サイバー犯罪は巨大な産業です。 ある試算（リンクはibm.comの外部にあります）によると、米国と中国に次ぐ世界第3位の経済大国となり、2025年までに10兆5000億ドルの費用がかかると予測されています。

この業界では、ハッカーが常に新しい特徴や機能を備えた新しい種類のマルウェアを開発しています。これらの個々のマルウェア株は、セキュリティ ソフトウェアをよりうまく回避するために、時間の経過とともに新しい亜種を生み出します。1980 年代以来、10 億を超える異なるマルウェアの株と亜種が作成されていると推定されており(リンクは ibm.com の外にあります)、サイバーセキュリティの専門家が追いつくのは困難になっています。

ハッカーは、コードをオープンソースにしたり、他の犯罪者に販売したりして、マルウェアを共有することがよくあります。ランサムウェア開発者の間では、マルウェア・アズ・ア・サービスの取り決めが普及しており、技術的な専門知識がほとんどない犯罪者でもサイバー犯罪の報酬を得ることができる。

状況は常に変化していますが、マルウェア株はいくつかの一般的なタイプに分類できます。

「マルウェア」と「コンピューター ウイルス」という用語は同義語としてよく使用されますが、ウイルスは技術的には特定の種類のマルウェアです。具体的には、ウイルスとは、正規のソフトウェアをハイジャックして損害を与え、それ自体のコピーを拡散させる悪意のあるコードです。

ウイルスは単独では作用できません。 代わりに、コードのスニペットを他の実行可能プログラムに隠します。ユーザーがプログラムを起動すると、ウイルスも実行を開始します。ウイルスは通常、重要なデータを削除し、通常の操作を妨害し、感染したコンピュータ上の他のプログラムに自分自身のコピーを拡散するように設計されています。

初期のマルウェアの脅威のほとんどはウイルスでした。 Elk Cloner は、おそらく公共のデバイスを通じて拡散した最初のマルウェアであり、Apple コンピュータを標的としたウイルスでした。

ランサムウェアは被害者のデバイスやデータをロックし、ロックを解除するために通常は暗号通貨の形で身代金の支払いを要求します。IBM のX-Force Threat Intelligence Indexによると、ランサムウェアはサイバー攻撃の 2 番目に一般的なタイプであり、攻撃の 17% を占めています。

最も基本的なランサムウェア攻撃では、身代金が支払われるまで資産が使用できなくなりますが、サイバー犯罪者は追加の戦術を使用して被害者への圧力を強める可能性があります。

二重恐喝攻撃では、サイバー犯罪者はデータを盗み、支払いがなければ漏洩すると脅迫します。三重恐喝攻撃では、ハッカーは被害者のデータを暗号化して盗み、分散型サービス拒否(DDoS) 攻撃によってシステムをオフラインにすると脅します。

身代金の要求は、数万から数百万米ドルの範囲である可能性があります。 あるレポート(リンクは ibm.com の外にあります) によると、身代金の平均支払い額は 812,360 米ドルです。たとえ被害者が代金を支払わなかったとしても、ランサムウェアには多額の費用がかかります。IBM のデータ侵害のコスト レポートによると、ランサムウェア攻撃の平均コストは 454 万ドルで、身代金自体は含まれていません。

ハッカーは、リモート アクセス マルウェアを使用して、バックドアを作成または悪用することで、コンピューター、サーバー、またはその他のデバイスにアクセスします。X-Force Threat Intelligence Indexによると、バックドアの設置はハッカーにとって最も一般的な目的であり、攻撃の 21% を占めています。

バックドアにより、サイバー犯罪者はさまざまな行為を行うことができます。データや資格情報を盗んだり、デバイスを制御したり、ランサムウェアなどのさらに危険なマルウェアをインストールしたりする可能性があります。一部のハッカーは、リモート アクセス マルウェアを使用してバックドアを作成し、他のハッカーに販売し、1 つあたり数千米ドルで販売することがあります。

Back Orifice や CrossRAT などの一部のリモート アクセス マルウェアは、悪意のある目的のために意図的に作成されています。ハッカーは、正規のソフトウェアを変更または悪用して、デバイスにリモート アクセスすることもできます。特に、サイバー犯罪者は、盗んだ Microsoft リモート デスクトップ プロトコル (RDP) の認証情報をバックドアとして使用することが知られています。

ボットネットは、ハッカーの制御下にある、インターネットに接続されたマルウェアに感染したデバイスのネットワークです。ボットネットには、PC、モバイル デバイス、モノのインターネット (IoT) デバイスなどが含まれます。被害者は、自分のデバイスがボットネットの一部であることに気づかないことがよくあります。ハッカーはボットネットを使用して DDoS 攻撃を開始することがよくあり、標的のネットワークに大量のトラフィックを送り込み、速度が大幅に低下するか完全にシャットダウンします。

最も有名なボットネットのひとつであるMiraiは、2016年にドメインネームシステム・プロバイダーのDynに対する大規模な攻撃を引き起こし、米国とヨーロッパの数百万人のユーザーに対してTwitterやRedditのような人気ウェブサイトをダウンさせた（リンクはibm.comの外に存在）。

クリプトジャッカーは、所有者の知らない間にデバイスを制御し、それを使用してビットコインなどの暗号通貨をマイニングするマルウェアです。基本的に、クリプトジャッカーはクリプトマイニング ボットネットを作成します。

暗号通貨のマイニングは、非常に計算量が多く、コストがかかるタスクです。サイバー犯罪者は利益を得ますが、感染したコンピュータのユーザーはパフォーマンスの低下やクラッシュを経験します。クリプトジャッカーはエンタープライズ クラウド インフラストラクチャをターゲットにすることが多く、個々のコンピュータをターゲットにするよりも多くのリソースをクリプトマイニングのためにマーシャリングすることができます。

ファイルレス マルウェアは、Web ブラウザやワード プロセッサなどの正規のソフトウェア プログラムの脆弱性を利用して、悪意のあるコードをコンピュータのメモリに直接挿入する攻撃の一種です。コードはメモリ内で実行されるため、ハード ドライブに痕跡は残りません。正規のソフトウェアを使用しているため、検出を回避することがよくあります。

ファイルレス マルウェア攻撃の多くは、Microsoft Windows オペレーティング システムに組み込まれているコマンド ライン インターフェイスおよびスクリプト ツールである PowerShell を使用します。ハッカーは PowerShell スクリプトを実行して、構成を変更したり、パスワードを盗んだり、その他の損害を与えたりする可能性があります。

悪意のあるマクロは、ファイルレス攻撃のもう 1 つの一般的なベクトルです。Microsoft Word や Excel などのアプリを使用すると、ユーザーはテキストの書式設定や計算の実行などの単純なタスクを自動化する一連のコマンドであるマクロを定義できます。ハッカーはこれらのマクロに悪意のあるスクリプトを保存することができます。ユーザーがファイルを開くと、これらのスクリプトが自動的に実行されます。

ワームは自己複製する悪意のあるプログラムで、人間の介入なしにアプリとデバイス間で拡散する可能性があります。(ユーザーが侵害されたプログラムを実行した場合にのみ蔓延するウイルスと比較してください。)一部のワームは拡散するだけですが、多くはより深刻な結果をもたらします。たとえば、推定 40 億米ドルの損害を引き起こした WannaCry ランサムウェアは、接続されたデバイス間で自動的に拡散することでその影響を最大化するワームでした。

トロイの木馬は、 ユーザーを騙してインストールさせるために、便利なプログラムであるかのように偽装したり、正規のソフトウェアの中に隠れたりします。 リモート・アクセス・トロイの木馬または"RAT" は、感染したデバイス上に秘密のバックドアを作成します。また、"ドロッパーと呼ばれるトロイの木馬の一種" は、足がかりを得ると追加のマルウェアをインストールします。最近のランサムウェアの中で最も壊滅的な株の1つであるRyukは、デバイスを感染させるためにEmotetトロイの木馬を使用していました。

ルート キットは、ハッカーがコンピュータのオペレーティングシステムやその他の資産に特権的な管理者レベルのアクセス権を得ることを可能にするマルウェアパッケージです。ハッカーはこの権限を利用して、ユーザーの追加や削除、アプリケーションの再設定など、事実上何でもできるようになります。ハッカーは、悪意のあるプロセスを隠したり、悪意のあるプロセスを検知する可能性のあるセキュリティ・ソフトウェアを無効にするために、ルートキットを使用することがよくあります。

スケアウェアはは、ユーザーを脅してマルウェアをダウンロードさせたり、機密情報を詐欺師に渡したり します。スケアウェアは、 緊急メッセージとともに突然ポップアップとして表示されることが多く、通常、法律に違反した、またはデバイスがウイルスに感染しているとユーザーに警告します。 このポップアップでは、「罰金」を支払うようにユーザーを誘導したり、実際のマルウェアであることが判明した偽のセキュリティソフトウェアをダウンロードさせたりします。

スパイウェア は感染したコンピュータに潜み、機密情報を密かに収集し、攻撃者に送信します。キーロガーと呼ばれる一般的なスパイウェアは、ユーザーのすべてのキー入力を記録し、ハッカーがユーザー名、パスワード、銀行口座番号、クレジットカード番号、社会保障番号、その他の機密データを収集することを可能にします。

アドウェアはは、不要なポップアップ広告でデバイスをスパムします。アドウェアは、ユーザーが知らないうちにフリーソフトウェアに含まれていることがよくあります。ユーザーがプログラムをインストールすると、知らず知らずのうちにアドウェアもインストールされてしまうのです。ほとんどのアドウェアは迷惑なものでしかありませんが、中には個人情報を収集したり、ウェブブラウザを悪意のあるウェブサイトにリダイレクトしたり、あるいはポップアップをクリックしたユーザーのデバイスにさらにマルウェアをダウンロードさせたりするものもあります。

マルウェア攻撃は避けられませんが、組織が防御を強化するために実行できる手順はあります。以下が含まれます。

セキュリティ意識向上トレーニング:マルウェア感染の多くは、ユーザーが偽のソフトウェアをダウンロードしたり、フィッシング詐欺に引っかかったりすることで発生します。セキュリティ意識向上トレーニングは、ユーザーがソーシャル エンジニアリング攻撃、悪意のある Web サイト、偽のアプリを発見するのに役立ちます。セキュリティ意識向上トレーニングでは、マルウェアの脅威が疑われる場合に何をすべきか、誰に連絡すればよいかをユーザーに教育することもできます。

セキュリティ ポリシー: 安全でない Wi-Fi 経由で機密資産にアクセスするときに強力なパスワード、多要素認証、および VPN を要求すると、ハッカーによるユーザー アカウントへのアクセスを制限できます。パッチ管理、脆弱性評価、侵入テストを定期的に実施することで、サイバー犯罪者に悪用される前にソフトウェアやデバイスの脆弱性を発見することもできる。 BYODデバイスを管理し、シャドー IT を防止するためのポリシーは、ユーザーが無意識のうちに企業ネットワークにマルウェアを持ち込むことを防ぐのに役立ちます。

バックアップ： 機密データやシステムイメージの最新のバックアップを、理想的にはハードディスクやネットワークから切り離せるその他のデバイスに維持することで、マルウェア攻撃からの復旧が容易になります。

ゼロ・トラスト・ネットワーク・アーキテクチャー： ゼロ・ トラストとは 、ユーザを決して信用せず、常に検証するネットワーク・セキュリティの アプローチ である。 特にゼロ・トラストは 、最小特権の原則、ネットワークのマイクロセグメンテーション、継続的な適応認証を 実装 し、どのユーザーやデバイスも機密データやアクセスすべきでない資産にアクセスできないようにします。マルウェアがネットワークに侵入した場合、これらのコントロールによって横方向の動きを制限することができる。

インシデント対応計画： マルウェアの種類に応じた インシデント対応計画を事前に作成しておくこと で、サイバーセキュリティチームはマルウェア感染をより迅速に根絶 することができます。

上記で概説した手動戦術に加えて、サイバーセキュリティ チームはセキュリティ ソリューションを使用して、マルウェアの削除、検出、防止の側面を自動化できます。一般的なツールには以下が含まれます。

ウイルス対策ソフトウェア: 「マルウェア対策」ソフトウェアとも呼ばれるウイルス対策プログラムは、システムをスキャンして感染の兆候がないか確認します。ユーザーに警告するだけでなく、多くのウイルス対策プログラムはマルウェアを検出すると自動的に隔離して削除できます。

ファイアウォール： ファイアウォールは、悪意のあるトラフィックがネットワークに到達するのをブロックすることができます。マルウェアがネットワーク・デバイスに侵入した場合、ファイアウォールは、キーロガーがキー入力を攻撃者に送り返すような、ハッカーへの送信通信を阻止するのに役立ちます。

セキュリティ情報・イベント管理（SIEM）プラットフォーム： SIEMは、 社内のセキュリティ・ツールから情報を収集し、一元的なログに集約して、異常のフラグを立てます。 SIEMは複数のソースからのアラートを一元管理するため、マルウェアの微妙な兆候を発見しやすくなります。

セキュリティ・オーケストレーション・オートメーション・レスポンス（SOAR）プラットフォーム： SOARは、 異種のセキュリティ・ツールを統合・調整し、セキュリティ・チームがマルウェアにリアルタイムで対応するための半自動化または完全自動化されたプレイブックを作成できるようにします。

EDR（Endpoint Detection and Response）プラットフォーム： EDRは、 スマートフォン、ノートPC、サーバなどのエンドポイントデバイスを監視し、不審な動作の兆候を検出し、検出されたマルウェアに自動的に対応します。

XDR（Extended Detection and Response）プラットフォーム： XDRは、 ユーザ、エンドポイント、電子メール、アプリケーション、ネットワーク、クラウドワークロード、データなど、すべてのセキュリティレイヤーにわたってセキュリティツールと運用を統合します。 XDRは、複雑なマルウェアの防御、検知、調査、対応プロセスを自動化し、プロアクティブな脅威の発見を支援します。

攻撃対象領域管理（ASM）ツール： ASMツールは、 組織のネットワーク内のすべての資産を継続的に検出、分析、修復、監視します。 ASMは、マルウェアを運ぶ可能性のある未承認のシャドーITアプリやデバイスをサイバーセキュリティチームが発見する際に役立ちます。

統合エンドポイント管理（UEM）： UEM ソフトウェアは、 デスクトップ、ラップトップ、モバイル・デバイスなど、組織のすべてのエンドユーザー・デバイスを監視、管理、保護します。 多くの組織が UEM ソリューションを使用して、従業員の BYOD デバイスが企業ネットワークにマルウェアを持ち込まないようにしています。