あらゆる事業を推進する上で、今やコンピューターは欠かせないツールです。一方で、コンピューターやネットワークを標的とした第三者によるサイバー攻撃も、巧妙化・悪質化しているのが実情です。今回は、これらサイバー攻撃の代表格となっている「マルウェア」について、その主な手口や感染経路、感染した際の症状や対処法について解説。マルウェア感染の予防対策も、併せて紹介します。
マルウェアとは、コンピューターを標的とした悪意のあるソフトウェアの総称
マルウェアは、コンピューターを標的とした悪意のあるソフトウェアの総称です。もともと、「コンピューターウイルス」や「ワーム」などと呼ばれていたものが、悪意のあるソフトウェアをまとめて「マルウェア」と称されるようになりました。マルウェアの手口としては、下記の例が挙げられます。
<マルウェアの手口の例>
- 被害者をだまして個人情報を提供させ、そのIDを盗む
- 消費者のクレジットカード情報などの金融データを盗む
- 複数のコンピューターを掌握し、ほかのネットワークにDoS(サービス妨害)攻撃を実行する
- 感染したコンピューターを使って、ビットコインなどの暗号資産を獲得(マイニング)する
マルウェアによる犯罪の傾向や特徴
多くのマルウェアは、「不正に利益を得るため」に作られています。ここでは、マルウェアの中でもサイバー犯罪において広く使われている「ランサムウェア」を例に、その手口の傾向や特徴を解説します。
ランサムウェアを使った犯罪の傾向
ランサムウェアはマルウェアの一種で、その被害件数は年々増加しています。2022年、警察庁に報告されたランサムウェアによる被害件数は230件で、その数は前年比57.5%も増加しています※。 ランサムウェアは被害者のコンピューターに知らぬ間にインストールされ、コンピューター内のデータを暗号化して利用できない状態にします。そして、データの復元と引き換えに身代金を被害者に要求するのが、ランサムウェアの犯罪によく見られる傾向です。
※警察庁 「令和4年におけるサイバー空間をめぐる脅威の情勢等について」(2023年5月)
ランサムウェアによる犯罪の特徴
ランサムウェアによる攻撃が増加している背景には、身代金を支払ってしまう被害者がいることも挙げられます。ランサムウェアによる犯罪が、ビジネスとして成立してしまっているのです。
その一例が「RaaS(Ransomware as a Service)」と呼ばれるものです。ランサムウェアの開発者が、攻撃を実行するために必要なものをまとめて提供するサービスを闇市場で販売し、脅迫をたくらむ犯罪者がそのサービスを利用したり、成果報酬として身代金の利益を分配したりしています。RaaSを利用することで、犯罪者は専門知識をほとんど持っていなくても、簡単にランサムウェア攻撃を開始することができます。
さらに近年では、暗号化されたデータの復元に身代金を要求するだけでなく、「ランサムウェアによって盗み出した機密データを公開する」と強迫する行為も見られるようになりました。暗号化と強迫という「二重恐喝」が、近年のランサムウェアによる犯罪の特徴といえます。
マルウェアの種類
マルウェアには、前述のランサムウェア以外にもさまざまな種類があります。主なマルウェアの種類は下記のとおりです。
ウイルス
ウイルスとは、プログラムに寄生し、動作を妨げたり有害な作用を及ぼしたりするマルウェアです。またウイルスの中には、自分のコピーを作成してプログラムファイルに寄生し増殖することで、感染を拡大させる自己複製能力を持つものもあります。
ランサムウェア
ランサムウェアは、前述のとおり感染したコンピューター内に保存されているデータを暗号化し、暗号化の解除と引き換えに身代金を要求したり、データを公開すると強迫したりするプログラムです。近年被害が急増しているマルウェアとして、特に注意する必要があります。
スケアウェア
スケアウェアは、コンピューターがマルウェアに感染したとユーザーに誤認させ、偽のアプリケーションを購入させる手口です。画面上に「ウイルスが検出されました」といった警告メッセージを表示し、解決策と称して不正なアプリケーションの購入ページへと誘導する手口が多く見られます。
ワーム
ワームは感染したコンピューターから別のコンピューターへと、ユーザーの操作を介することなく自己複製していくマルウェアです。宿主となる別のプログラムを必要とするウイルスとは違い、ワームは単独で複製・増殖することができます。
スパイウェア
スパイウェアは、ユーザーに気づかれることなくコンピューターにインストールされ、個人情報やインターネットの閲覧データなどを犯罪者に送信します。感染したコンピューターのあらゆる通信状況をモニタリングできる点が特徴です。
トロイの木馬
トロイの木馬は、無害なアプリケーションを装い、ユーザーに不正なプログラムをインストールさせる手口です。このマルウェアに感染するとコンピューターの正常な動作が妨げられたり、さらなるサイバー攻撃の発生源としてコンピューターを不正に利用されたりする恐れがあります。
アドウェア
アドウェアは、広告を強制的に表示させるタイプのマルウェアです。無料で利用できると称したプログラムにアドウェアが仕込まれているケースが多く見られます。中には悪意のないアドウェアも存在するものの、個人情報の収集や転送を実行する悪質なものもあるため、注意が必要です。
ボット
ボットは、コンピューターを外部から遠隔操作するマルウェアです。犯罪者がコンピューターを遠隔操作することにより、ほかのコンピューターに攻撃を仕掛けたり、サーバーからデータを盗み出したりします。
キーロガー
キーロガーは、コンピューターのキーボード操作に関する情報を記録するソフトウェアです。マルウェアとして不正な目的で使われる際は、感染したコンピューターの操作情報を外部に送信します。ユーザーに気づかれることなくインストールされ、情報を盗み出す点でスパイウェアの一種といえます。
ファイルレスマルウェア
ファイルレスマルウェアは、コンピューターにインストールされることなく、メモリ内に常駐して攻撃を実行するタイプのマルウェアです。ファイルとしての実体がなく、動作した痕跡も残さないことから、検知や除去が困難なマルウェアといわれています。
マルウェアの主な感染経路
マルウェアは具体的に、どのような経路で感染するのでしょうか。マルウェアの感染経路としてよく見られるのは次のパターンです。
<マルウェアの感染経路の例>
- メール:メールに記載のURLや添付されたファイルを開くとマルウェアに感染する
- Webサイトの閲覧:特定のWebサイトにアクセスすると、不正ファイルが強制的にダウンロードされる
- ソフトウェアのインストール:マルウェアを含むアプリケーションをインストールすると感染する
- 外部メモリ:マルウェアに感染したUSBメモリなどを端末に接続すると、自動的に作動して感染する
Webサイトやソフトウェアの中には、正規のサービスと見分けがつきにくいケースや、正規のサービスそのものが改ざんされているケースもあります。不審なWebサイトやソフトウェアを利用した覚えがなくても、マルウェアに感染する可能性はあるため注意が必要です。
マルウェアの主な症状
マルウェアに感染したコンピューターには、どのような症状が起こるのでしょうか。マルウェアの主な症状には、下記のようなものがあります。
<マルウェアに感染した際の主な症状>
- 処理能力の低下:マルウェアの動作が端末に負荷をかけるため、処理能力が低下して反応が遅くなる
- デバイスが起動しない・勝手にシャットダウンする:マルウェアによる不正プログラムや遠隔操作によって不具合が起こる
- 身に覚えのない挙動:メールが勝手に送信される、ファイルが勝手に削除・追加される
このような症状が見られた場合には、マルウェアの感染を疑う必要があります。よくある症状を把握しておき、疑わしい場合にはすみやかに対処することが大切です。
マルウェアに感染したときの対処法
マルウェアに感染すると、ほかのコンピューターやサーバーに感染が広がったり、意図しない動作により自分自身がサイバー攻撃の発生源となったりすることも考えられます。 以下にご紹介するような対処法をすみやかに実施し、被害の拡大を防ぐことが大切です。
ネットワークから隔離する
マルウェアの感染が疑われるデバイスはネットワークから切り離し、すみやかに隔離します。有線接続の場合はLANケーブルを引き抜き、無線接続の場合はWi-Fiルーターをオフに切り替えて、被害の拡大を最小限にとどめます。
担当者に報告する
マルウェア感染の疑いがあったら、社内の情報セキュリティ担当者や情報システム担当者に報告し、指示を仰ぎます。その時点ですでに感染が拡大しつつある可能性もあるため、できるだけすみやかに報告することが重要です。
被害状況を確認する
マルウェアに感染したら、データの削除や改ざん、暗号化などの被害が発生していないか確認作業を行います。メールが勝手に送信されているなど、ユーザーの記憶にない操作が行われていないか慎重に点検し、被害の状況を明らかにしていきます。社外デバイスへの感染も疑われる場合には、対象者にも連絡して被害の拡大を防ぐことが大切です。
マルウェアの感染予防・対策
マルウェアの感染を予防するには、どのような対策を講じればよいのでしょうか。具体的な対策を紹介します。
セキュリティツールを活用する
業務で使用するデバイスには、セキュリティツールを導入しておくことをお薦めします。デバイスに何らかの異常が検知されるとセキュリティツールがマルウェアのスキャンを行い、必要に応じて自動的に駆除してくれるためです。 多くのセキュリティツールは、マルウェアの新たな手口に合わせて機能をアップデートしていくため、有効な対策となります。
OSやソフトウェアを常に最新の状態にする
OSやソフトウェアの多くは、セキュリティ上の脆弱性が発見されるとアップデート版が配布されます。マルウェアは常に脆弱性を突いて侵入してくるため、OSやソフトウェアを最新の状態に維持し続けることが大切です。アップデートはこまめに実施し、更新し忘れることがないよう注意が必要です。
オンライン上での警戒を怠らない
Webサイトなどのオンライン上では、どこにマルウェアのリスクが潜んでいるかわかりません。常に警戒を怠らず、リスクの高い行動は極力避けるようにご注意ください。特に、次に挙げるようなポイントが重要です。
<オンライン上で警戒すべきポイント>
- 未知のWebサイト、信頼性が確認できないWebサイトにはアクセスしない
- リンク先が不明なURL、テキストリンク、バナーなどはクリックしない
- 送付元が確認できないメールは開かない
- 「無料で利用できる」とうたっているソフトウェアをむやみにインストールしない
- 個人情報(ID・パスワードを含む)を求められた際には、質問者の信頼性を確認してから入力する
機器の持ち込みルールやネットワーク外部からの侵入防止を強化する
外部から持ち込まれたUSBメモリなどの記憶媒体や私物デバイスの業務利用に関するルールは、厳重に定めておきましょう。また、会社から支給されるデバイスを社外に持ち出す場合には、フリーWi-Fiなどのセキュリティリスクが懸念されるネットワークに接続しないよう徹底することも大切です。
情報セキュリティに対する意識向上を図る
従業員の情報セキュリティに対する意識向上を図ることも重要なポイントです。インストールを許可するソフトウェアの基準を決めておくことや、業務に不要なソフトウェアをインストールしないといったルールを定めておくことをお薦めします。また、万が一マルウェアの感染が疑われる場合にどのように対処すべきか、定期的な情報共有を継続的に行うことも大切です。
組織を脅かすマルウェアへの対策として、安全&確実な方法を
マルウェア攻撃は、組織にとって重大な脅威となります。常により安全で確実な対策を講じ、マルウェアの感染リスクをできるだけ低減させておくことが大切です。
「SKYSEA Client View」では、マルウェア攻撃を受けたことを発見し次第、即座に対処できるEDR製品との連携機能も搭載しており、マルウェア対策の強化を支援します。 また、次のオプション機能により、多層防御によるマルウェアの感染対策をさらに強化できます。
【SKYSEA Client Viewの機能強化】
- UTM(統合脅威管理) / 次世代ファイアウォール連携
- ウイルスを検知したPCを遮断、すみやかな調査の実施を支援
- 社内の共有フォルダへのマルウェアのアクセスを抑止
自社の大切な情報資産を守るためにも、マルウェア対策機能が強化された「SKYSEA Client View」をぜひご活用ください。
エンドポイントセキュリティであらゆる端末をサイバー攻撃から守る「SKYSEA Client View」のお問い合わせ・資料ダウンロードはこちらから
お問い合わせ・カタログダウンロード