サイバー犯罪者は、次の目的でマルウェアを開発、使用します。
毎年数十億件のマルウェア攻撃があり (リンクは ibm.com の外にあります)、マルウェア感染はどのデバイスやオペレーティング システムでも発生する可能性があります。Windows、Mac、iOS、Android システムはすべて被害を受ける可能性があります。
ハッカーは組織を狙うほうが儲かるということを学んだため、マルウェア攻撃は個人ユーザーではなく企業を標的にすることが増えています。企業は多額の金銭を脅し取られる可能性があり、多くの場合、個人情報の盗難に使用されたり、ダークウェブで販売されたりする可能性のある大量の個人データを保持しています。
セキュリティー対策が、取引継続のための前提条件に
サイバー犯罪は巨大な産業です。 ある試算(リンクはibm.comの外部にあります)によると、米国と中国に次ぐ世界第3位の経済大国となり、2025年までに10兆5000億ドルの費用がかかると予測されています。
この業界では、ハッカーが常に新しい特徴や機能を備えた新しい種類のマルウェアを開発しています。これらの個々のマルウェア株は、セキュリティ ソフトウェアをよりうまく回避するために、時間の経過とともに新しい亜種を生み出します。1980 年代以来、10 億を超える異なるマルウェアの株と亜種が作成されていると推定されており(リンクは ibm.com の外にあります)、サイバーセキュリティの専門家が追いつくのは困難になっています。
ハッカーは、コードをオープンソースにしたり、他の犯罪者に販売したりして、マルウェアを共有することがよくあります。ランサムウェア開発者の間では、マルウェア・アズ・ア・サービスの取り決めが普及しており、技術的な専門知識がほとんどない犯罪者でもサイバー犯罪の報酬を得ることができる。
状況は常に変化していますが、マルウェア株はいくつかの一般的なタイプに分類できます。
「マルウェア」と「コンピューター ウイルス」という用語は同義語としてよく使用されますが、ウイルスは技術的には特定の種類のマルウェアです。具体的には、ウイルスとは、正規のソフトウェアをハイジャックして損害を与え、それ自体のコピーを拡散させる悪意のあるコードです。
ウイルスは単独では作用できません。 代わりに、コードのスニペットを他の実行可能プログラムに隠します。ユーザーがプログラムを起動すると、ウイルスも実行を開始します。ウイルスは通常、重要なデータを削除し、通常の操作を妨害し、感染したコンピュータ上の他のプログラムに自分自身のコピーを拡散するように設計されています。
初期のマルウェアの脅威のほとんどはウイルスでした。 Elk Cloner は、おそらく公共のデバイスを通じて拡散した最初のマルウェアであり、Apple コンピュータを標的としたウイルスでした。
ランサムウェアは被害者のデバイスやデータをロックし、ロックを解除するために通常は暗号通貨の形で身代金の支払いを要求します。IBM のX-Force Threat Intelligence Indexによると、ランサムウェアはサイバー攻撃の 2 番目に一般的なタイプであり、攻撃の 17% を占めています。
最も基本的なランサムウェア攻撃では、身代金が支払われるまで資産が使用できなくなりますが、サイバー犯罪者は追加の戦術を使用して被害者への圧力を強める可能性があります。
二重恐喝攻撃では、サイバー犯罪者はデータを盗み、支払いがなければ漏洩すると脅迫します。三重恐喝攻撃では、ハッカーは被害者のデータを暗号化して盗み、分散型サービス拒否(DDoS) 攻撃によってシステムをオフラインにすると脅します。
身代金の要求は、数万から数百万米ドルの範囲である可能性があります。 あるレポート(リンクは ibm.com の外にあります) によると、身代金の平均支払い額は 812,360 米ドルです。たとえ被害者が代金を支払わなかったとしても、ランサムウェアには多額の費用がかかります。IBM のデータ侵害のコスト レポートによると、ランサムウェア攻撃の平均コストは 454 万ドルで、身代金自体は含まれていません。
ハッカーは、リモート アクセス マルウェアを使用して、バックドアを作成または悪用することで、コンピューター、サーバー、またはその他のデバイスにアクセスします。X-Force Threat Intelligence Indexによると、バックドアの設置はハッカーにとって最も一般的な目的であり、攻撃の 21% を占めています。
バックドアにより、サイバー犯罪者はさまざまな行為を行うことができます。データや資格情報を盗んだり、デバイスを制御したり、ランサムウェアなどのさらに危険なマルウェアをインストールしたりする可能性があります。一部のハッカーは、リモート アクセス マルウェアを使用してバックドアを作成し、他のハッカーに販売し、1 つあたり数千米ドルで販売することがあります。
Back Orifice や CrossRAT などの一部のリモート アクセス マルウェアは、悪意のある目的のために意図的に作成されています。ハッカーは、正規のソフトウェアを変更または悪用して、デバイスにリモート アクセスすることもできます。特に、サイバー犯罪者は、盗んだ Microsoft リモート デスクトップ プロトコル (RDP) の認証情報をバックドアとして使用することが知られています。
ボットネットは、ハッカーの制御下にある、インターネットに接続されたマルウェアに感染したデバイスのネットワークです。ボットネットには、PC、モバイル デバイス、モノのインターネット (IoT) デバイスなどが含まれます。被害者は、自分のデバイスがボットネットの一部であることに気づかないことがよくあります。ハッカーはボットネットを使用して DDoS 攻撃を開始することがよくあり、標的のネットワークに大量のトラフィックを送り込み、速度が大幅に低下するか完全にシャットダウンします。
最も有名なボットネットのひとつであるMiraiは、2016年にドメインネームシステム・プロバイダーのDynに対する大規模な攻撃を引き起こし、米国とヨーロッパの数百万人のユーザーに対してTwitterやRedditのような人気ウェブサイトをダウンさせた(リンクはibm.comの外に存在)。
クリプトジャッカーは、所有者の知らない間にデバイスを制御し、それを使用してビットコインなどの暗号通貨をマイニングするマルウェアです。基本的に、クリプトジャッカーはクリプトマイニング ボットネットを作成します。
暗号通貨のマイニングは、非常に計算量が多く、コストがかかるタスクです。サイバー犯罪者は利益を得ますが、感染したコンピュータのユーザーはパフォーマンスの低下やクラッシュを経験します。クリプトジャッカーはエンタープライズ クラウド インフラストラクチャをターゲットにすることが多く、個々のコンピュータをターゲットにするよりも多くのリソースをクリプトマイニングのためにマーシャリングすることができます。
ファイルレス マルウェアは、Web ブラウザやワード プロセッサなどの正規のソフトウェア プログラムの脆弱性を利用して、悪意のあるコードをコンピュータのメモリに直接挿入する攻撃の一種です。コードはメモリ内で実行されるため、ハード ドライブに痕跡は残りません。正規のソフトウェアを使用しているため、検出を回避することがよくあります。
ファイルレス マルウェア攻撃の多くは、Microsoft Windows オペレーティング システムに組み込まれているコマンド ライン インターフェイスおよびスクリプト ツールである PowerShell を使用します。ハッカーは PowerShell スクリプトを実行して、構成を変更したり、パスワードを盗んだり、その他の損害を与えたりする可能性があります。
悪意のあるマクロは、ファイルレス攻撃のもう 1 つの一般的なベクトルです。Microsoft Word や Excel などのアプリを使用すると、ユーザーはテキストの書式設定や計算の実行などの単純なタスクを自動化する一連のコマンドであるマクロを定義できます。ハッカーはこれらのマクロに悪意のあるスクリプトを保存することができます。ユーザーがファイルを開くと、これらのスクリプトが自動的に実行されます。
ワームは自己複製する悪意のあるプログラムで、人間の介入なしにアプリとデバイス間で拡散する可能性があります。(ユーザーが侵害されたプログラムを実行した場合にのみ蔓延するウイルスと比較してください。)一部のワームは拡散するだけですが、多くはより深刻な結果をもたらします。たとえば、推定 40 億米ドルの損害を引き起こした WannaCry ランサムウェアは、接続されたデバイス間で自動的に拡散することでその影響を最大化するワームでした。
トロイの木馬は、 ユーザーを騙してインストールさせるために、便利なプログラムであるかのように偽装したり、正規のソフトウェアの中に隠れたりします。 リモート・アクセス・トロイの木馬または"RAT" は、感染したデバイス上に秘密のバックドアを作成します。また、"ドロッパーと呼ばれるトロイの木馬の一種" は、足がかりを得ると追加のマルウェアをインストールします。最近のランサムウェアの中で最も壊滅的な株の1つであるRyukは、デバイスを感染させるためにEmotetトロイの木馬を使用していました。
ルート キットは、ハッカーがコンピュータのオペレーティングシステムやその他の資産に特権的な管理者レベルのアクセス権を得ることを可能にするマルウェアパッケージです。ハッカーはこの権限を利用して、ユーザーの追加や削除、アプリケーションの再設定など、事実上何でもできるようになります。ハッカーは、悪意のあるプロセスを隠したり、悪意のあるプロセスを検知する可能性のあるセキュリティ・ソフトウェアを無効にするために、ルートキットを使用することがよくあります。
スケアウェアはは、ユーザーを脅してマルウェアをダウンロードさせたり、機密情報を詐欺師に渡したり します。スケアウェアは、 緊急メッセージとともに突然ポップアップとして表示されることが多く、通常、法律に違反した、またはデバイスがウイルスに感染しているとユーザーに警告します。 このポップアップでは、「罰金」を支払うようにユーザーを誘導したり、実際のマルウェアであることが判明した偽のセキュリティソフトウェアをダウンロードさせたりします。
スパイウェア は感染したコンピュータに潜み、機密情報を密かに収集し、攻撃者に送信します。キーロガーと呼ばれる一般的なスパイウェアは、ユーザーのすべてのキー入力を記録し、ハッカーがユーザー名、パスワード、銀行口座番号、クレジットカード番号、社会保障番号、その他の機密データを収集することを可能にします。
アドウェアはは、不要なポップアップ広告でデバイスをスパムします。アドウェアは、ユーザーが知らないうちにフリーソフトウェアに含まれていることがよくあります。ユーザーがプログラムをインストールすると、知らず知らずのうちにアドウェアもインストールされてしまうのです。ほとんどのアドウェアは迷惑なものでしかありませんが、中には個人情報を収集したり、ウェブブラウザを悪意のあるウェブサイトにリダイレクトしたり、あるいはポップアップをクリックしたユーザーのデバイスにさらにマルウェアをダウンロードさせたりするものもあります。
マルウェア攻撃には、マルウェア ペイロードと攻撃ベクトルという 2 つのコンポーネントがあります。ペイロードはハッカーが仕掛けたい悪意のあるコードであり、攻撃ベクトルはペイロードがターゲットに配信される方法です。
最も一般的なマルウェア ベクターには次のようなものがあります。
ソーシャル エンジニアリング攻撃は、人々を心理的に操作して、マルウェアのダウンロードなど、してはいけないことを実行させます。詐欺的な電子メールやテキスト メッセージを使用してユーザーを騙すフィッシング攻撃が特に一般的です。X-Force Threat Intelligence Indexによると、フィッシングはマルウェア感染の 41% の要因です。
フィッシングメールやフィッシングメッセージは、信頼できるブランドや個人から送信されたように見えるように作成されることがよくあります。通常、恐怖(「あなたの携帯電話から9つのウイルスが見つかりました!」)、貪欲(「未請求の支払いが待っています!」 )、緊急性(「無料プレゼントを請求するには時間がありません!」)のような強い感情を呼び起こし、ユーザーに望ましい行動を取らせようとします。 通常、そのアクションは、悪意のある電子メールの添付ファイルを開いたり、デバイスにマルウェアを読み込む悪意のある Web サイトにアクセスしたりすることです。
サイバー犯罪者は、ターゲットのソフトウェアやファームウェアにマルウェアを注入できるようにする、ソフトウェア、デバイス、ネットワーク内のパッチが適用されていない脆弱性を常に探しています。IoT デバイス (その多くは最小限のセキュリティ、またはまったくセキュリティなしで販売および導入されています) は、サイバー犯罪者がマルウェアをまき散らすのに特に適した分野です。
ハッカーは、「ベイティング」と呼ばれる戦術を使用して、注意を引くラベルが貼られた感染した USB ドライブをコワーキング スペースやコーヒー ショップなどの公共の場所に置く可能性があります。これらのドライブに誘惑されたユーザーは、何の疑いも持たずにドライブをデバイスに接続して、そのドライブの内容を確認する可能性があり、マルウェアがシステムに感染します。最近の調査では、既知のサイバー脅威の 37% がリムーバブル メディアを悪用するように設計されていることがわかりました (リンクは ibm.com の外にあります)。
トロイの木馬やアドウェアなど、多くの形式のマルウェアは、有用なソフトウェアや映画や音楽の無料コピーを装います。皮肉なことに、それらは多くの場合、デバイスのパフォーマンスを向上させる無料のウイルス対策プログラムやアプリを装っています。ユーザーが海賊版メディアを共有するトレント ネットワークはサイバー犯罪者の悪名高い遊び場ですが、隠れたマルウェアが正規の市場に侵入する可能性もあります。最近、 Goldoson マルウェア(リンクは ibm.com の外にあります) が、Google Play ストアから入手できるアプリに隠れることで、数百万台のデバイスに感染することができました。
マルバタイジングとは、ハッカーが正規の広告ネットワークに悪意のある広告を掲載したり、正規の広告を乗っ取って悪意のあるコードを配信したりすることです。たとえば、 Bumblebee マルウェア(リンクは ibm.com の外にあります) は、Cisco AnyConnect を装った悪意のある Google 広告を通じて拡散しました。本物を探しているユーザーは、検索結果に広告が表示され、クリックしてしまい、知らず知らずのうちにマルウェアをダウンロードしてしまうことになります。「ドライブバイ ダウンロード」と呼ばれる関連技術により、ユーザーは何もクリックする必要さえなくなり、悪意のある Web サイトにアクセスするとすぐにダウンロードが自動的に開始されます。
企業ネットワークでは、ユーザーの個人デバイスがマルウェアの主な媒介となる可能性があります。ユーザーのスマートフォンやラップトップは、プライベートな時間に、企業のセキュリティ ソリューションの恩恵を受けずに安全でないネットワークに接続しているときに感染する可能性があります。ユーザーがこれらのデバイスを職場に持ち込むと、マルウェアが企業ネットワークに拡散する可能性があります。
ベンダーのネットワークが侵害されると、そのベンダーの製品やサービスを使用している企業のネットワークにマルウェアが拡散する可能性があります。たとえば、サイバー犯罪者は、Kaseya の VSA プラットフォーム (リンクは ibm.com の外にあります) の欠陥を利用して、正規のソフトウェア アップデートを装ってランサムウェアを顧客に拡散しました。
ランサムウェアなどの一部のマルウェア感染は、自らをアナウンスします。しかし、ほとんどは大混乱を引き起こすため、人目につかないよう努めています。それでも、マルウェア感染は、サイバーセキュリティ チームがマルウェア感染を特定するために使用できる兆候を残すことがよくあります。以下が含まれます。
パフォーマンスの低下: マルウェアのプログラムは、感染したコンピュータのリソースを使用して実行され、多くの場合、ストレージ領域を消費し、正規のプロセスを中断させます。ITサポート・チームは、デバイスが遅くなったり、クラッシュしたり、ポップアップで溢れたりするユーザーからのチケットが殺到していることに気づくかもしれません。
新しい予期せぬネットワーク・アクティビティ: 通常よりも多くの帯域幅を使用するプロセス、不明なサーバーと通信するデバイス、通常使用していない資産にアクセスするユーザー・アカウントなど、ITおよびセキュリティ・スタッフが奇妙なパターンに気づく可能性があります。
設定の変更: マルウェアの系統によっては、検知を回避するためにデバイスの設定を変更したり、セキュリティ・ソリューションを無効にしたりするものがあります。ITチームやセキュリティ・チームは、例えばファイアウォールのルールが変更されたり、アカウントの権限が昇格されたりしていることに気づくかもしれません。
セキュリティ・イベント・アラート 脅威検知ソリューションを導入している企業では、マルウェア感染の最初の兆候はセキュリティ・イベント・アラートである可能性が高い。侵入検知システム(IDS)、 セキュリティ情報・イベント管理 (SIEM)プラットフォーム、アンチウイルス・ソフトウェアなどの ソリューションは、インシデントレスポンス・チームが確認できるように、マルウェア感染の可能性を示すフラグを 立てることができます。
マルウェア攻撃は避けられませんが、組織が防御を強化するために実行できる手順はあります。以下が含まれます。
セキュリティ意識向上トレーニング:マルウェア感染の多くは、ユーザーが偽のソフトウェアをダウンロードしたり、フィッシング詐欺に引っかかったりすることで発生します。セキュリティ意識向上トレーニングは、ユーザーがソーシャル エンジニアリング攻撃、悪意のある Web サイト、偽のアプリを発見するのに役立ちます。セキュリティ意識向上トレーニングでは、マルウェアの脅威が疑われる場合に何をすべきか、誰に連絡すればよいかをユーザーに教育することもできます。
セキュリティ ポリシー: 安全でない Wi-Fi 経由で機密資産にアクセスするときに強力なパスワード、多要素認証、および VPN を要求すると、ハッカーによるユーザー アカウントへのアクセスを制限できます。パッチ管理、脆弱性評価、侵入テストを定期的に実施することで、サイバー犯罪者に悪用される前にソフトウェアやデバイスの脆弱性を発見することもできる。 BYODデバイスを管理し、シャドー IT を防止するためのポリシーは、ユーザーが無意識のうちに企業ネットワークにマルウェアを持ち込むことを防ぐのに役立ちます。
バックアップ: 機密データやシステムイメージの最新のバックアップを、理想的にはハードディスクやネットワークから切り離せるその他のデバイスに維持することで、マルウェア攻撃からの復旧が容易になります。
ゼロ・トラスト・ネットワーク・アーキテクチャー: ゼロ・ トラストとは 、ユーザを決して信用せず、常に検証するネットワーク・セキュリティの アプローチ である。 特にゼロ・トラストは 、最小特権の原則、ネットワークのマイクロセグメンテーション、継続的な適応認証を 実装 し、どのユーザーやデバイスも機密データやアクセスすべきでない資産にアクセスできないようにします。マルウェアがネットワークに侵入した場合、これらのコントロールによって横方向の動きを制限することができる。
インシデント対応計画: マルウェアの種類に応じた インシデント対応計画を事前に作成しておくこと で、サイバーセキュリティチームはマルウェア感染をより迅速に根絶 することができます。
上記で概説した手動戦術に加えて、サイバーセキュリティ チームはセキュリティ ソリューションを使用して、マルウェアの削除、検出、防止の側面を自動化できます。一般的なツールには以下が含まれます。
ウイルス対策ソフトウェア: 「マルウェア対策」ソフトウェアとも呼ばれるウイルス対策プログラムは、システムをスキャンして感染の兆候がないか確認します。ユーザーに警告するだけでなく、多くのウイルス対策プログラムはマルウェアを検出すると自動的に隔離して削除できます。
ファイアウォール: ファイアウォールは、悪意のあるトラフィックがネットワークに到達するのをブロックすることができます。マルウェアがネットワーク・デバイスに侵入した場合、ファイアウォールは、キーロガーがキー入力を攻撃者に送り返すような、ハッカーへの送信通信を阻止するのに役立ちます。
セキュリティ情報・イベント管理(SIEM)プラットフォーム: SIEMは、 社内のセキュリティ・ツールから情報を収集し、一元的なログに集約して、異常のフラグを立てます。 SIEMは複数のソースからのアラートを一元管理するため、マルウェアの微妙な兆候を発見しやすくなります。
セキュリティ・オーケストレーション・オートメーション・レスポンス(SOAR)プラットフォーム: SOARは、 異種のセキュリティ・ツールを統合・調整し、セキュリティ・チームがマルウェアにリアルタイムで対応するための半自動化または完全自動化されたプレイブックを作成できるようにします。
EDR(Endpoint Detection and Response)プラットフォーム: EDRは、 スマートフォン、ノートPC、サーバなどのエンドポイントデバイスを監視し、不審な動作の兆候を検出し、検出されたマルウェアに自動的に対応します。
XDR(Extended Detection and Response)プラットフォーム: XDRは、 ユーザ、エンドポイント、電子メール、アプリケーション、ネットワーク、クラウドワークロード、データなど、すべてのセキュリティレイヤーにわたってセキュリティツールと運用を統合します。 XDRは、複雑なマルウェアの防御、検知、調査、対応プロセスを自動化し、プロアクティブな脅威の発見を支援します。
攻撃対象領域管理(ASM)ツール: ASMツールは、 組織のネットワーク内のすべての資産を継続的に検出、分析、修復、監視します。 ASMは、マルウェアを運ぶ可能性のある未承認のシャドーITアプリやデバイスをサイバーセキュリティチームが発見する際に役立ちます。
統合エンドポイント管理(UEM): UEM ソフトウェアは、 デスクトップ、ラップトップ、モバイル・デバイスなど、組織のすべてのエンドユーザー・デバイスを監視、管理、保護します。 多くの組織が UEM ソリューションを使用して、従業員の BYOD デバイスが企業ネットワークにマルウェアを持ち込まないようにしています。
統制された最新セキュリティースイートで脅威に打ち勝つQRadar ポートフォリオにはエンタープライズグレードの AI が組み込まれており、エンドポイントセキュリティ、ログ管理、SIEM、SOAR 用の統合製品を提供しており、すべて共通のユーザーインターフェース、共有された洞察、接続されたワークフローを備えています。
プロアクティブな脅威ハンティング、継続的な監視、脅威の詳細な調査は、すでに多忙な IT 部門が直面している優先事項のほんの一部にすぎません。信頼できるインシデント対応チームを待機させると、対応時間が短縮され、サイバー攻撃の影響が最小限に抑えられ、より迅速な復旧が可能になります。
最新のランサムウェアの攻撃を阻止し対処するために、IBMは、800 TBの脅威アクティビティー・データ、1,700万件以上のスパムおよびフィッシング攻撃に関する情報、2億7千万のエンドポイントから得た約100万件の悪意のあるIPアドレスのレピュテーション・データを活用して洞察を導き出しています。