
近年、企業や団体がマルウェアを用いたサイバー攻撃の被害に遭うケースが急増しています。ウイルスをはじめとするマルウェアの脅威に備えることは、あらゆる組織にとって急務といえます。今回は、マルウェアの概要や被害の例、主な感染経路などについてわかりやすく解説。マルウェアの脅威に備えるための対策や、万が一マルウェアに感染した場合に行うべきことも併せてご紹介します。
マルウェアとは
マルウェアとは、不正かつ有害な動作を行う目的で作成された悪意のあるソフトウェアやプログラムの総称です。攻撃対象のPCやネットワークから機密情報を盗んだり、情報を改ざんしたりすることで組織に甚大な被害を与えます。マルウェアにはさまざまな種類があり、ウイルスやトロイの木馬のほか、近年猛威を振るっているランサムウェアもその一種です。
マルウェアの種類
マルウェアにはさまざまな種類があり、代表的なものとして以下が挙げられます。
- ウイルス
- ワーム
- トロイの木馬
- スパイウェア
- ランサムウェア
効果的なセキュリティ対策を講じるには、マルウェアの種類や特徴を理解しておくことも大切です。ここでは、それぞれについて詳しく解説します。
ウイルス
ウイルス(コンピューターウイルス)とは、プログラムに寄生し、そのプログラムの動作を妨げたり、データを破壊したりするマルウェアです。自己増殖が可能で、ネットワークを通じてほかのプログラムへと感染を広げていきます。ウイルス単体では活動できず、プログラムの実行やメールの添付ファイルの開封など、ユーザーの操作を介して起動されます。
ワーム
ワームとは、ウイルスと同様、感染したプログラムの動作を妨げたり、データを破壊したりするマルウェアです。自己増殖が可能で、ネットワークを通じて感染を広げていく点もウイルスと同じですが、最大の特徴はプログラムに寄生しなくても単体で活動できることです。単体では活動できないウイルスよりも短期間で感染が広がりやすく、被害が拡大する危険性があります。
トロイの木馬
トロイの木馬とは、無害なファイルやアプリケーションになりすましてPCやスマートフォンに侵入し、秘密裏に攻撃を実行するマルウェアです。ギリシャ神話の「トロイア戦争」で、ギリシャ軍が巨大な木馬の中に兵士を隠して敵の城内に送り込んだことになぞらえ、この名前がつけられました。自己増殖はしませんが、侵入されたことに気づきにくく、長期間にわたって被害を受け続けてしまう危険性があります。
スパイウェア
スパイウェアとは、不正に侵入したPC内の情報を勝手に外部へ送信するマルウェアです。個人情報やWebサイトの閲覧履歴、クレジットカードのパスワードなどが悪意ある第三者に漏洩し、社会的・金銭的な被害を受ける可能性があります。
ランサムウェア
ランサムウェアとは、PCやサーバーに侵入し、データやファイルの内容を勝手に暗号化するマルウェアです。身代金を意味するRansom(ランサム)とソフトウェアを組み合わせた造語で、攻撃者から復旧と引き換えに身代金を要求されるのが特徴です。近年はランサムウェア攻撃が増加しており、大手企業や医療機関が業務停止に追い込まれるなど、深刻な被害を生み出しています。
マルウェアの感染経路
マルウェア対策を適切に講じるためには、感染経路を正しく把握することが重要です。マルウェアの主な感染経路は以下になります。
- メールの添付ファイルや本文中のURL
- Webサイトでのコンテンツ閲覧やファイルのダウンロード
- USBメモリやCD・DVDなどの記録媒体
- ファイル共有ソフトウェア
マルウェアによる被害の例
マルウェアに感染すると、組織にとって重要な情報が外部に流出したり、窃取されたりする恐れがあります。さらに自社が被害に遭うだけでなく、感染した端末が乗っ取られ、別会社へのサイバー攻撃に悪用される可能性もあるため油断は禁物です。マルウェアによる具体的な被害例は下記のとおりです。
- 個人情報・機密情報の漏洩
- データの改ざん
- 金銭的な損失
- サイバー攻撃の踏み台
もしマルウェアに感染しても被害を最小化する対策を早急に講じられるよう、被害例をしっかりと把握しておくことが大切です。それぞれについて詳しく解説します。
個人情報・機密情報の漏洩
マルウェアへの感染で想定される被害の一つが、個人情報や機密情報の漏洩です。デバイス内に保存されている顧客の名前や連絡先、クレジットカード番号のほか、組織の技術情報などを攻撃者に盗まれる危険性があります。これらの情報が漏洩すると、不正ログインやなりすましといった二次被害が起こり、顧客や取引先からの信頼も損なう可能性があるため注意が必要です。
データの改ざん
マルウェアによってシステム内のデータやファイルを不正に書き換えられる被害も発生しています。特に、Webサイトを攻撃者に改ざんされ、組織が正しい情報を発信できなくなったり、Webサイトを閲覧した利用者がマルウェアに感染してしまうといった事例が数多く確認されています。
金銭的な損失
マルウェアへの感染は、大きな金銭的損失につながるリスクがあります。盗まれた個人情報やクレジットカード情報を悪用した不正送金被害などがその一例です。また、直接的な金銭の被害だけでなく、感染経路の詳しい調査や攻撃を受けたシステムの復旧にかかるコスト、業務システムの停止による機会損失など、間接的な金銭の被害も発生します。
サイバー攻撃の踏み台
マルウェアに感染したことで、さらなるサイバー攻撃の踏み台として利用されてしまうケースも少なくありません。例えば、企業のPC・サーバーが攻撃者に乗っ取られ、特定のサーバーに大量のデータを送ることで機能停止に追い込むDDoS攻撃の中継地点として悪用される事例が確認されています。また、セキュリティ対策が手薄になりがちな中小企業への攻撃を起点とし、取引先の大手企業に攻撃を仕掛けるサプライチェーン攻撃も頻発しています。
効果的なマルウェア感染予防策
マルウェアへの感染を未然に防ぐには、「仕組み」と「人」の両面から対策を講じていく必要があります。マルウェア対策の中には相応のコストがかかるケースもありますが、対策が不十分なまま放置された場合、顧客情報の流出など深刻な事態を招きかねません。実際、そのような事態に陥り、組織としての信頼が低下したことで業務停止に追い込まれたり、業績悪化を招いたりした事例も見られます。マルウェア対策は必要経費と捉えて対策を講じることが大切です。ここでは、組織が講じておきたいマルウェアの対策方法をご紹介します。
OSやソフトウェアを常に最新状態にする
OSやソフトウェアのアップデートを実行し、常に最新状態に保つことは、マルウェア感染を防ぐために欠かせない対策です。OSやソフトウェアのアップデートプログラムには、新たに発見された脆弱性の解消を目的としたものがあるため、最新バージョンが配布されたら速やかにアップデートすることをお勧めします。
不要な無料ソフトウェアはインストールしない
業務に必要ない無料ソフトウェアなどは、インストールしないよう徹底することが重要です。インターネット上には無料のソフトウェアが数多く提供されていますが、開発元が不明確なケースも多いため注意が必要です。従業員が勝手にインストールしないよう、システム管理者がインストール操作を制限するのも一つの方法です。
ダウンロード版の購入は公式サイトから行う
ソフトウェアのダウンロード版を購入する際は、必ず提供元企業の公式サイトから購入することが重要です。有名なソフトウェアであっても、海賊版など正規の製品ではない可能性もあるため注意しましょう。
不審なメールに注意する
送信元が不明なメールはできるだけ開かず、メールに添付されているファイルもダウンロードしてはいけません。メール内にURLがあった場合、URLの文字列を確認し、少しでも不審な点が見られた場合には、クリックしないようにすることが大切です。
データの送信・受信は、安全なクラウドや暗号化を利用する
データをやりとりする際には信頼性の高いクラウドサービスを利用し、データを暗号化しておくことが重要です。クラウドサービスの中には、初期状態でデータの暗号化が有効になっているものも多く見られます。メールでのデータのやりとりはマルウェア感染につながる可能性もあるため、データの送信・受信には安全性の高いクラウドサービスを利用するのも一つの方法です。
マルウェアの脅威情報を定期的に収集する
マルウェアに関する脅威情報は、短いスパンで更新されていきます。以前は有効とされていた対策が、短期間のうちに効果を失ってしまうケースも決して珍しくありません。マルウェアの脅威情報を定期的に収集し、常に最新情報に基づく対策を講じましょう。
ログイン認証を強化する
ログイン認証を強化しておくことも重要です。推測されにくく複雑なパスワードを設定した上で2段階認証を活用するなど、第三者が容易にアクセスできない仕組みを構築する必要があります。特に、パスワードの使い回しを禁止するなど、遵守すべきルールを策定していくことも大切です。
ツールでログの取得・監視を行う
なりすましや乗っ取りによる攻撃者の侵入やマルウェアへの感染を防ぐには、操作ログなどの取得と監視を徹底する必要があります。そのため、不審な操作が行われた際にアラートを発出したり、アクセスを遮断したりできるツールを導入することもお勧めです。
バックアップから正常な状態に戻す手順やマニュアルを整備する
万が一マルウェアに感染した場合に備えて、バックアップデータから復旧する手順やマニュアルを整備しておくことも対策の一つです。マルウェアの感染が疑われる場合、マルウェアを駆除したとしても脅威が完全に解消され、正常な状態となったのか確認できないケースも想定されます。バックアップデータから正常な状態に戻すための手順を整えておくことで、万が一の事態が発生した際にも迅速に復旧しやすいのでお勧めです。
セキュリティ対策ソリューションを導入する
端末やネットワークを脅威から守る、セキュリティ対策ソリューションを導入することも重要なポイントです。セキュリティ対策ソリューションは、マルウェアの侵入を防ぐとともに、組織内の不審な通信や操作を検知したり、感染した端末をネットワークから遮断したりする機能を備えているものもあります。こうしたソリューションの導入により、脅威の侵入防止とインシデント発生時の早期対応を両立させていくことが大切です。
マルウェアに感染した際の対応方法
マルウェアへの感染が発覚した場合、被害のさらなる拡大を防ぐため、早急に適切な対応をとる必要があります。具体的な対応の手順は以下になります。
- ネットワークから隔離する
- 管理者・担当者に報告する
- 感染源と被害状況を把握する
- セキュリティツールでマルウェアを除去・隔離する
- セキュリティの専門家に相談する
ネットワークから隔離する
PCがマルウェアに感染した疑いがある場合、まずはLANケーブルを抜く、またはWi-Fiをオフにしてネットワークから隔離することが重要です。これにより、ネットワークを介してほかのデバイスやシステムへ感染が拡大するのを防ぐことができます。このとき、焦ってPCの電源を切らないように注意が必要です。電源を切ると、原因や感染経路を特定するための重要なデータが消えてしまう可能性があります。
管理者・担当者に報告する
PCをネットワークから隔離したら、情報システム部門の管理者や担当者に速やかに報告します。専門的な知識がないユーザーが自己判断で対応すると、被害が拡大してしまう危険性もあるため、管理者・担当者の指示に従って対応を進めていきます。
感染源と被害状況を把握する
次に、感染源の特定や被害状況の把握にとりかかります。例えば、メールやWebサイトが感染源だった場合、組織内のほかのPCも感染している可能性があるため、利用者へのヒアリングやPCの操作ログなどから速やかに感染源を特定することが重要です。また、被害状況によって必要な対処や復旧手順が変わるため、被害を受けた範囲やマルウェアの種類なども早急に確認する必要があります。
セキュリティツールでマルウェアを除去・隔離する
感染源・被害状況の把握を進めながら、セキュリティツールなどを活用してマルウェアの除去・隔離を行います。ツールを利用してもマルウェアを除去・隔離できなかった場合は、最終手段としてPCを初期化し、OSを再インストールする方法があります。このような事態になってもデータを復元できるよう、日頃からこまめにバックアップをしておくことが重要です。
セキュリティの専門家に相談する
セキュリティに精通している人材が組織にいない場合や、被害規模が大きく影響範囲を特定しきれない場合などは、セキュリティの専門家に調査・復旧を依頼するのも有効です。早急に依頼できるよう、非常時の相談先を事前に決めておくのがお勧めです。また、被害状況によっては、警察やIPA(独立行政法人情報処理推進機構)といった公的機関への相談・報告も視野に入れる必要があります。
マルウェア対策で押さえておくべきポイント
マルウェア対策を講じる上で、特に重要度の高いポイントをご紹介します。次に挙げる2点を実践し、マルウェア対策の強化を図ることが大切です。
情報資産を守るという意識を組織や個人で強化する
サイバー犯罪についてのニュースを耳にすると、漏洩した情報の件数や損害額などに着目しがちですが、機密情報などの情報資産が失われることによる組織の損失にも目を向けるべきです。マルウェア感染の被害に遭った場合には、社会的信用の失墜や経済的な損失などの重大なリスクが発生し得ることを具体的に周知し、情報資産を守るという意識を組織や個人で強化することが重要です。
無料のセキュリティソフトウェアやツールの導入で安心しない
マルウェア対策に効果があると称した無料のセキュリティソフトウェアも、数多く提供されています。しかし、無償提供されているソフトウェアは十分な効果があるとは限らないほか、セキュリティツールと偽った不正なプログラムの可能性もあります。無料のセキュリティソフトウェアを導入すれば対策になると、安易に考えないことが大切です。
「SKYSEA Client View」で適切なマルウェア対策を講じて、組織を脅威から守る
マルウェアへの対策は、IT機器やネットワークを利用している組織であれば、例外なく講じるべきです。また、マルウェアの被害が発生した場合にどう対処するかということも、あらかじめ決めておく必要があります。
組織としてマルウェアの脅威に備えるためには、複数の対策でセキュリティを強化する多層防御を講じることをお勧めします。クライアント運用管理ソフトウェア「SKYSEA Client View」は、組織内にあるすべてのPCのアップデートを徹底し、マルウェアの感染リスクとなる脆弱性の排除をサポートします。加えて、UTMや次世代ファイアウォール、エンドポイントセキュリティなどさまざまなセキュリティ製品と連携し、マルウェア感染の早期把握や、未知の脅威の発見・隔離をお手伝いします。
より安心で信頼性の高いマルウェア対策を講じたい事業者様は、「SKYSEA Client View」の導入をご検討ください。
お問い合わせ・カタログダウンロード
「SKYSEA Client View」のお問い合わせ・資料ダウンロードはこちらから
「SKYSEA Client View」の導入事例
SKYSEA Client Viewの導入事例として、SKYSEA Client Viewをご利用いただいているユーザー様に、導入を検討された経緯や導入後に得られた効果などについてお話を伺った記事を公開しています。ここでは、その中から3件の事例をピックアップして、記事の内容を一部抜粋してご紹介します。
いずれの事例においても、「SKYSEA Client View」の導入によって、IT資産管理の効率化やセキュリティ対策の強化につながったとの声が上がっています。
【導入事例】コネクシオ株式会社 様
導入前の課題
早くから全社的なセキュリティ対策に力を入れ、15年以上前からセキュリティの専任チームを設置してきました。資産管理ツールも早期に導入しましたが、巧妙化している近年のサイバー攻撃には機能不足と感じていたため、入れ替えを検討することに。複数の製品を比較検討した結果、市場シェアの高さが決め手となり「SKYSEA Client View」への入れ替えを決定しました。また、マルウェア対策には、「SKYSEA Client View」との連携効果を期待して次世代エンドポイントセキュリティ「FFRI yarai」を導入しています。
導入後の効果
「FFRI yarai」がマルウェアを検知すると「SKYSEA Client View」の「syslogによる異常端末監視」機能で、当該PCをネットワークから自動遮断できます。以前からセキュリティ教育に注力してきたため、従業員はマルウェアの検知が表示された際にはネットワークからの遮断が必要だと認識していますが、頻繁に行う作業ではないためどうしても遮断までに時間がかかることもありました。現在は、情報システム部に通知が届いた段階ですでにネットワークから遮断されています。
また、ネットワークから遮断後も「SKYSEA Client View」との通信は保たれているので、「リモート操作」を活用し、当該PCからマルウェアを駆除することもでき、遮断してから再度ネットワークに接続できるようになるまでの一連の対応がスムーズになりました。
SKYSEA Client View導入事例:「コネクシオ株式会社 様」より一部抜粋
【導入事例】桐生信用金庫 様
導入前の課題
お客様の住所やお名前だけでなく金融資産情報などの機微な情報を扱うため、当庫ではCISOやCSIRTを設置し、情報セキュリティ対策に注力しています。システム面のセキュリティ強化については、約20年前から情報漏洩対策ツールを活用し、操作ログの収集やUSBメモリをはじめとする外部記憶媒体の制御を行ってきました。
しかし、当時使用していたツールではスマートフォンの制御ができなかったため、入れ替えを検討。スマートフォンの制御の可否に加え、UIのわかりやすさも重視して複数の製品を比較検討した結果、「SKYSEA Client View」の導入を決定しました。
導入後の効果
万が一マルウェアへの感染が発覚した際は、組織内への感染拡大を防ぐため、当該PCを速やかにネットワークから遮断しなければなりません。特にイントラネット接続系の仮想PCは、お客様の個人情報を扱っていることから、PCを「速やか」かつ「確実」にネットワークから遮断できる環境を整えておく必要があります。
「ITセキュリティ対策強化」オプションの「検疫ソフトウェアイベントログ監視」機能をイントラネット接続系の仮想PCに導入したのは、「SKYSEA Client View」と連携したウイルス対策ソフトウェアが感染を検知すると、PCがネットワークから自動遮断されるからです。この機能により、いざというときに職員自身が対応しなくても機械的に遮断される仕組みになっているため、安心して業務ができているのではないかと思います。
SKYSEA Client View導入事例:「桐生信用金庫様」より一部抜粋
【導入事例】総務省 様
導入前の課題
2001年に実施された中央省庁再編によって3つの省庁を統合し、総務省となりました。この組織統合に伴い、省庁ごとに整備されていたネットワークも統一し、「総務省情報ネットワーク基盤」(以下、総務省LAN)として運用を開始。数次にわたる機器更改を行い、四期目の総務省LANとして2017年4月から運用を開始しています。この第四期総務省LANの整備に当たっては、政府方針に基づき、常にサイバー攻撃に直面することを前提としたシステムを構築し、その対策を強化。「SKYSEA Client View」などの活用で「安心・安全なICT環境の整備」の実現を図りました。
導入後の効果
情報を守るには、セキュリティパッチを全端末に適用することが欠かせません。セキュリティパッチがリリースされると、すぐにテスト環境や実環境の一部で検証を行い、問題がないと判断したものは可及的速やかに適用しています。全端末に適用する段階では、一度に配布するとネットワークに大きな負荷がかかります。そこで、中継サーバーを経由させることでネットワークの負荷を軽減しています。「SKYSEA Client View」は、外出などで配布時に端末の電源が入っていない場合でも、後から端末がネットワークに接続されたときに配布を実行するので便利です。また、管理者側からのPUSH型配布だけでなく、「ソフトウェア配布」機能のPULL型配布も利用して効率的な運用が行えるなど、当省には欠かせない機能の一つとなっています。
SKYSEA Client View導入事例:「総務省様」より一部抜粋