マルウェア(malware)とは、ランサムウェア、トロイの木馬、スパイウェアなどを含む、コンピューター・システムやそのユーザーに害を及ぼすことを意図して作成されたソフトウェア・コードやコンピューター・プログラムの総称です。
最近のほぼすべてのサイバー攻撃には、何らかのマルウェアが関与しています。これらの悪意あるプログラムは、サイバー犯罪者の目的に応じて、非常に損害が大きく高額なランサムウェアから単なる煩わしいアドウェアまで、さまざまな形をとる可能性があります。
サイバー犯罪者は、次の目的でマルウェアを開発および使用します。
マルウェア攻撃は毎年数十億件発生しており、マルウェア感染はどのようなデバイスやオペレーティング・システムでも起こり得る可能性があります。Windows、Mac、iOS、Androidシステムは、すべて被害を受ける可能性があります。
ハッカーは組織を狙うほうが儲かるということを学んだため、マルウェア攻撃は個人ユーザーではなく企業を標的にすることが増えています。企業は大量の個人データを保有していることが多く、ハッカーはこの事実を利用して多額の金銭を脅し取っています。ハッカーはこの個人データを個人情報の盗難に使用したり、ダークウェブで販売したりする可能性があります。
Thinkニュースレター
AI、サイバーセキュリティ、データ、自動化に関する厳選されたニュースをThinkニュースレターで購読しているセキュリティリーダーに加わりましょう。専門家によるチュートリアルと解説をメールで直接配信することで、手軽に学ぶことができます。IBMプライバシー・ステートメントをご覧ください。
サブスクリプションは英語で配信されます。すべてのニュースレターに登録解除リンクがあります。サブスクリプションの管理や解除はこちらから。詳しくはIBMプライバシー・ステートメントをご覧ください。
サイバー犯罪は巨大な産業です。ある試算では、アメリカ、中国に次ぐ世界第3位の経済圏となり、2025年には10.5兆ドルの経済規模になると予測されています。
ハッカーは、常に新しい特徴や機能を備えた新しいマルウェアを開発しています。個々のマルウェアの種は、セキュリティー・ソフトウェアをうまく回避するために、次々に新しい亜種を生み出します。1980年代以降、10億種類を超えるマルウェアの種や亜種が作られた推定されており、サイバーセキュリティーの専門家が追いつくのは困難です。
ハッカーは、コードをオープンソースにしたり、他の犯罪者に販売したりして、マルウェアを共有することがよくあります。ランサムウェア開発者の間では、マルウェア・アズ・ア・サービスの取り決めが普及しており、技術的な専門知識がほとんどない犯罪者でもサイバー犯罪の報酬を得ることができる。
状況は常に変化していますが、マルウェアはいくつかの一般的な種類に分類できます。
「マルウェア」と「コンピューター・ウイルス」という用語は同義語としてよく使用されますが、ウイルスは技術的には特定の種類のマルウェアです。具体的には、ウイルスとは、正規のソフトウェアをハイジャックして損害を与え、それ自体のコピーを拡散させる悪意のあるコードのことを指します。
ウイルスは単独では作用しません。その代わり、コードのスニペットを他の実行可能プログラムに隠します。するとユーザーがプログラムを起動した時、ウイルスも実行を開始します。ウイルスは通常、重要なデータを削除し、通常の操作を妨害し、感染したコンピューター上の他のプログラムに自分自身のコピーを拡散するように設計されています。
初期のマルウェアの脅威のほとんどはウイルスでした。おそらく公共のデバイスを通じて拡散した最初のマルウェアであるElk Clonerは、Appleコンピューターを標的としたウイルスでした。
ランサムウェアは被害者のデータやデバイスに不正アクセスし、それにロックをかけ、解除と引き換えに多くの場合暗号通貨の身代金を要求するマルウェアです。IBMのX-Force Threat Intelligence Indexによると、ランサムウェアはサイバー攻撃の中で2番目に多く使われる攻撃であり、全体の17%を占めています。
最も基本的なランサムウェア攻撃では、身代金が支払われるまで資産が使用できなくなりますが、サイバー犯罪者は追加の戦術を使用して被害者への圧力を強める可能性があります。
二重恐喝攻撃では、サイバー犯罪者はデータを盗み、身代金を支払わなければ盗んだデータを漏洩させると脅迫します。三重恐喝攻撃では、ハッカーは被害者のデータを暗号化して盗み、分散型サービス拒否(DDoS)攻撃によってシステムをオフラインにすると脅します。
要求される身代金は、数万米ドルから数百万米ドルに上ります。ある報告によると、平均で812,360米ドルが支払われています。被害者が代金を支払わなかったとしても、ランサムウェアには大きなコストがかかります。IBMのデータ侵害のコストに関する調査によると、ランサムウェア攻撃に伴う平均コストは、法執行機関が関与する場合は438万米ドル、法執行機関が関与しない場合は537万米ドルです。これらの金額には身代金そのものは含まれていません。
ハッカーは、リモート・アクセス・マルウェアを使用して、バックドアを作成または悪用することで、コンピューター、サーバー、またはその他のデバイスにアクセスします。X-Force Threat Intelligence Indexによると、バックドアの設置はハッカーにとって最も一般的な目的であり、攻撃の21%を占めています。
バックドアにより、サイバー犯罪者はさまざまな行為を行うことができます。データや資格情報を盗んだり、デバイスを制御したり、ランサムウェアなどのさらに危険なマルウェアをインストールしたりする可能性があります。一部のハッカーは、リモート・アクセス・マルウェアを使用してバックドアを作成し、他のハッカーに1つあたり数千米ドルで販売することがあります。
Back OrificeやCrossRATなどの一部のリモート・アクセス・マルウェアは、悪意のある目的のために意図的に作成されています。ハッカーは、正規のソフトウェアを変更または悪用して、デバイスにリモート・アクセスすることもできます。特に、サイバー犯罪者は、盗んだMicrosoftリモート・デスクトップ・プロトコル(RDP)の認証情報をバックドアとして使用します。
ボットネットは、ハッカーの制御下にある、インターネットに接続されたマルウェアに感染したデバイスのネットワークです。ボットネットには、PC、モバイル・デバイス、IoT(モノのインターネット)デバイスなどが含まれます。多くの被害者は、自分のデバイスがボットネットの一部であることに気づいていません。ハッカーはボットネットを使用してDDoS攻撃を開始することがよくあり、標的のネットワークに大量のトラフィックを送り込み、速度が大幅に低下するか完全にシャットダウンします。
有名なボットネットのMiraiは、2016年にドメイン名システム・プロバイダーのDynに対して大規模な攻撃をしかけ、米国とヨーロッパの数百万人のユーザーがTwitterやRedditなどの人気サイトを使えなくなりました。
クリプトジャッカーは、所有者の知らない間にデバイスを制御し、それを使用してビットコインなどの暗号通貨をマイニングするマルウェアです。基本的に、クリプトジャッカーはクリプトマイニング・ボットネットを作成します。
暗号通貨のマイニングは、非常に計算量が多く、コストがかかるタスクです。サイバー犯罪者は利益を得ますが、感染したコンピューターのユーザーはパフォーマンスの低下やクラッシュを経験します。クリプトジャッカーはエンタープライズ・クラウド・インフラストラクチャーをターゲットにすることが多く、個々のコンピューターをターゲットにするよりも多くのリソースをクリプトマイニングのためにマーシャリングすることができます。
ファイルレス・マルウェアは、Webブラウザやワード・プロセッサーなどの正規のソフトウェア・プログラムの脆弱性を利用して、悪意のあるコードをコンピューターのメモリに直接挿入する攻撃の一種です。コードはメモリー内で実行されるため、ハード・ドライブに痕跡を残しません。正規のソフトウェアを使用しているため、検知を回避することがよくあります。
ファイルレス・マルウェア攻撃の多くは、Microsoft Windowsオペレーティング・システムに組み込まれているコマンド・ライン・インターフェースおよびスクリプト・ツールであるPowerShellを使用します。ハッカーはPowerShellスクリプトを実行して、構成を変更したり、パスワードを盗んだり、その他の損害を与えたりする可能性があります。
悪意あるマクロは、ファイルレス攻撃のもう1つの一般的なベクトルです。Microsoft WordやExcelなどのアプリを使用すると、ユーザーはテキストの書式設定や計算の実行などの単純なタスクを自動化する一連のコマンドであるマクロを定義できます。ハッカーはこれらのマクロに悪意のあるスクリプトを保存することができます。ユーザーがファイルを開くと、これらのスクリプトが自動的に実行されます。
ワームは自己複製する悪意あるプログラムで、人間の介入なしにアプリとデバイス間で拡散する可能性があります。(ユーザーが侵害されたプログラムを実行した場合にのみ蔓延するウイルスと比較してください。)一部のワームは拡散するだけですが、多くはより深刻な結果をもたらします。例えば、推定40億米ドルの損害を引き起こしたWannaCryランサムウェアは、接続されたデバイス間で自動的に拡散することでその影響を最大化するワームでした。
トロイの木馬はユーザーを騙すために便利なプログラムを装ったり、正規のソフトウェア内に隠れて、トロイの木馬をインストールさせます。リモートアクセス型トロイの木馬または「RAT」は、感染したデバイス上に秘密のバックドアを作成します。また、「ドロッパー」と呼ばれるトロイの木馬の一種は、足がかりを得ると追加のマルウェアをインストールします。最近のランサムウェアの中で最も壊滅的な株の1つであるRyukは、デバイスを感染させるためにトロイの木馬の一種「Emotet」を使用していました。
ルートキットは、ハッカーがコンピューターのオペレーティング・システムやその他の資産に管理者レベルの特権アクセスを取得できるようにするマルウェア・パッケージです。ハッカーは、これらの昇格された権限を使用して、ユーザーの追加や削除、アプリの再構成など、事実上何でも実行できます。ハッカーは、悪意のあるプロセスを隠したり、悪意のあるプロセスを捕捉する可能性のあるセキュリティー・ソフトウェアを無効にしたりするために、ルートキットを使用することがよくあります。
スケアウェアは、ユーザーを脅してマルウェアをダウンロードさせたり、機密情報を詐欺師に渡させたりします。スケアウェアは、緊急メッセージを伴う突然のポップアップとして表示されることが多く、通常は、ユーザーが法律に違反したか、デバイスにウイルスが感染していると警告します。ポップアップは、ユーザーに「罰金」を支払うように指示するか、偽のセキュリティー・ソフトウェアをダウンロードするように指示しますが、実際にはこれはマルウェアです。
スパイウェアは感染したコンピューターに潜み、機密情報を密かに収集し、攻撃者に送信します。キーロガーと呼ばれる一般的なスパイウェアは、ユーザーのすべてのキー入力を記録し、ハッカーがユーザー名、パスワード、銀行口座番号、クレジットカード番号、社会保障番号、その他の機密データを収集することを可能にします。
アドウェアは、不要なポップアップ広告をデバイスに送りつけます。アドウェアは、ユーザーには知られずに無料ソフトウェアに含まれていることがよくあります。ユーザーがプログラムをインストールすると、知らないうちにアドウェアもインストールされます。ほとんどのアドウェアは迷惑なだけです。ただし、一部のアドウェアは個人データを収集したり、Webブラウザーを悪意のあるWebサイトにリダイレクトしたり、ポップアップの1つをクリックするとユーザーのデバイスにさらにマルウェアをダウンロードしたりします。
マルウェア攻撃には、マルウェア・ペイロードと攻撃経路という2つのコンポーネントがあります。ペイロードとは、ハッカーが仕掛ける悪意のあるコードのことで、攻撃経路とは、ペイロードをターゲットに届けるために使われる手法のことです。
最も一般的なマルウェア ベクターには次のようなものがあります。
ソーシャル・エンジニアリング攻撃は、人々を心理的に操作して、マルウェアのダウンロードなど、すべきではないことを実行させます。詐欺的な電子メールやテキスト・メッセージを使用してユーザーを騙すフィッシング攻撃が特に一般的です。X-Force Threat Intelligence Indexによると、マルウェア攻撃の41%でフィッシングが関連しています。
フィッシングメールやフィッシングメッセージは、信頼できるブランドや個人から送信されたように見えるように作成されることがよくあります。通常、恐怖(「あなたの携帯電話から9つのウイルスが見つかりました!」)、貪欲(「未請求の支払いがあります!」 )、緊急性(「無料プレゼントを受け取るには時間がありません!」)のような強い感情を呼び起こし、ユーザーに取らせたいアクションをさせます。通常そのアクションとは、悪意ある電子メールの添付ファイルを開かせたり、デバイスにマルウェアを読み込む悪意あるWebサイトにアクセスさせたりすることです。
サイバー犯罪者は、ターゲットのソフトウェアやファームウェアにマルウェアを注入できるようにする、ソフトウェア、デバイス、ネットワーク内のパッチが適用されていない脆弱性を常に探しています。IoTデバイス(その多くは最小限のセキュリティー、またはまったくセキュリティー対策が講じられていない状態で販売および導入されています)は、サイバー犯罪者がマルウェアをまき散らすのに特に適した土壌となっています。
ハッカーは、「ベイティング」と呼ばれる戦術を使用して、注意を引くラベルが貼られた、ウイルスに感染させたUSBドライブをコワーキングスペースやコーヒーショップなどの公共の場所に置く可能性があります。これらに誘惑されたユーザーは、何の疑いも持たずにドライブをデバイスに接続して、内容を確認する可能性があり、マルウェアがシステムに感染します。ある最近の調査では、既知のサイバー脅威の37%がリムーバブル・メディアを悪用するように設計されていることが明らかになりました。
トロイの木馬やアドウェアなど、多くのマルウェアは、有用なソフトウェアや映画や音楽の無料コピーを装います。皮肉なことに、それらは多くの場合、デバイスのパフォーマンスを向上させる無料のウイルス対策プログラムやアプリを装っています。ユーザーが海賊版メディアを共有するトレント・ネットワークはサイバー犯罪者の悪名高い遊び場ですが、隠れたマルウェアが正規の市場に侵入する可能性もあります。最近、Goldosonマルウェアは、Google Playストアで入手可能なアプリに潜伏し、数百万台のデバイスを感染させることに成功しています。
マルバタイジングとは、ハッカーが正規の広告ネットワークに悪意のある広告を掲載したり、正規の広告を乗っ取って悪意のあるコードを配信したりすることです。例えば、Bumblebeeマルウェアは、Cisco AnyConnectを装った悪意のあるGoogle広告を介して拡散しました。本物を探しているユーザーは、検索結果に広告が表示され、クリックしてしまい、知らず知らずのうちにマルウェアをダウンロードしてしまうことになります。
「ドライブ・バイ・ダウンロード」と呼ばれる関連技術により、ユーザーはクリックする必要さえなくなり、悪意あるWebサイトにアクセスすると、すぐにダウンロードが自動的に開始されます。
企業ネットワークでは、ユーザーの個人デバイスがマルウェアの主な媒介となる可能性があります。ユーザーのスマートフォンやノートパソコンは、プライベートな時間に、安全でないネットワークに接続しているときに感染する可能性があります。ユーザーがこれらのデバイスを職場に持ち込むと、マルウェアが企業ネットワークに拡散する可能性があります。
ベンダーのネットワークが侵害されると、そのベンダーの製品やサービスを使用している企業のネットワークにもマルウェアが拡散する可能性があります。例えば、サイバー犯罪者はKaseya社のVSAプラットフォームの欠陥を悪用して、正当なソフトウェアアップデートを装って顧客にランサムウェアを拡散させました。
ランサムウェアなどの一部のマルウェア感染は、自らをアナウンスします。しかし、ほとんどは大混乱を引き起こすため、人目につかないよう努めています。それでも、マルウェア感染は、サイバーセキュリティー・チームがマルウェア感染を特定するために使用できる兆候を残すことがよくあります。例えば、次のようなものがあります。
マルウェアのプログラムは、感染したコンピューターのリソースを使用して実行され、多くの場合、ストレージ領域を消費し、正規のプロセスを中断させます。ITサポート・チームは、デバイスが遅くなったり、クラッシュしたり、ポップアップで溢れたりするユーザーからのチケットが殺到していることに気づくかもしれません。
通常よりも多くの帯域幅を使用するプロセス、不明なサーバーと通信するデバイス、通常使用していない資産にアクセスするユーザー・アカウントなど、ITおよびセキュリティー・スタッフが奇妙なパターンに気づく可能性があります。
マルウェアの系統によっては、検知を回避するためにデバイスの設定を変更したり、セキュリティー・ソリューションを無効にしたりするものがあります。ITチームやセキュリティー・チームは、例えばファイアウォールのルールが変更されたり、アカウントの権限が昇格されたりしていることに気づくかもしれません。
脅威検知ソリューションを導入している企業では、マルウェア感染の最初の兆候はセキュリティー・イベント・アラートである可能性が高くなっています。侵入検知システム(IDS)、セキュリティー情報およびイベント管理(SIEM)プラットフォーム、ウイルス対策ソフトウェアなどのソリューションは、インシデント対応チームが確認できるように、マルウェア感染の可能性を示すフラグを立てることができます。
マルウェア攻撃は避けられませんが、組織が防御を強化するために実行できる手順はあります。これらのステップには以下が含まれます。
マルウェア感染の多くは、ユーザーが偽のソフトウェアをダウンロードしたり、フィッシング詐欺に引っかかったりすることで発生します。セキュリティ意識向上トレーニングは、ユーザーがソーシャル エンジニアリング攻撃、悪意のある Web サイト、偽のアプリを発見するのに役立ちます。セキュリティ意識向上トレーニングでは、マルウェアの脅威が疑われる場合に何をすべきか、誰に連絡すればよいかをユーザーに教育することもできます。
安全でないWi-Fi経由で機密資産にアクセスするときに強力なパスワード、多要素認証、およびVPNを要求すると、ハッカーによるユーザー・アカウントへのアクセスを制限できます。パッチ管理、脆弱性評価、ペネトレーション・テストを定期的に実施することで、サイバー犯罪者に悪用される前にソフトウェアやデバイスの脆弱性を発見することもできる。BYOD(Bring Your Own Device)デバイスを管理し、シャドーITを防ぐためのポリシーは、ユーザーが無意識のうちにマルウェアを企業ネットワークに持ち込むのを防ぐのに役立ちます。
機密データやシステム・イメージの最新のバックアップを、理想的にはハードディスクやネットワークから切り離せるその他のデバイスに維持することで、マルウェア攻撃からの復旧が容易になります。
ゼロトラストとは、ネットワーク・セキュリティーに対するアプローチで、ユーザーは信頼されず、常に検証が行われます。特に、ゼロトラストは、最小権限の原則、ネットワーク・マイクロセグメンテーション、および継続的な適応型認証制度を実装します。これにより、ユーザーやデバイスが機密データやアクセスすべきでない資産にアクセスできないようにすることができます。ネットワークがマルウェアに感染した場合、これらの制御措置によりマルウェアが横方向に移動するのを制限できます。
マルウェアの種類に応じたインシデント対応計画を事前に作成しておくことで、サイバーセキュリティー・チームはマルウェア感染をより迅速に根絶することができます。
上記で概説した手動戦術に加えて、サイバーセキュリティ チームはセキュリティ ソリューションを使用して、マルウェアの削除、検出、防止の側面を自動化できます。一般的なツールには以下が含まれます。
ウイルス対策ソフトウェア: 「マルウェア対策」ソフトウェアとも呼ばれるウイルス対策プログラムは、システムをスキャンして感染の兆候がないか確認します。ユーザーに警告するだけでなく、多くのウイルス対策プログラムはマルウェアを検出すると自動的に隔離して削除します。
ファイアウォール:ファイアウォールは、悪意のあるトラフィックがネットワークに到達するのをブロックすることができます。マルウェアがネットワーク・デバイスに侵入した場合、ファイアウォールは、キーロガーがキー入力を攻撃者に送り返すような、ハッカーへの送信通信を阻止するのに役立ちます。
セキュリティー情報・イベント管理(SIEM)プラットフォーム:SIEMは、社内のセキュリティー・ツールから情報を収集し、一元的なログに集約して、異常のフラグを立てます。SIEMは複数のソースからのアラートを一元管理するため、マルウェアの微妙な兆候を発見しやすくなります。
セキュリティー・オーケストレーション・オートメーション・レスポンス(SOAR)プラットフォーム:SOARは、異種のセキュリティー・ツールを統合・調整し、セキュリティー・チームがマルウェアにリアルタイムで対応するための半自動化または完全自動化されたプレイブックを作成できるようにします。
エンドポイントの検知と対応(EDR)プラットフォーム:EDRは、スマートフォン、ノートPC、サーバーなどのエンドポイント・デバイスを監視して、不審な動作の兆候を探し、検知されたマルウェアに自動的に対応します。
拡張検知と対応(XDR)プラットフォーム:XDRは、ユーザー、エンドポイント、Eメール、アプリケーション、ネットワーク、クラウド・ワークロード、データなど、すべてのセキュリティー層にわたってセキュリティー・ツールと運用を統合します。XDRは、複雑なマルウェアの防御、検知、調査、対応プロセスを自動化し、プロアクティブな脅威ハンティングを支援します。
攻撃対象領域管理(ASM)ツール:ASMツールは、組織のネットワーク内のすべての資産を継続的に検知、分析、修復、監視します。ASMは、マルウェアの侵入経路となり得る未承認のシャドーITアプリやデバイスをサイバーセキュリティー・チームが発見する際に役立ちます。
統合エンドポイント管理(UEM):UEMソフトウェアは、デスクトップ、ノートPC、モバイル・デバイスなど、組織のすべてのエンドユーザー・デバイスを監視、管理、保護します。多くの組織がUEMソリューションを使用して、従業員のBYODデバイスが企業ネットワークにマルウェアを持ち込まないようにしています。
セキュリティー・ソフトウェアでの定期的なスキャンが一般的です。動作の遅延などの目に見える症状が出ない場合も多いため、気づかないうちに感染していることがあります。自動スキャンを設定し、異常が検出されたらすぐに対処することが重要です。
すぐに端末をネットワークから切り離し、拡散や情報漏洩を防ぎます。Wi-Fiを切るか、LANケーブルを抜くなどして物理的に隔離してください。その後、セキュリティー・ソフトウェアを起動して端末の全体スキャンを実行しましょう。
個人情報やクレジット情報などの漏洩、銀行口座への不正アクセスによる金銭的な被害につながります。また、端末の乗っ取りやデータ破壊、システム不安定化のリスクもあります。放置するほど被害が拡大するため、即座な対応が必要です。
基本的な検出や駆除は無料版でも可能ですが、十分とは言えません。無料版は、フィッシング詐欺やランサムウェアといった高度な脅威への対策機能が制限されていることが多いです。特に企業や機密情報を扱う環境では、サポートが充実した有料版の導入を推奨します。
はい、感染する可能性があります。不審なSMSのURLや、不正なアプリのインストールが主な感染経路です。感染が疑われる場合は、PCと同様にセキュリティー・ソフトウェアを使用してマルウェアの検出と削除を行いましょう。