ワームとは？ 種類や感染経路のほか、対処法と予防策を解説

ワームとは、端末の乗っ取りや情報の窃取などを行うマルウェアのこと

ワームはもともと、「虫」を意味する言葉です。ネットワーク内を虫のように這い回るという特性から、端末の乗っ取りや情報の窃取などを行うマルウェアの一種を「ワームウイルス」と呼ぶようになりました。過去には世界規模での感染被害をもたらしたこともあるなど、感染力が非常に強いことで知られています。

なお、マルウェアは、悪意のあるソフトウェアや不正プログラムの総称です。端末の乗っ取りや情報の窃取といった被害をもたらすワームもマルウェアに含まれます。マルウェアを特性ごとに分類していくと、ウイルスやトロイの木馬、ワームといった種類に分かれます。

ワームの特徴

ワーム対策を行うには、まずワームがどのようなマルウェアであるかを押さえておくことが必要です。ワームならではの特性や、その攻撃手法の特徴を紹介します。

感染対象となる宿主（ファイル）が不要

ワームの大きな特徴に、感染対象となる宿主（ファイル）を必要としない点が挙げられます。マルウェアの中でもウイルスなどは感染対象を必要とするため、単体では活動できません。一方、単体で活動できることが、ワームの強い感染力の一因といえます。

自己増殖が可能

ワームには、自分自身を複製する自己増殖の能力があります。また、前述のようにワームは単独での活動が可能です。ネットワーク内を虫のように動き回りながら自己増殖を続けていくため、ひとたびワームに侵入されると、被害が急速に拡大しかねません。組織内の端末が一台でもワームに感染すれば、ネットワークを通じてほかの端末にも感染が広がる恐れがあります。

ワームとウイルス・トロイの木馬との違い

ワームには、ウイルスやトロイの木馬とは異なる特性があります。それぞれの主な違いは下記のとおりです。

■ワーム・ウイルス・トロイの木馬の特長

マルウェアの種類	単体での活動	自己増殖能力
ワーム	◯	◯
ウイルス	✕	◯
トロイの木馬	◯	✕

単体での活動・自己増殖能力のいずれも可能であることがワームの特徴であり、危険な要因です。ウイルスには自己増殖能力があるものの、宿主となるプログラムが必要であり単体での活動はできません。また、トロイの木馬は単体で活動できるものの、自己増殖はできないという違いがあります。

ワームの主な感染経路

ワームにはさまざまな感染経路が想定されます。感染を防ぐためには、まずワームの主な感染経路を確認しておくことが重要です。

メールの添付ファイルからの感染

まず挙げられる感染経路は、メールの添付ファイルです。攻撃者はワームが仕込まれたファイルをメールに添付して送りつけることがあります。ユーザーが添付ファイルを開封すると、ワームは活動を開始します。また、端末内に保存されているアドレス帳のメールアドレス宛てに、自身のコピーを添付して送信するケースも少なくありません。ワームに感染した端末は、感染を拡大させるための踏み台として悪用されることもあるため、メールの添付ファイルには注意が必要です。

Webサイト・ネットワークへのアクセスからの感染

攻撃者は罠として、ワームに感染しているWebサイトやネットワークをつくることがあります。ユーザーがそれらのWebサイトやネットワークへアクセスしてしまうと、そのまま端末はワームに感染してしまいます。なお、感染経路はそれだけにとどまりません。ワームは感染させた端末からネットワークを経由して、組織内のほかの端末にも感染を広げていく可能性もあります。

外部記録メディアからの感染

攻撃者はUSBメモリなどの外部記録メディアにワームを仕込むこともあります。外部記録メディアが自動的に実行される設定になっている場合、USBメモリなどを挿入しただけで感染することも珍しくありません。

共有フォルダからの感染

ワームは自己増殖が可能なため、多くのユーザーがアクセスする場所にワームの複製ができると被害が拡大します。例えば、組織内のサーバーの共有フォルダにワームの複製が作成されると、共有フォルダにアクセスしたユーザーの端末は、いずれもワームに感染しかねません。

ワームに感染した際に想定される被害

組織内の端末がワームに感染すると、どのような被害が想定されるのでしょうか。ここでは、ワームに感染した場合の、具体的な被害を紹介します。

情報が漏洩する

ワームに感染すると、端末内に保存されているデータが窃取され、攻撃者のサーバーへと送信されてしまう可能性があります。組織が保有する機密情報や個人情報が漏洩すれば、組織としての社会的信頼を失ったり、損害賠償の責任を負ったりすることにもなりかねません。

端末が動作しなくなる

ワームが端末のリソースを大量に使用することによって、端末の動作が極端に遅くなったり、動作しなくなったりする場合があります。CPUの処理能力やメモリの容量を超える不正な動作が繰り返されてしまえば、端末が完全に動作を停止してしまうケースも少なくありません。

端末が乗っ取られる

ワームに感染した端末は攻撃者に乗っ取られ、ユーザーによる操作を受けつけなくなったり、データが不正に暗号化されてしまったりすることもあります。攻撃者によっては、端末を正常な状態に戻すことを条件に身代金を要求するケースもあります。なお、攻撃者の要求を受け入れたとしても、端末が感染前の状態に戻る保証はありません。

別のマルウェアがインストールされる

ワームは端末内に不正侵入するための経路である「バックドア」を設置し、別のマルウェアを送り込むこともあります。インストールされるマルウェアの種類によっては、攻撃者が端末を遠隔操作できる状態になる場合もあるため、ワームに感染した時点で可能な限り早期に対処することが重要です。

メール送信、SNS投稿を勝手に行うことで感染経路が広がる

感染した端末を利用してワームがメールを勝手に送信したり、SNS投稿を自動で行ったりすることも想定されます。なお、送信されるメッセージには複製されたワームがファイル添付されていたり、マルウェアが仕込まれたWebサイトのURLが記載されていたりするため、感染拡大につながりかねません。

仮想通貨の採掘（マイニング）に使われる

仮想通貨を獲得する手段の一つに、採掘（マイニング）がありますが、採掘には端末の膨大な処理能力が必要です。そのため、攻撃者はワームに感染した端末をこうした採掘に不正に利用することもあります。攻撃者は大量の端末を乗っ取って採掘に利用することにより、強力な処理能力を持つ端末を自分で用意することなく、仮想通貨を獲得できます。

サイバー攻撃に加担させられる

ワームに感染した端末が、サイバー攻撃の踏み台として悪用されることもあり得ます。複数の端末から大量のパケットを送りつけるDDoS攻撃においては、こうした手口で乗っ取った端末が悪用されることも珍しくありません。ワームに感染すると、気づかないうちにサイバー攻撃に加担させられる恐れもあります。

ワームに感染した結果、ボットネットの手足となる

ワームに感染すると、ユーザーの端末がボットネットの手足となってしまうこともあります。ボットネットとは、攻撃者が乗っ取った端末によって構成されるネットワークのことです。ワームに感染した端末はボットネットの手足となり、攻撃者によって操られてしまいます。ごく普通の業務用端末が、いつの間にかサイバー攻撃に利用されてしまう可能性も否定できません。

ワームの主な種類

一口にワームといっても、さまざまな種類があります。過去に感染が確認されたワームの例から、ワームの主な種類と攻撃の特徴、被害例を紹介します。

LOVELETTER

「LOVELETTER（ラブレター）」は、2000年に存在が判明した、メールを介して感染するワームです。「I Love You」という件名のメールを送信してユーザーをだましていたため、「LOVELETTER」と呼ばれました。メールに添付されたファイルを開くとワームに感染し、アドレス帳を介してさらに感染を拡大させていきます。感染した端末に保存されていた画像ファイルやオーディオファイルが破壊されるといった被害も発生しました。

SQL Slammer

2003年に出現した「SQL Slammer（エスキューエル スラマー）」は、データベース記述言語であるSQLの脆弱性を突いて侵入するタイプのワームです。ごく短時間のうちに数万～数十万台の端末が「SQL Slammer」に感染し、携帯電話やインターネットの接続に悪影響を及ぼしたほか、インターネットバンキングが利用できない状況にも陥りました。

Sobig

2003年に出現した「Sobig（ソービッグ）」は、感染した端末内に保存されているメールアドレスを収集し、自身のコピーを添付したメールを自動で送信するタイプのワームです。メールを介して爆発的に感染が広がったことにより、多くのシステムに悪影響をもたらしました。

My doom

2004年から確認されている「My doom（マイ ドゥーム）」は、メールを介して感染するワームの一種です。送信エラーを想起させる件名で大量のメールを送りつけることにより、メールに添付されたファイルを開かせるようユーザーを仕向けます。添付ファイルを開くと端末にバックドアが仕掛けられ、端末内に保存されていたデータが攻撃者に送信される仕組みです。

Conficker

2008年から確認されている「Conficker（コンフィッカー）」は、Windows OSの脆弱性を突いて侵入し、推測されやすいパスワードが設定されているファイルに不正にアクセスする手口のワームです。「Conficker」に感染した端末は、大量の迷惑メールの発信源としても悪用されました。全世界で、1,000万台以上もの端末が「Conficker」に感染したといわれています。

Emotet

「Emotet（エモテット）」は、2014年にロシア拠点のサイバー犯罪攻撃として検出されて以降、近年もなお被害が絶えないワームです。メールに添付されたファイルを開くと端末が「Emotet」に感染し、端末内に保存されている個人情報が窃取されます。さらに、なりすましメールを大量に送り付ける際の踏み台として感染した端末を悪用するため、被害が拡大しやすい点が特徴です。

WannaCry

「WannaCry（ワナクライ）」は、ワームとランサムウェアを組み合わせて構成されたマルウェアで、2017年に初めて被害が確認されました。感染した端末に保存されているデータを不正に暗号化し、復号と引き換えに身代金を要求する手口から「ワーム型ランサムウェア」とも呼ばれています。

ワームに感染してしまった際の対処法

組織内の端末がワームに感染してしまった場合、どのように対処すればよいのでしょうか。具体的な対処方法を紹介します。

ネットワークからPCを切断する

ワームは、ネットワークを通じてほかの端末へと感染を拡大させていくため、ワームの感染が疑われる端末は、いち早くネットワークから切り離すことが大切です。有線LANであれば端末からLANを引き抜き、無線LANであればWi-Fiをオフにすることにより、端末内のデータが攻撃者に送信される被害を防ぐことができます。

ウイルス対策ソフトウェアを活用して隔離・駆除を行う

ネットワークから端末を切り離したら、続いてウイルス対策ソフトウェアを活用してワームの隔離と駆除を行います。端末内をスキャンした結果、ワームが発見されれば適切な方法で駆除できるケースがほとんどです。ただし、ネットワークを通じてほかの端末もワームに感染している恐れもあります。同一のネットワークに接続されていたほかの端末についても、同様にウイルス対策ソフトウェアによるスキャンを実施することが大切です。

ワーム感染への予防策

ワーム感染を未然に防ぐには、予防策を講じておく必要があります。講じておきたい主な予防策は、下記のとおりです。

OSやソフトウェアは常に最新の状態にする

OSやソフトウェアを常に最新の状態にしておくことは、ワームへの感染を防ぐための基本的な対策の一つです。OSやソフトウェアの提供企業は、自社商品に脆弱性が発見されるごとにセキュリティ更新プログラムを含むアップデートプログラムを提供しています。OSやソフトウェアのアップデートプログラムが提供された際には、速やかに適用することが大切です。

不審なメールや送信元が不明なファイルのリンクは開かない

不審なメールや送信元が不明なファイルのリンクは決して開かないようにすることが大切です。攻撃者は取引先などの関係者を装ってメールを送る場合もあるため、少しでも不審な点があれば本当に正しい送信者であるか確認する必要があります。例えば、件名やメールの文面、署名などに普段とは違った点が見られたり、メール本文にURLだけが記載されていたりするようなら、不審なメールが届いている可能性を疑わなくてはなりません。

不審なメールに記載されているURLは閲覧しない

不審なメールの本文に記載されているURLは、リスクのあるWebサイトへとつながる可能性があるため、閲覧しないよう注意が必要です。有名な企業やサービスを名乗っているWebサイトであっても、それが本当に正規のWebサイトであるかどうかはわかりません。Webサイトにアクセスする際には、リンクではなく検索やブックマークを経由して訪問したほうが安全です。

アンチウイルスソフトウェアを活用する

アンチウイルスソフトウェアを活用し、ワームの侵入を防ぐのは有効な対策の一つといえます。不正なプログラムを検知すると、アンチウイルスソフトウェアが警告を発出するため、異変に気づきやすくなります。なお、ワームは次々と新しいタイプが誕生するため、未知のワームにも対応できるアンチウイルスソフトウェアを選ぶことがお勧めです。具体的には、「AI検知」や「ふるまい検知」といった機能を備えたソフトウェアを選ぶとより安全です。

EDRを導入する

ワームが端末に感染した場合に備えて、エンドポイント（コンピューター、スマートフォンなど）向けセキュリティソリューションのEDR（Endpoint Detection and Response）を導入しておくことも重要な対策といえます。万が一ワームが侵入した場合、EDRにより不審な動作が確認された端末を自動的にネットワークから切り離したり、速やかに管理者へと通知したりできるからです。初動対応の遅れを防ぐためにも、EDRの導入は強くお勧めします。

ワームへの対策はできるだけ早期に講じておくことが重要

ワームには数多くの種類があることに加え、感染すればごく短時間のうちに被害が拡大していく恐れがあります。ワームへの対策をできるだけ早期に講じ、脅威に備えておくことが大切です。

クライアント運用管理ソフトウェア「SKYSEA Client View」は、UTM（Unified Threat Management：統合脅威管理）や次世代ファイアウォールと連携することで、不審な通信を検知し、管理者に素早くアラートで通知。ワームによるマルウェア感染の早期発見と被害最小化をサポートします。また、ウイルスが検知されたコンピューターをネットワークから自動遮断し、速やかな調査の実施を支援する機能なども搭載。OSやソフトウェアを最新の状態にする迅速なアップデートによって脆弱性への対策も行います。

ワーム対策に悩んでいる事業者様は、「SKYSEA Client View」の導入をご検討ください。