する場合、オペレーティングシステムの再インストールが有効です。再インストール前には、重要なデータのバックアップが必須です。システム再インストールにより保存データが失われるためです。
SentinelOneによるマルウェア検知と対策
SentinelOneは業界をリードするエンタープライズセキュリティプラットフォームであり、マルウェアやサイバー脅威から保護します。Singularity™ Endpointは、エンドポイント、サーバー、モバイルデバイス、攻撃対象領域に対して自律的な保護を提供します。マシン速度でのマルウェア分析を実行し、ランサムウェア、スパイウェア、ファイルレス攻撃に対抗できます。
Singularity™Cloud Security は、オンプレミス、クラウド、ハイブリッド環境を横断するマルウェア対策のための究極のCNAPPソリューションです。独自のOffensive Security Engine™を搭載し、特許取得済みのStorylines™技術とVerified Exploit Paths™を融合。ミッションクリティカルな耐久性を備えた本番環境向けランタイム保護を提供。eBPFアーキテクチャを基盤とし、世界で最も信頼され受賞歴のあるクラウドセキュリティスイートです。
Singularity™ Cloud Securityの中核機能は、Kubernetes Security Posture Management(KSPM)、Cloud Security Posture Management(CSPM)、Infrastructure as Code Scanning (IaC)、シークレットスキャン、AI-SPM、脆弱性管理、外部攻撃面管理、クラウド検知・対応(CDR)、クラウドワークロード保護プラットフォーム(CWPP)、 クラウドインフラストラクチャ権限管理(CIEM)。
結論
インターネットは安全な空間である一方、あらゆる場所に潜むサイバー犯罪者が攻撃の機会を伺っていることは疑いようがありません。彼らは常に混乱を引き起こす準備が整っており、その手法の一つがマルウェアを拡散させシステムインフラに損害を与えることです。これらのマルウェアはウイルス、ワーム、ルートキット、ランサムウェアなど様々な形態で存在します。
組織は、これらのサイバー脅威がシステム全体および共有ネットワークに接続する全ての人々に重大なリスクをもたらすことを認識すべきです。サイバーセキュリティ戦略を実施することで、企業はシステム環境へのマルウェア感染を防ぐだけでなく、評判の毀損や潜在的な金銭的損失も回避できます。
FAQs
マルウェアはウイルスとは異なります。マルウェア(悪意のあるソフトウェア)とは、システムに損害を与え感染させるために特別に作られた、あらゆる悪意のあるソフトウェアの総称です。マルウェアにはワーム、トロイの木馬、スパイウェアなど様々な種類があります。一方、ウイルスは自己複製し他のデバイスに拡散するマルウェアの一種です。
マルウェアの分類とは、特定のカテゴリーにマルウェアの種類を割り当てることを意味します。特定のカテゴリー内のマルウェアは、コードの挙動、パターン、影響など、共通の特徴を共有しています。これらのマルウェアを分類することで、サイバーセキュリティチームは固有のマルウェアの種類を区別し、その動作方法、結果、最適な検知・防止策を理解するのに役立ちます。
マルウェアは以下のような様々な手段で拡散されます:
- 信頼できないソースからのソフトウェアのダウンロードやインストール。
- メールの添付ファイルや不審なリンクの開封・クリック。
- 感染したウェブサイトの閲覧。
- USBフラッシュドライブなどの感染デバイスへの接続。
マルウェアがシステムに侵入すると、インフラ全体に拡散するまでに時間はかかりません。組織が共有ネットワークを利用している場合、他の個人や企業も危険に晒されます。
システムをマルウェアから保護する最善の方法は以下の通りです:
- コンピュータとソフトウェアを常に最新の状態に保つこと。これらの更新はオペレーティングシステムの全体的なセキュリティを向上させ、準備が整い次第、自動セキュリティ更新を適用することもあります。
- ウェブ閲覧、ゲームプレイ、ウェブサイトへの登録などの日常的な作業には、管理者権限のないアカウントを使用することが理想的です。これにより、マルウェアのインストールを防ぐことができます。
- 一部のウェブサイトはマルウェアに対する防御がほとんど、あるいは全くないため、ファイル共有を制限してください。
- 信頼できるソースからアンチマルウェアソフトウェアをインストールし、システムを定期的にスキャンして、マルウェアが拡散する前に検出してください。
