近年、マルウェアによる甚大な被害が国内外で発生しており、企業・組織では、マルウェア感染を防ぐための対策とともに、万が一感染した場合にも、被害を最小限にとどめるための対策が求められています。この記事では、マルウェアに感染したときの症状や感染経路、対処法などについて詳しくご紹介します。
マルウェア感染の主な症状
マルウェアに感染すると、さまざまな被害を受ける可能性があります。まずは感染によってどういった被害に遭う可能性があるのかご紹介します。
データが破壊・抜き取られる
マルウェアに感染することで、PC内のデータが破壊されたり、抜き取られたりする可能性があります。顧客情報や業務に関わる資料など、PC内に保管されているデータが閲覧できなくなってしまいます。攻撃者が管理者権限を乗っ取った場合は、ファイルサーバーやデータベースサーバー上のデータが破壊される可能性もあります。
デバイスが起動しない・勝手にシャットダウンする
マルウェアに感染すると、突然PCやスマートフォンが起動しなくなるケースがあります。そのほかにも、再起動を繰り返したり、シャットダウンしたまま稼働しなかったりするケースもみられます。PCが意図しない動きをする場合は、システムやハードウェアの故障の可能性もありますが、マルウェアの感染を疑いながら、調べることが大切です。
身に覚えのない挙動をする
操作していないにもかかわらず、アプリケーションやポップアップが立ち上がったり、不審なタブが繰り返し表示されたりするケースもあります。これは、ユーザーが気づかないうちに、こうした動作を攻撃者が遠隔で行っていたり、表示したポップアップ広告をユーザーに閲覧させようとしていたりする可能性があります。ポップアップ広告をクリックすると、さらに不正なWebサイトに誘導されることもあるため注意が必要です。
マルウェアのよくある感染経路
マルウェアがどういった経路で感染するのか、ここではよくある感染経路についてご紹介します。
マルウェアがメールに添付されている
メールはマルウェアの感染源としてよく見られるパターンです。メールに記載されているURLをクリックしたり、添付されたファイルを開いたりした際に端末がマルウェアに感染するケースは少なくありません。
攻撃者は標的とする組織がどういった業務を行っているのか、調べた上でメールを送ります。業務に関連のありそうなファイル名や拡張子を偽装したマルウェアがメールに添付されるため、うっかり添付ファイルを開かないように日頃から訓練などを行う必要があります。
Webサイトが改ざんされマルウェアが仕掛けられている
攻撃者がWebサイトを改ざんし、マルウェアを仕掛けているケースもあります。この場合、Webサイトを閲覧するだけでマルウェアに感染してしまいます。攻撃者は、標的とする企業が普段どういったWebサイトにアクセスしているのか、割り出した上でマルウェアを仕掛けます。Webサイトの改ざんが発覚しにくく、マルウェアの検知までに時間がかかることがあります。
USBデバイスなどの外部メモリ
USBデバイスやCD-ROMなどの記録媒体にマルウェアが仕込まれていることもあります。端末の設定によっては記録媒体の挿入と同時にマルウェアに感染することもあるので注意が必要です。
また、マルウェアの感染に気づかないまま、ほかの記録媒体をPCに読み込むと、その記録媒体もマルウェアに感染し、組織内にさらに感染が拡大していく恐れがあります。
ファイル共有ソフトウェア・ファイル共有サービス
インターネット上で不特定多数とファイルを送信・受信できるファイル共有ソフトウェアやファイル共有サービスも、マルウェアの感染経路となり得ます。ファイル共有ソフトウェアでやりとりされるファイルには、マルウェアに感染しているものが紛れている恐れがあり、こうしたソフトウェアやサービスを利用している場合、マルウェア感染への危険性は極めて高くなります。
マルウェアの種類例
マルウェアにはさまざまな種類が存在しています。ここでは、主なマルウェアの種類についてご紹介します。
①ランサムウェア
ランサムウェアは、感染したコンピューター内に保存されているデータを暗号化し、暗号化の解除と引き換えに身代金を要求したり、「データを公開する」と脅迫したりします。近年被害が急増しているマルウェアとして、特に注意する必要があります。
②ウイルス
ウイルスは、プログラムに寄生して活動するマルウェアです。ウイルスの中には、自分のコピーを作成してプログラムファイルに寄生し増殖することで、感染を拡大させる自己複製能力を持つものもあります。
③ワーム
ワームは、インターネットなどを利用して自己複製していくマルウェアです。宿主となるプログラムを必要とするウイルスとは違い、ワームは単独で複製・増殖することができます。感染するとPC内のファイルを削除されたり、別のPCへ侵入されたりする場合があります。
④トロイの木馬
トロイの木馬は、無害なアプリケーションを装い、ユーザーに不正なプログラムをインストールさせる手口です。このマルウェアに感染すると、さらなるサイバー攻撃に向けてバックドアといわれるコンピューターへの侵入口が設けられたり、コンピューターを不正に利用されたりする恐れがあります。
マルウェア感染の事例3選
近年マルウェアに感染し、世界中のさまざまな企業・組織で被害を受ける事例が多発しています。例えば、以下のようなケースがあります。
-
メールの添付ファイルからの感染
メールに添付された不正なファイルを開封したことで、PCからシステムサーバーまでマルウェアに感染。外部からの不正アクセスによって多くの個人情報が漏洩しました。 -
私物PCの利用による感染
ある教育機関の職員が、私物PCがマルウェアに感染していることに気がつかないまま、業務で使用したところ、不正アクセスによって学生の個人情報が漏洩しました。 -
企業Webサイトの改ざん
外部からの不正アクセスによって、企業のWebサイトが改ざんされました。これにより、Webサイトにアクセスすると、マルウェアへの感染を引き起こす不正プログラムが実行される仕様になってしまいました。
そのほかにも、制御システムを標的としたマルウェア感染により、工場が操業停止に陥る事例も報告されています。制御システム関連のサイバーインシデント事例については、こちらをご確認ください。
マルウェア感染の予防・確認・対処方法
マルウェアに感染しないためには、事前の対策が欠かせません。万が一、マルウェアに感染してしまった際にも、被害を最小限にとどめるためには事前に対処法を確認しておく必要があります。ここでは、感染しないための予防法や確認法、万が一感染したときの対処法についてご紹介します。
予防方法
- セキュリティソフトウェアの導入
- ファイアウォールの導入
- PCのOSやソフトウェアのアップデート
- 推測されにくいパスワードを設定し、定期的に変更
- 従業員への注意喚起
- 異常な通信を検知する製品の導入
セキュリティソフトウェアやファイアウォール、PCやサーバーといったエンドポイントにおける不審な挙動を検知する「EDR」などを導入することで、セキュリティレベルを高められます。そのほか、ファイアウォールやプロキシなどから出力されたデータを一元的に集約し、通信の流れをより詳細に把握してインシデントを検知する「SIEM」などのソリューションもあります。
また、ソフトウェアやOSの脆弱性は、マルウェアの主な感染経路の一つであるため、アップデートして最新版に保つことが欠かせません。マルウェアを侵入させないために、従業員一人ひとりのITリテラシーを高めることが重要になります。
確認方法
- セキュリティソフトウェアによるPCのスキャン
- 不審なソフトウェアがインストールされていないか定期的に確認
セキュリティソフトウェアを使用して、コンピューター上のファイルやフォルダをスキャンし、不正なソフトウェアを検出できます。
また、Windows OSの場合は、コントロールパネルから、PCにインストールされているソフトウェアを確認できます。その中にインストールした覚えのない不審なソフトウェアがあった場合、アンインストールなどの対応を行う必要があります。
対処方法
- サーバーのアクセス履歴から感染源を突き止める
- ファイアウォールやプロキシサーバーのログに不正通信の痕跡がないか確認する
- セキュリティソフトウェアによるマルウェアの除去や隔離
- 感染したPCのオフライン化
- スパムメールの場合は、すぐに送付先へ通知して注意を促す
- PCを初期化してマルウェアごとすべてのデータを削除する
マルウェアに感染した疑いがある場合、ほかのコンピューターに拡大感染する恐れがあるため、まずはすべてのネットワークから切り離した上で、セキュリティソフトウェアによるマルウェアの除去や隔離を行います。この方法でもマルウェアが除去できない場合は、最終手段としてPCを初期化します。こうした万が一のためにも、日頃からデータのバックアップをしておくことが重要です。
まとめ
ここまでマルウェアの感染経路や感染した際の被害などについてご紹介しました。マルウェアに感染すると、個人情報が漏洩したり、場合によっては工場が操業停止して、企業活動がストップしてしまったりと、企業・組織の信用に関わる事態に発展する可能性があります。こうした事態を避けるためには、セキュリティソフトウェアなどを活用した対策が欠かせません。
Sky株式会社のクライアント運用管理ソフトウェア「SKYSEA Client View」は、EDR製品と連携。EDR製品がPCのマルウェア感染を検知すると、「SKYSEA Client View」がPC上のマルウェアを隔離します。また、検知したマルウェアの情報を基に、ほかのクライアントPCが同じマルウェアに感染していないか自動で調査し、マルウェアが確認された場合は同様に自動で隔離することが可能です。「SKYSEA Client View」のマルウェア対策の機能については、こちらをご確認ください。