マルウェアとは何ですか?

最近のほぼすべてのサイバー攻撃には、何らかのマルウェアが関与しています。これらの悪意あるプログラムは、サイバー犯罪者の目的に応じて、非常に損害が大きく高額なランサムウェアから単なる煩わしいアドウェアまで、さまざまな形をとる可能性があります。

サイバー犯罪者は、次の目的でマルウェアを開発および使用します。

• 多額の金銭を得るためにデバイス、データ、または企業ネットワーク全体を人質に取る
  
  
• 機密データまたはデジタル資産への不正アクセスを取得する
  
  
• ログイン資格情報、クレジット・カード番号、知的財産、その他の貴重な情報を盗む
  
  
• 企業や政府機関が依存する重要なシステムを混乱させる

マルウェア攻撃は毎年数十億件発生しており、マルウェア感染はどのようなデバイスやオペレーティング・システムでも起こり得る可能性があります。Windows、Mac、iOS、Androidシステムは、すべて被害を受ける可能性があります。

ハッカーは組織を狙うほうが儲かるということを学んだため、マルウェア攻撃は個人ユーザーではなく企業を標的にすることが増えています。企業は大量の個人データを保有していることが多く、ハッカーはこの事実を利用して多額の金銭を脅し取っています。ハッカーはこの個人データを個人情報の盗難に使用したり、ダークウェブで販売したりする可能性があります。

サイバー犯罪は巨大な産業です。ある試算では、アメリカ、中国に次ぐ世界第3位の経済圏となり、2025年には10.5兆ドルの経済規模になると予測されています。

ハッカーは、常に新しい特徴や機能を備えた新しいマルウェアを開発しています。個々のマルウェアの種は、セキュリティー・ソフトウェアをうまく回避するために、次々に新しい亜種を生み出します。1980年代以降、10億種類を超えるマルウェアの種や亜種が作られた推定されており、サイバーセキュリティーの専門家が追いつくのは困難です。

ハッカーは、コードをオープンソースにしたり、他の犯罪者に販売したりして、マルウェアを共有することがよくあります。ランサムウェア開発者の間では、マルウェア・アズ・ア・サービスの取り決めが普及しており、技術的な専門知識がほとんどない犯罪者でもサイバー犯罪の報酬を得ることができる。

状況は常に変化していますが、マルウェア株はいくつかの一般的なタイプに分類できます。

「マルウェア」と「コンピューター・ウイルス」という用語は同義語としてよく使用されますが、ウイルスは技術的には特定の種類のマルウェアです。具体的には、ウイルスとは、正規のソフトウェアをハイジャックして損害を与え、それ自体のコピーを拡散させる悪意のあるコードのことを指します。

ウイルスは単独では作用しません。その代わり、コードのスニペットを他の実行可能プログラムに隠します。するとユーザーがプログラムを起動した時、ウイルスも実行を開始します。ウイルスは通常、重要なデータを削除し、通常の操作を妨害し、感染したコンピューター上の他のプログラムに自分自身のコピーを拡散するように設計されています。

初期のマルウェアの脅威のほとんどはウイルスでした。おそらく公共のデバイスを通じて拡散した最初のマルウェアであるElk Clonerは、Appleコンピューターを標的としたウイルスでした。

ランサムウェアは被害者のデータやデバイスに不正アクセスし、それにロックをかけ、解除と引き換えに多くの場合暗号通貨の身代金を要求するマルウェアです。IBMのX-Force Threat Intelligence Indexによると、ランサムウェアはサイバー攻撃の中で2番目に多く使われる攻撃であり、全体の17％を占めています。

最も基本的なランサムウェア攻撃では、身代金が支払われるまで資産が使用できなくなりますが、サイバー犯罪者は追加の戦術を使用して被害者への圧力を強める可能性があります。

二重恐喝攻撃では、サイバー犯罪者はデータを盗み、身代金を支払わなければ盗んだデータを漏洩させると脅迫します。三重恐喝攻撃では、ハッカーは被害者のデータを暗号化して盗み、分散型サービス拒否（DDoS）攻撃によってシステムをオフラインにすると脅します。

要求される身代金は、数万米ドルから数百万米ドルに上ります。ある報告によると、平均で812,360米ドルが支払われています。被害者が代金を支払わなかったとしても、ランサムウェアには大きなコストがかかります。IBMのデータ侵害のコストに関する調査によると、ランサムウェア攻撃に伴う平均コストは、法執行機関が関与する場合は438万米ドル、法執行機関が関与しない場合は537万米ドルです。これらの金額には身代金そのものは含まれていません。

ハッカーは、リモート・アクセス・マルウェアを使用して、バックドアを作成または悪用することで、コンピューター、サーバー、またはその他のデバイスにアクセスします。X-Force Threat Intelligence Indexによると、バックドアの設置はハッカーにとって最も一般的な目的であり、攻撃の21％を占めています。

バックドアにより、サイバー犯罪者はさまざまな行為を行うことができます。データや資格情報を盗んだり、デバイスを制御したり、ランサムウェアなどのさらに危険なマルウェアをインストールしたりする可能性があります。一部のハッカーは、リモート・アクセス・マルウェアを使用してバックドアを作成し、他のハッカーに1つあたり数千米ドルで販売することがあります。

Back OrificeやCrossRATなどの一部のリモート・アクセス・マルウェアは、悪意のある目的のために意図的に作成されています。ハッカーは、正規のソフトウェアを変更または悪用して、デバイスにリモート・アクセスすることもできます。特に、サイバー犯罪者は、盗んだMicrosoftリモート・デスクトップ・プロトコル（RDP）の認証情報をバックドアとして使用します。

ボットネットは、ハッカーの制御下にある、インターネットに接続されたマルウェアに感染したデバイスのネットワークです。ボットネットには、PC、モバイル・デバイス、IoT（モノのインターネット）デバイスなどが含まれます。多くの被害者は、自分のデバイスがボットネットの一部であることに気づいていません。ハッカーはボットネットを使用してDDoS攻撃を開始することがよくあり、標的のネットワークに大量のトラフィックを送り込み、速度が大幅に低下するか完全にシャットダウンします。

有名なボットネットのMiraiは、2016年にドメイン名システム・プロバイダーのDynに対して大規模な攻撃をしかけ、米国とヨーロッパの数百万人のユーザーがTwitterやRedditなどの人気サイトを使えなくなりました。

クリプトジャッカーは、所有者の知らない間にデバイスを制御し、それを使用してビットコインなどの暗号通貨をマイニングするマルウェアです。基本的に、クリプトジャッカーはクリプトマイニング・ボットネットを作成します。

暗号通貨のマイニングは、非常に計算量が多く、コストがかかるタスクです。サイバー犯罪者は利益を得ますが、感染したコンピューターのユーザーはパフォーマンスの低下やクラッシュを経験します。クリプトジャッカーはエンタープライズ・クラウド・インフラストラクチャーをターゲットにすることが多く、個々のコンピューターをターゲットにするよりも多くのリソースをクリプトマイニングのためにマーシャリングすることができます。

ファイルレス・マルウェアは、Webブラウザやワード・プロセッサーなどの正規のソフトウェア・プログラムの脆弱性を利用して、悪意のあるコードをコンピューターのメモリに直接挿入する攻撃の一種です。コードはメモリー内で実行されるため、ハード・ドライブに痕跡を残しません。正規のソフトウェアを使用しているため、検知を回避することがよくあります。

ファイルレス・マルウェア攻撃の多くは、Microsoft Windowsオペレーティング・システムに組み込まれているコマンド・ライン・インターフェースおよびスクリプト・ツールであるPowerShellを使用します。ハッカーはPowerShellスクリプトを実行して、構成を変更したり、パスワードを盗んだり、その他の損害を与えたりする可能性があります。

悪意あるマクロは、ファイルレス攻撃のもう1つの一般的なベクトルです。Microsoft WordやExcelなどのアプリを使用すると、ユーザーはテキストの書式設定や計算の実行などの単純なタスクを自動化する一連のコマンドであるマクロを定義できます。ハッカーはこれらのマクロに悪意のあるスクリプトを保存することができます。ユーザーがファイルを開くと、これらのスクリプトが自動的に実行されます。

ワームは自己複製する悪意あるプログラムで、人間の介入なしにアプリとデバイス間で拡散する可能性があります。(ユーザーが侵害されたプログラムを実行した場合にのみ蔓延するウイルスと比較してください。)一部のワームは拡散するだけですが、多くはより深刻な結果をもたらします。例えば、推定40億米ドルの損害を引き起こしたWannaCryランサムウェアは、接続されたデバイス間で自動的に拡散することでその影響を最大化するワームでした。

トロイの木馬はユーザーを騙すために便利なプログラムを装ったり、正規のソフトウェア内に隠れて、トロイの木馬をインストールさせます。リモートアクセス型トロイの木馬または「RAT」は、感染したデバイス上に秘密のバックドアを作成します。また、「ドロッパー」と呼ばれるトロイの木馬の一種は、足がかりを得ると追加のマルウェアをインストールします。最近のランサムウェアの中で最も壊滅的な株の1つであるRyukは、デバイスを感染させるためにトロイの木馬の一種「Emotet」を使用していました。

ルートキットは、ハッカーがコンピューターのオペレーティング・システムやその他の資産に管理者レベルの特権アクセスを取得できるようにするマルウェア・パッケージです。ハッカーは、これらの昇格された権限を使用して、ユーザーの追加や削除、アプリの再構成など、事実上何でも実行できます。ハッカーは、悪意のあるプロセスを隠したり、悪意のあるプロセスを捕捉する可能性のあるセキュリティー・ソフトウェアを無効にしたりするために、ルートキットを使用することがよくあります。

スケアウェアは、ユーザーを脅してマルウェアをダウンロードさせたり、機密情報を詐欺師に渡させたりします。スケアウェアは、緊急メッセージを伴う突然のポップアップとして表示されることが多く、通常は、ユーザーが法律に違反したか、デバイスにウイルスが感染していると警告します。ポップアップは、ユーザーに「罰金」を支払うように指示するか、偽のセキュリティー・ソフトウェアをダウンロードするように指示しますが、実際にはこれはマルウェアです。

スパイウェアは感染したコンピューターに潜み、機密情報を密かに収集し、攻撃者に送信します。キーロガーと呼ばれる一般的なスパイウェアは、ユーザーのすべてのキー入力を記録し、ハッカーがユーザー名、パスワード、銀行口座番号、クレジットカード番号、社会保障番号、その他の機密データを収集することを可能にします。

アドウェアは、不要なポップアップ広告をデバイスに送りつけます。アドウェアは、ユーザーには知られずに無料ソフトウェアに含まれていることがよくあります。ユーザーがプログラムをインストールすると、知らないうちにアドウェアもインストールされます。ほとんどのアドウェアは迷惑なだけです。ただし、一部のアドウェアは個人データを収集したり、Webブラウザーを悪意のあるWebサイトにリダイレクトしたり、ポップアップの1つをクリックするとユーザーのデバイスにさらにマルウェアをダウンロードしたりします。

マルウェア攻撃には、マルウェア・ペイロードと攻撃経路という2つのコンポーネントがあります。ペイロードとは、ハッカーが仕掛ける悪意のあるコードのことで、攻撃経路とは、ペイロードをターゲットに届けるために使われる手法のことです。

最も一般的なマルウェア ベクターには次のようなものがあります。

ランサムウェアなどの一部のマルウェア感染は、自らをアナウンスします。しかし、ほとんどは大混乱を引き起こすため、人目につかないよう努めています。それでも、マルウェア感染は、サイバーセキュリティー・チームがマルウェア感染を特定するために使用できる兆候を残すことがよくあります。例えば、次のようなものがあります。

パフォーマンスの低下：マルウェアのプログラムは、感染したコンピューターのリソースを使用して実行され、多くの場合、ストレージ領域を消費し、正規のプロセスを中断させます。ITサポート・チームは、デバイスが遅くなったり、クラッシュしたり、ポップアップで溢れたりするユーザーからのチケットが殺到していることに気づくかもしれません。

新しい予期せぬネットワーク・アクティビティー：通常よりも多くの帯域幅を使用するプロセス、不明なサーバーと通信するデバイス、通常使用していない資産にアクセスするユーザー・アカウントなど、ITおよびセキュリティー・スタッフが奇妙なパターンに気づく可能性があります。

設定の変更：マルウェアの系統によっては、検知を回避するためにデバイスの設定を変更したり、セキュリティー・ソリューションを無効にしたりするものがあります。ITチームやセキュリティー・チームは、例えばファイアウォールのルールが変更されたり、アカウントの権限が昇格されたりしていることに気づくかもしれません。

セキュリティー・イベント・アラート：脅威検知ソリューションを導入している企業では、マルウェア感染の最初の兆候はセキュリティー・イベント・アラートである可能性が高くなっています。侵入検知システム（IDS）、セキュリティー情報およびイベント管理（SIEM）プラットフォーム、ウイルス対策ソフトウェアなどのソリューションは、インシデント対応チームが確認できるように、マルウェア感染の可能性を示すフラグを立てることができます。

マルウェア攻撃は避けられませんが、組織が防御を強化するために実行できる手順はあります。これらのステップには以下が含まれます。

セキュリティ意識向上トレーニング:マルウェア感染の多くは、ユーザーが偽のソフトウェアをダウンロードしたり、フィッシング詐欺に引っかかったりすることで発生します。セキュリティ意識向上トレーニングは、ユーザーがソーシャル エンジニアリング攻撃、悪意のある Web サイト、偽のアプリを発見するのに役立ちます。セキュリティ意識向上トレーニングでは、マルウェアの脅威が疑われる場合に何をすべきか、誰に連絡すればよいかをユーザーに教育することもできます。

セキュリティー・ポリシー：安全でないWi-Fi経由で機密資産にアクセスするときに強力なパスワード、多要素認証、およびVPNを要求すると、ハッカーによるユーザー・アカウントへのアクセスを制限できます。パッチ管理、脆弱性評価、ペネトレーション・テストを定期的に実施することで、サイバー犯罪者に悪用される前にソフトウェアやデバイスの脆弱性を発見することもできる。BYOD（Bring Your Own Device）デバイスを管理し、シャドーITを防ぐためのポリシーは、ユーザーが無意識のうちにマルウェアを企業ネットワークに持ち込むのを防ぐのに役立ちます。

バックアップ：機密データやシステム・イメージの最新のバックアップを、理想的にはハードディスクやネットワークから切り離せるその他のデバイスに維持することで、マルウェア攻撃からの復旧が容易になります。

ゼロトラスト・ネットワーク・アーキテクチャー：ゼロトラストとは、ネットワーク・セキュリティーに対するアプローチで、ユーザーは信頼されず、常に検証が行われます。特に、ゼロトラストは、最小権限の原則、ネットワーク・マイクロセグメンテーション、および継続的な適応型認証制度を実装します。これにより、ユーザーやデバイスが機密データやアクセスすべきでない資産にアクセスできないようにすることができます。ネットワークがマルウェアに感染した場合、これらの制御措置によりマルウェアが横方向に移動するのを制限できます。

インシデント対応計画：マルウェアの種類に応じたインシデント対応計画を事前に作成しておくことで、サイバーセキュリティー・チームはマルウェア感染をより迅速に根絶することができます。

上記で概説した手動戦術に加えて、サイバーセキュリティ チームはセキュリティ ソリューションを使用して、マルウェアの削除、検出、防止の側面を自動化できます。一般的なツールには以下が含まれます。

ウイルス対策ソフトウェア: 「マルウェア対策」ソフトウェアとも呼ばれるウイルス対策プログラムは、システムをスキャンして感染の兆候がないか確認します。ユーザーに警告するだけでなく、多くのウイルス対策プログラムはマルウェアを検出すると自動的に隔離して削除します。

ファイアウォール：ファイアウォールは、悪意のあるトラフィックがネットワークに到達するのをブロックすることができます。マルウェアがネットワーク・デバイスに侵入した場合、ファイアウォールは、キーロガーがキー入力を攻撃者に送り返すような、ハッカーへの送信通信を阻止するのに役立ちます。

セキュリティー情報・イベント管理（SIEM）プラットフォーム：SIEMは、社内のセキュリティー・ツールから情報を収集し、一元的なログに集約して、異常のフラグを立てます。SIEMは複数のソースからのアラートを一元管理するため、マルウェアの微妙な兆候を発見しやすくなります。

セキュリティー・オーケストレーション・オートメーション・レスポンス（SOAR）プラットフォーム：SOARは、異種のセキュリティー・ツールを統合・調整し、セキュリティー・チームがマルウェアにリアルタイムで対応するための半自動化または完全自動化されたプレイブックを作成できるようにします。

エンドポイントの検知と対応（EDR）プラットフォーム：EDRは、スマートフォン、ノートPC、サーバーなどのエンドポイント・デバイスを監視して、不審な動作の兆候を探し、検知されたマルウェアに自動的に対応します。

拡張検知と対応（XDR）プラットフォーム：XDRは、ユーザー、エンドポイント、Eメール、アプリケーション、ネットワーク、クラウド・ワークロード、データなど、すべてのセキュリティー層にわたってセキュリティー・ツールと運用を統合します。XDRは、複雑なマルウェアの防御、検知、調査、対応プロセスを自動化し、プロアクティブな脅威ハンティングを支援します。

攻撃対象領域管理（ASM）ツール：ASMツールは、組織のネットワーク内のすべての資産を継続的に検知、分析、修復、監視します。ASMは、マルウェアの侵入経路となり得る未承認のシャドーITアプリやデバイスをサイバーセキュリティー・チームが発見する際に役立ちます。

統合エンドポイント管理（UEM）：UEMソフトウェアは、デスクトップ、ノートPC、モバイル・デバイスなど、組織のすべてのエンドユーザー・デバイスを監視、管理、保護します。多くの組織がUEMソリューションを使用して、従業員のBYODデバイスが企業ネットワークにマルウェアを持ち込まないようにしています。