マルウェアとは、悪意のあるソフトウェア(malicious software)の略で、コンピューターやネットワークを損傷または破壊したり、不正な使用や配膳使用を目的として、コンピュータ、ネットワーク、またはデータへの不正なアクセスを提供したりするために作成されたソフトウェア・コードです。 ほぼすべての種類のサイバー攻撃の根本に、何らかの形でマルウェアが介在しています。
サイバー犯罪者はマルウェアを利用して、以下のようなことを行います。
マルウェア関連の攻撃のコストは莫大です。 Cybercrime Magazineは、マルウェアの一種に過ぎないランサムウェアによる世界的な被害コストが、2021年には200億米ドルに上っており、これがさらに2031年には2650億米ドルにまで増加すると報告しています (リンクはibm.comの外部)。
かつて、マルウェアの脅威のほとんどはコンピューター・ウイルスでした。これは、あるコンピューターに「感染」し、そのコピーを他のコンピューターに拡散するコードです。 Creeperと呼ばれる史上初のコンピューター・ウイルスは、ハードディスクがいっぱいになってコンピューターが不能になるまで自己複製を繰り返しました(1971年にCreeperが登場した当時は、比較的短時間でこれを達成できました)。 その後のウイルスは、オペレーティング・システム・ファイル、アプリケーション・ファイル、ディスクのブート・セクターを上書きまたは破壊することによって、コンピューター・システムを使用不能にしました。
今日では、マルウェアにはさまざまな種類が存在し、それぞれがコンピューターやネットワークに対してより深刻な損害を与え、セキュリティー・ツールやマルウェア保護テクノロジーによる検出や修復を回避するように進化し続けています。 以下は、現在流通している最も一般的なマルウェアの種類について簡単に説明しています。
ランサムウェア
ランサムウェアは、被害者のデバイスをロックしたり、被害者のデータの一部または全部を暗号化したりするマルウェアであり、デバイスのロック解除、データの復号化、データの盗難や共有の回避を条件に身代金の支払いを(多くの場合は暗号通貨の形で)要求します。 2022 X-Force Threat Intelligence Index(PDF、4.1 MB)によると、X-Forceが2019年以降に対応してきたランサムウェア関連のインシデントのほとんどすべてにおいて、データ暗号化とデータ盗難の両方で被害者を脅す「二重恐喝」が発生していました。 また、データの暗号化と盗難に加えて、分散型サービス妨害やDDoS攻撃の開始(後述のボットネットを参照)によって脅す「三重恐喝」のランサムウェア・インシデントも増加しています。
同報告書によると、2021年の全サイバー攻撃の21%をランサムウェア攻撃が占めていました。
ランサムウェアの被害者や交渉担当者は、身代金の支払い額を公表することに消極的です。 ある世界的な保険会社が、2021年5月に4000万米ドルという、知られている中では最大額の支払い を行ったと報告されています(リンクはIBM.comの外部)。 支払額の平均は、10万米ドルから30万米ドルの範囲と推定されています。 しかし、多くのランサムウェアの被害者にとっては、身代金が最小のコストです。 IBMの「Cost of a Data Breach 2021」レポートによると、ランサムウェア攻撃の平均コストは、身代金を含めずに462万米ドルでした。
サーバー・アクセス・マルウェア
サーバー・アクセス・マルウェアは、攻撃者がWebアプリケーション・サーバーに不正アクセスすることを可能にします。 多くの場合、サーバー・アクセス・マルウェアは、正当なソフトウェアがサイバー攻撃のために改変または悪用されたものです。皮肉なことに、一部のマルウェアは、元々はサーバーやサーバー・オペレーティング・システムのセキュリティーの脆弱性を示すために開発されたものです。
サーバー・アクセス・マルウェアには、攻撃者がWebブラウザーを介してWebサーバーを制御できるようにするWebシェルや、サーバーあるいはコンピューター上でMicrosoft Windowsをリモート管理できるようにするBack Orificeなどのリモート・システム管理プログラムなどがあります。 攻撃者は、被害者のWebサイトの改ざんや破壊から、ユーザーの資格情報やその他の機密データの盗難に至るまで、あらゆる目的でこの種のマルウェアを使用します。 「2022 X-Force脅威インテリジェンス・インデックス」では、2021年の全サイバーセキュリティー・インシデントの11%がサーバー・アクセス攻撃であったと報告しています。
ボットネット
技術的には、ボットネットはマルウェアではなく、マルウェアを使用して作成されたものです。 ボットネットとは、インターネットに接続され、マルウェアに感染したデバイス(PC、スマートフォン、モノのインターネット(IoT)デバイスなど)のネットワークです。 マルウェアは、ハッカーがリモートでデバイスを制御するためのバックドアを作成します。 ハッカーは、ボットネットを作成して、分散型サービス妨害(DDoS)攻撃を開始します。この攻撃は、ターゲットのネットワークに大量の不正トラフィックを送り込むことで、ネットワークの速度低下や完全シャットダウンを引き起こします。
クリプトジャッカー
クリプトジャッカーは、デバイスをリモート制御し、そのデバイスを使用して暗号通貨を「マイニング」するマルウェアであり、非常に計算集約型でコストのかかるタスクです。 (基本的に、クリプトジャッカーはクリプトマイニングのボットネットを作成します。) 暗号通貨では、通常は、マイニングのためのコンピューティング能力を提供した人に暗号通貨で報酬を支払います。 クリプトジャッキングは、サイバー犯罪者が他人のデバイスを使用して、この報酬を受け取ることを可能にします。
ファイルレス・マルウェア
ファイルレス・マルウェアは、メモリー内で動作し、正当なアプリケーションに悪意のあるコードやスクリプトを注入するマルウェアです。 ファイルレス・マルウェアは、シグニチャー(マルウェアに特徴的なバイト列)を残さないため、従来のウイルス対策ソフトウェアでは識別して削除する頃ができませんが、最新の次世代ウイルス対策(NGAV)ソリューションの多くは、ファイルレス・マルウェアを検知することが可能です。
その他の種類のマルウェア
マルウェアそのものと同様に、マルウェアの配布方法や経路は ベクトルと呼ばれ、 数多く存在し、進化しています。 これらの手口を追跡することは、マルウェアの予防、検知、対応に不可欠です。 最も一般的に使用されるマルウェア・ベクトルには、以下のものがあります。
マルウェアの脅威に対する保護を成功させるには、組織全体にわたる包括的なアプローチと、セキュリティー・チーム、ITスタッフ、従業員、ビジネス・パートナーに至るまで、あらゆるレベルの人々が参加する必要があります。 ユーザー・トレーニング、セキュリティー・ポリシー、サイバーセキュリティー・テクノロジーのすべてが重要な役割を果たします。
ユーザー・トレーニング
ユーザーは、組織のマルウェア保護スキームにおける最初の防衛線です。 今日、ほとんどの組織では、マルウェアやその他のサイバー・セキュリティーの脅威のリスクを最小限に抑えることができるような行動を取るようにユーザを正式にトレーニングしています。 以下のようなレッスンがあります。
また、エンドユーザー向けのセキュリティー・トレーニングでは、マルウェアの脅威が実際に発生した場合やその疑いがある場合の連絡先を含め、具体的な行動についても指示しています。
セキュリティー・ポリシー
セキュリティー・ポリシーは、サイバーセキュリティーの脅威のリスクを最小化または排除するために、ITテクノロジーと行動のIT標準を設定します。 これらのポリシーでは、Eメールの暗号化のタイプと強度、パスワードの最小長と内容、ネットワーク・アクセス権限などを定義します。
マルウェアの防止に特化したポリシーでは、以下のことを禁止する場合もあります。
サイバーセキュリティー・テクノロジー
先進のサイバーセキュリティー・テクノロジーは、大きく2つのカテゴリーに分類されます。
予防的セキュリティー・ツールは、既知または識別可能なサイバーセキュリティーの脅威を補足、隔離、および排除するように設計されています。 これらの多くは、アンチウィルス・ソフトウェア(次世代のアンチウィルスであるNGAVを含む)、アンチマルウェアおよびマルウェア除去ソフトウェア、ファイアウォール、URLフィルターなど、ほとんどのユーザーにとって馴染みのあるものです。
検知および対応のテクノロジーは、セキュリティー・チームが、予防的ツールで検出できないマルウェアやその他の脅威を迅速に識別し、対応できるようにするためのエンタープライズ・セキュリティー・ソリューションです。 通常、これらのソリューションは、予防的セキュリティー・ツール、脅威インテリジェンス・フィード、その他のセキュリティー関連データ・ソースと統合されます。 高度な分析とAIを使用して、Indicator of Compromise(IOC)と呼ばれる、マルウェアやその他のサイバー脅威の指標を特定します。 また、セキュリティー・チームは、特定のタスクを自動化することで、インシデントへの対応を迅速化し、結果として生じる損害を抑制または防止することができます。
最も一般的に使用される検出および対応のテクノロジーには、以下のようなものがあります。
ゼロトラストとは、マルウェアやその他のサイバー攻撃がネットワークの境界防御の突破に成功することを前提として、攻撃者がネットワーク全体を移動したり、侵入後に目的を達成したりするのを困難にすることに焦点を当てたサイバーセキュリティーのアプローチです。 ゼロトラスト・アプローチに関連するサイバーセキュリティー対策には、以下のようなものがあります(ただし、これらに限定されるものではありません)。
ゼロトラストのアプローチでは、ユーザーのアクセス権限は役割を実行するために必要なものだけに制限され、ユーザーが追加のアクセス権限を要求するたびに更新または追加の検証が必要になります。 これにより、ネットワークに侵入して数カ月間にわたって潜伏し、攻撃の準備としてデータやその他のリソースへのアクセスを増やそうとするランサムウェアやその他のマルウェアの影響を大幅に軽減できます。
企業のセキュリティーを危険にさらすフィッシング攻撃から従業員を保護します。
サイバーセキュリティー・リスクをプロアクティブに管理し、脆弱性を特定し、ランサムウェア攻撃の影響を最小限に抑えます。
サイバー攻撃が発生した場合のインシデント対応を調整します。
AIを活用して管理された予防、検出、および対応により、脅威に対する防御を高速化
ユーザーが適切なリソースにアクセスできるようにしながら、サイバー・レジリエンシーを向上させ、リスクを管理します。
よりスマートなセキュリティー・フレームワークにより、重要な資産を保護し、脅威のライフサイクル全体を管理します。
業界最高レベルの製品と専門知識を備えたグローバルな脅威インテリジェンス・ソリューション
不正行為を事前に管理および防止することで、ユーザー、資産、データを保護します。
疑わしいアプリから生まれたマルウェアを、頭痛の種になる前に検出して修復します。
サイバー攻撃は、コンピューター・システムへの不正アクセスを通じて、情報の窃盗、流出、改ざん、無効化、破壊を試みます。
ランサムウェアは、身代金を支払われない場合に被害者のデータの破壊や差し押さえを実行するというような脅迫を行います。
セキュリティーに対するゼロトラストのアプローチでは、ネットワークが外部および内部の脅威に常に危険にさらされていることを前提としています。
インシデント対応は、サイバー攻撃や情報セキュリティー侵害の試みに対する組織の体系的な対応です。
脅威管理とは、サイバーセキュリティーの専門家がサイバー攻撃の防止、サイバー脅威の検出、セキュリティー・インシデントへの対応に使用するプロセスです。
X-Force脅威インテリジェンス・インデックス2022を読む
モバイル・セキュリティーは、モバイル・コンピューターや通信ハードウェアの使用時の資産損失やデータ損失からユーザーを保護します。
セキュリティー運用センターは、組織のサイバーセキュリティー技術と運用を統合および調整します。
リスク管理は、組織に対する脅威を特定、評価、および制御します。