プロフェッショナル サービス
Trellix Thrive Solution Services Cyber Consulting Services
教育とトレーニング
研修サービス トレーニング コース

マルウェアとは

マルウェアとは、「malicious software」の略で、プログラム可能なデバイス、サーバー、ネットワークに損害を与えたり、悪用したりするために設計された算出コードです。マルウェアの悪意は、アクセス拒否、データの破壊や盗難、金銭の窃盗、コンピューター リソースの乗っ取り、誤情報の拡散、マルウェアの拡散など、さまざまな形態で現れます。サイバー犯罪者がマルウェアを拡散する目的としては、金銭目的、スパイ行為や機密情報の窃盗、競合他社や敵に損害を与えることなどが考えられます。

何百万ものプログラム可能なデバイスがインターネット経由で接続されるようになった現在、マルウェアはサイバー犯罪業界の重要な地位を占め、その勢力を伸ばしています。サイバー犯罪者は、以下のようにさまざまな方法でマルウェアを配布しています。

  • 広く知られている Web サイトに感染し、サイトの訪問者にマルウェアを配布する。
  • 正当なファイルに偽装したマルウェアをメールに添付する。
  • プログラミング ユーティリティやソフトウェア アップデートなど、信頼されたアプリケーションやツールに悪意のあるコードを挿入する。 

マルウェア攻撃の 5 つのカテゴリ

マルウェア攻撃は通常、攻撃者の目的に応じて次の 5 つのカテゴリに分類されます。

スパイウェアとアドウェア

アドウェアは、ユーザーの閲覧傾向に関する情報を収集し、ポップアップ広告をユーザーに表示します。ポルノウェアは、ポルノの画像や広告をコンピューターにダウンロードし、ポルノ トーク サービスへのオートダイヤルも可能なアドウェアの一種です。スパイウェアは、ユーザーの Web 閲覧履歴などの情報も収集しますが、パスワードや口座番号など、より機密性の高いデータも収集します。顧客リストや財務レポートなどの機密情報を盗み出す場合もあります。スパイウェアやアドウェアは多くの場合、マルウェア対策プログラムなど、正規のアプリケーションになりすましています。

ボットネット マルウェア

ボットネット マルウェアは、乗っ取ったコンピューターのネットワークを作成し、遠隔でこのネットワークをコントロールするものです。ボットネットと呼ばれるこれらのネットワークは、数百または数千のコンピューターで構成され、それぞれが次のような悪意のあるアクティビティのいずれかを実行します。

  • 迷惑メールの送信
  • 仮想通貨のマイニング (下記のクリプトジャッキングを参照)
  • 組織のネットワークを中断または無効にする DDoS (分散型サービス拒否) 攻撃
  • より多くのボットネットを作成するためのマルウェア配布

ランサムウェア

ランサムウェアは、2016 年に世界中で大量のランサムウェア エクスプロイトがコンピューターを暗号化してこれらを人質に取り、ビットコインやその他の仮想通貨での身代金の支払いを要求したことにより、注目を集めました。最も悪名高いものの 1 つは、2017 年 5 月に発生した WannaCry/WannaCryptor ランサムウェアで、英国の国民保健サービス (NHS) を含む世界中の主要組織に影響を及ぼしました。攻撃者は、コンピューターの復号キー 1 つにつき 300 ドルのビットコインを要求しましたが、必ずしもキーを渡しはしませんでした。このランサムウェアによって NHS の病院が休診を余儀なくされたほか、何十万もの組織や個人が影響を受け、貴重なデータを失いました。2018 年には、攻撃者がクリプトジャッキング マルウェアに再び目を向けるようになったため、ランサムウェア攻撃は減少しました。

クリプトジャッキング (クリプトマイニング マルウェア)

クリプトジャッキング (クリプトマイニング マルウェア) は、コンピューターまたはコンピューター ネットワークを乗っ取り、仮想通貨をマイニングするものです。マイニング プログラムは、大量の処理能力、帯域幅、エネルギーを消費します。攻撃を受けると、妥当な使用であってもコンピューターの処理能力が低下する上に電気代が上昇するといった被害が生じます。過度のデータ処理は、被害者のハードウェアに損害を与える可能性もあります。マルウェア攻撃は、データの窃取や変更を行う場合や、将来的な使用に備えて他のマルウェアをインストールする場合もあります。クリプトジャッカーの中には、被害者が所有するサイバー通貨を盗み出すものもあります。

ファイルレス マルウェア

ファイルレス マルウェアは、コンピューターのメモリー内でのみ動作し、ファイルを残さないため、ウイルス対策ソフトウェアによって特定することは不可能です。RogueRobin オペレーションは、ファイルレス マルウェア攻撃の一例です。RogueRobin は、悪意のある Microsoft Excel Web Query ファイルを含むフィッシング メールから始まります。これらのファイルにより、コンピューターで PowerShell スクリプトが強制的に実行され、攻撃者が被害者のシステムに侵入できるバックドアが作成されます。コンピューターの電源をオフにするとマルウェアは消えますが、バックドアは残ります。

ファイルレス マルウェア ハッカーは、PowerShell、Excel、Windows Management Instrumentation などの信頼された技術を使用しているため、従来のセキュリティ ソフトウェアを回避できます。

アプリケーションによっては、継続的に実行する設計のものもあるため、ファイルレス マルウェア スクリプトが数日、数週間、あるいはそれ以上にわたって実行される場合もあります。ある金融サービス会社で、ドメイン コントローラーで実行されるファイルレス マルウェアが発見されました。このマルウェアは、システム管理者や、システムの深部にアクセスできる他のユーザーの認証情報を収集していました。

マルウェア対策のベスト プラクティス

マルウェア対策を強化するために個人や組織が実装できる主な戦略をご紹介します。

  • データを頻繁にバックアップします。ファイルまたはデータベースが破損した場合でも、最新のバックアップからリストアできる可能性があります。そのため、複数のバックアップを一定期間維持してください。また、バックアップを定期的にテストして、正常に機能することを確認します。
  • マクロを無効化します。不要な管理ツールやブラウザー プラグインは無効にしておきます。
  • 常に最新バージョンのマルウェア検出ソフトウェアをインストールします。高度なマルウェア検出プログラムおよびサービスでは、次のような複数の方法でマルウェアを検出して対応しています。
    • 隔離された環境での不審なウイルスのサンドボックス化またはアクティブ化
    • レピュテーション フィルタリングの実行 (例: 送信 IP アドレスのレピュテーションによるフィルタリング)
    • シグネチャ ベースのフィルタリングを使用し、既知のマルウェアの特性と比較してマルウェアを特定
    • 動作ベースの分析ソフトウェアを使用。ソフトウェアは人工知能と機械学習を使用して通常のユーザー動作をプロファイルし、アプリケーションの異常な使用があればこれを検出
  • マルウェアの脅威について学びます。あらゆるマルウェア感染を防止する上で最も重要な要素は、ユーザー自身です。ユーザーは、未承認のアプリケーションをダウンロードしてインストールする、コンピューターに USB メモリーを挿入する、信頼されていない Web サイトを閲覧するといった行為のリスクを認識しておく必要があります。

ユーザーにインターネットとソーシャル メディアの安全な使用方法に関するトレーニングを行うことを推奨します。ユーザーは、最新のマルウェア脅威に関して定期的に情報を得られるほか、セキュリティ対策における注意事項を再確認できます。IT 部門の従業員は、Trellix のウェビナーへの参加に加え、Trellix のブログTrellix 脅威センターのレポートをお読みいただくことで、セキュリティ スキルを向上させることができます。

Explore more Security Awareness topics