マルウェア | IBM

マルウェアとは

マルウェアとは、悪意のあるソフトウェア（malicious software）の略で、コンピューターやネットワークを損傷または破壊したり、不正な使用や配膳使用を目的として、コンピュータ、ネットワーク、またはデータへの不正なアクセスを提供したりするために作成されたソフトウェア・コードです。ほぼすべての種類のサイバー攻撃の根本に、何らかの形でマルウェアが介在しています。

サイバー犯罪者はマルウェアを利用して、以下のようなことを行います。

ユーザーや組織を人質に取って、多額の金銭を要求する
他人のコンピューターやサーバーを不正にリモート制御する
個人の銀行口座番号や社会保障番号、企業の知的財産などの機密データを盗み、なりすましの犯罪や競争上の優位性の向上、その他の不正な用途に使用する
企業、政府機関、公益企業、その他の機関が稼働するシステムに対して致命的な攻撃を仕掛ける

マルウェア関連の攻撃のコストは莫大です。 Cybercrime Magazineは、マルウェアの一種に過ぎないランサムウェアによる世界的な被害コストが、2021年には200億米ドルに上っており、これがさらに2031年には2650億米ドルにまで増加すると報告しています（リンクはibm.comの外部）。

マルウェアの種類

かつて、マルウェアの脅威のほとんどはコンピューター・ウイルスでした。これは、あるコンピューターに「感染」し、そのコピーを他のコンピューターに拡散するコードです。 Creeperと呼ばれる史上初のコンピューター・ウイルスは、ハードディスクがいっぱいになってコンピューターが不能になるまで自己複製を繰り返しました（1971年にCreeperが登場した当時は、比較的短時間でこれを達成できました）。その後のウイルスは、オペレーティング・システム・ファイル、アプリケーション・ファイル、ディスクのブート・セクターを上書きまたは破壊することによって、コンピューター・システムを使用不能にしました。

今日では、マルウェアにはさまざまな種類が存在し、それぞれがコンピューターやネットワークに対してより深刻な損害を与え、セキュリティー・ツールやマルウェア保護テクノロジーによる検出や修復を回避するように進化し続けています。以下は、現在流通している最も一般的なマルウェアの種類について簡単に説明しています。

ランサムウェア

ランサムウェアは、被害者のデバイスをロックしたり、被害者のデータの一部または全部を暗号化したりするマルウェアであり、デバイスのロック解除、データの復号化、データの盗難や共有の回避を条件に身代金の支払いを（多くの場合は暗号通貨の形で）要求します。 2022 X-Force Threat Intelligence Index（PDF、4.1 MB）によると、X-Forceが2019年以降に対応してきたランサムウェア関連のインシデントのほとんどすべてにおいて、データ暗号化とデータ盗難の両方で被害者を脅す「二重恐喝」が発生していました。また、データの暗号化と盗難に加えて、分散型サービス妨害やDDoS攻撃の開始（後述のボットネットを参照）によって脅す「三重恐喝」のランサムウェア・インシデントも増加しています。

同報告書によると、2021年の全サイバー攻撃の21%をランサムウェア攻撃が占めていました。

ランサムウェアの被害者や交渉担当者は、身代金の支払い額を公表することに消極的です。ある世界的な保険会社が、2021年5月に4000万米ドルという、知られている中では最大額の支払いを行ったと報告されています（リンクはIBM.comの外部）。支払額の平均は、10万米ドルから30万米ドルの範囲と推定されています。しかし、多くのランサムウェアの被害者にとっては、身代金が最小のコストです。 IBMの「Cost of a Data Breach 2021」レポートによると、ランサムウェア攻撃の平均コストは、身代金を含めずに462万米ドルでした。

サーバー・アクセス・マルウェア

サーバー・アクセス・マルウェアは、攻撃者がWebアプリケーション・サーバーに不正アクセスすることを可能にします。多くの場合、サーバー・アクセス・マルウェアは、正当なソフトウェアがサイバー攻撃のために改変または悪用されたものです。皮肉なことに、一部のマルウェアは、元々はサーバーやサーバー・オペレーティング・システムのセキュリティーの脆弱性を示すために開発されたものです。

サーバー・アクセス・マルウェアには、攻撃者がWebブラウザーを介してWebサーバーを制御できるようにするWebシェルや、サーバーあるいはコンピューター上でMicrosoft Windowsをリモート管理できるようにするBack Orificeなどのリモート・システム管理プログラムなどがあります。攻撃者は、被害者のWebサイトの改ざんや破壊から、ユーザーの資格情報やその他の機密データの盗難に至るまで、あらゆる目的でこの種のマルウェアを使用します。「2022 X-Force脅威インテリジェンス・インデックス」では、2021年の全サイバーセキュリティー・インシデントの11%がサーバー・アクセス攻撃であったと報告しています。

ボットネット

技術的には、ボットネットはマルウェアではなく、マルウェアを使用して作成されたものです。ボットネットとは、インターネットに接続され、マルウェアに感染したデバイス（PC、スマートフォン、モノのインターネット（IoT）デバイスなど）のネットワークです。マルウェアは、ハッカーがリモートでデバイスを制御するためのバックドアを作成します。ハッカーは、ボットネットを作成して、分散型サービス妨害（DDoS）攻撃を開始します。この攻撃は、ターゲットのネットワークに大量の不正トラフィックを送り込むことで、ネットワークの速度低下や完全シャットダウンを引き起こします。

クリプトジャッカー

クリプトジャッカーは、デバイスをリモート制御し、そのデバイスを使用して暗号通貨を「マイニング」するマルウェアであり、非常に計算集約型でコストのかかるタスクです。（基本的に、クリプトジャッカーはクリプトマイニングのボットネットを作成します。）暗号通貨では、通常は、マイニングのためのコンピューティング能力を提供した人に暗号通貨で報酬を支払います。クリプトジャッキングは、サイバー犯罪者が他人のデバイスを使用して、この報酬を受け取ることを可能にします。

ファイルレス・マルウェア

ファイルレス・マルウェアは、メモリー内で動作し、正当なアプリケーションに悪意のあるコードやスクリプトを注入するマルウェアです。ファイルレス・マルウェアは、シグニチャー（マルウェアに特徴的なバイト列）を残さないため、従来のウイルス対策ソフトウェアでは識別して削除する頃ができませんが、最新の次世代ウイルス対策（NGAV）ソリューションの多くは、ファイルレス・マルウェアを検知することが可能です。

その他の種類のマルウェア

ワームは、人間の介入なしに自己複製して拡散する悪意のあるコードです。（ウィルスの場合は、通常、まず無意識のユーザーによって開かれなければ複製して拡散することができないという点で異なります。）
トロイの木馬は、神話に登場するトロイの木馬にちなんで名付けられた、悪意のあるコードの一種で、自分自身を正当なソフトウェアに偽装したり、正当なソフトウェアの内部に隠れたりして、ユーザーが正当なソフトウェアを実行するたびに実行されます。
ルートキットは、コンピューターのオペレーティング・システムやその他の資産への特権アクセスを不正に取得し、そのアクセス権またはその他のソフトウェアを使用して「隠れて」、検知を逃れるマルウェア・パッケージです。（このマルウェアの名前は、LinuxやUnixシステムの特権アクセス管理者アカウントである「root」アカウントに由来します。）ルートキットは、オペレーティング・システムやシステム上の他のソフトウェア（ルートキットを識別して削除する可能性のあるセキュリティー・ソフトウェアを含む）を再構成できます。
スケアウェアは、通常、法律に違反している、あるいは（皮肉にも）ウィルスに感染しているといった偽の警告をユーザーに発行することで、ユーザーを怖がらせて誤った選択（例えば、マルウェアをダウンロードしたり、個人情報や機密情報を詐欺師に渡したりする）に導こうとします。多くの場合、スケアウェアは、Webブラウザーをシャットダウンしないと閉じることができないような画面上のポップアップの形をとります。
スパイウェアは、その名の通り、感染したコンピューターに隠れて、個人情報や機密情報を収集し、攻撃者に送信するマルウェアです。キーロガーと呼ばれるスパイウェアの一種は、ユーザーのキーストロークを記録することによって、ユーザーのユーザー名、パスワード、銀行口座やクレジットカード番号、社会保障番号、およびその他の非常に機密性の高い情報にアクセスできます。
アドウェアは、ユーザーがWebブラウザーを使用するときに、不要なポップアップや迷惑なポップアップ、オンライン広告を表示します。ほとんどのアドウェアは、無料のソフトウェアに付属しており、ユーザーがソフトウェアをダウンロードしてインストールすると、アドウェアもインストールされます。ほとんどのアドウェアは、単なる迷惑行為にとどまり、ターゲット・コンピューターやネットワークに害を及ぼすことはありません。しかし、マルバタイジングと呼ばれるアドウェアの一種は、オンライン広告を利用して、悪意のあるコードをオンライン広告や広告ネットワークに注入します。

マルウェア・ベクトル：マルウェア攻撃の仕組み

マルウェアそのものと同様に、マルウェアの配布方法や経路は ベクトルと呼ばれ、 数多く存在し、進化しています。これらの手口を追跡することは、マルウェアの予防、検知、対応に不可欠です。最も一般的に使用されるマルウェア・ベクトルには、以下のものがあります。

フィッシング詐欺やその他のソーシャル・エンジニアリングの手口：フィッシング・メッセージは、Eメール、SMSメッセージ、またはテキスト・メッセージ・アプリを介して送信され、ユーザーを操って、悪意のあるEメールの添付ファイルをダウンロードさせたり、悪意のあるWebサイトにアクセスさせて、ユーザーが気付かないうちにコンピューターやモバイル・デバイスにマルウェアを送り込むように設計されています。フィッシング・メッセージは、信頼できるブランドや個人からのメッセージに見えるように細工され、恐怖（「携帯電話から9つのウイルスが検出されました」）、欲（「未払い金があなたを待っています」）、緊急性（「無料プレゼントの受け取り期限が迫っています」）を呼び起こして、ユーザーの行動を誘導しようとすることが一般的です。これは強力な組み合わせであり、フィッシングはランサムウェアやその他のマルウェア攻撃を配信する最も一般的なベクトルです。
システムまたはデバイスの脆弱性：サイバー犯罪者は、ターゲットのソフトウェアやファームウェアにマルウェアを注入することを可能にするソフトウェア、デバイス、ネットワークのパッチ未適用の脆弱性を常に探しています。その多くが最小限のセキュリティー、またはセキュリティーなしで販売および導入されているIoTデバイスは、マルウェアの種を蒔くサイバー犯罪者にとって巨大で肥沃な土地となっています。
リムーバブル・メディア：ユーザーは、「見つかった」USBドライブを使用したいという誘惑に抵抗することはできません。サイバー犯罪者は、ユーザーが見つけることができる場所にマルウェアを満載したサムドライブを置いておき、それを悪用しています。最近のある研究では、既知のサイバー脅威の37%がリムーバブル・メディアを利用するように設計されていることが明らかになりました（リンクはibm.comの外部）。また、2022年1月中に発生したセキュリティー・インシデントの9%がUSBドライブまたはその他のリムーバブル・メディアに起因していることが明らかになりました（リンクはibm.comの外部）。
ファイル共有：ファイル共有ネットワーク（特にユーザーが違法なビデオやゲームのコピーを共有するネットワーク）は、人気のあるダウンロードやトレントにマルウェアのペイロードを埋め込むサイバー犯罪者にとって悪名高い遊び場となっています。しかしマルウェアは、一見すると正当なソフトウェア・ダウンロード、特に無料のダウンロードに埋め込まれることもあります。

マルウェアの予防、検出、および対応

マルウェアの脅威に対する保護を成功させるには、組織全体にわたる包括的なアプローチと、セキュリティー・チーム、ITスタッフ、従業員、ビジネス・パートナーに至るまで、あらゆるレベルの人々が参加する必要があります。ユーザー・トレーニング、セキュリティー・ポリシー、サイバーセキュリティー・テクノロジーのすべてが重要な役割を果たします。

ユーザー・トレーニング

ユーザーは、組織のマルウェア保護スキームにおける最初の防衛線です。今日、ほとんどの組織では、マルウェアやその他のサイバー・セキュリティーの脅威のリスクを最小限に抑えることができるような行動を取るようにユーザを正式にトレーニングしています。以下のようなレッスンがあります。

基本的なガイドライン：例えば、「予期していないEメールの添付ファイルを開かない」、「IT部門が明示的に使用を許可していないソフトウェアをダウンロードしない」などです。
神話の崩壊：「Apple Mac、Apple iOS、Google Androidデバイスを使用する場合でも、マルウェアに注意する必要がある」などです。
適切なパスワードの管理：例えば、「複数のログインに同じパスワードや類似したパスワードを使用しない」などです。
高度な手法：例えば、信頼できるブランドや自社の役員から送られてきた、一見すると正当なメッセージに見えるフィッシング・メールを識別するためのヒントなどです。

また、エンドユーザー向けのセキュリティー・トレーニングでは、マルウェアの脅威が実際に発生した場合やその疑いがある場合の連絡先を含め、具体的な行動についても指示しています。

セキュリティー・ポリシー

セキュリティー・ポリシーは、サイバーセキュリティーの脅威のリスクを最小化または排除するために、ITテクノロジーと行動のIT標準を設定します。これらのポリシーでは、Eメールの暗号化のタイプと強度、パスワードの最小長と内容、ネットワーク・アクセス権限などを定義します。

マルウェアの防止に特化したポリシーでは、以下のことを禁止する場合もあります。

USBドライブやその他のリムーバブル・ファイル・ストレージ・デバイスの使用の制限または完全な禁止。
IT部門によって承認されていないアプリケーション・ソフトウェアをダウンロードするための正式な許可プロセス。
アプリケーションやセキュリティー・ソフトウェアの更新やパッチ適用を行う頻度。

サイバーセキュリティー・テクノロジー

先進のサイバーセキュリティー・テクノロジーは、大きく2つのカテゴリーに分類されます。

予防的セキュリティー・ツールは、既知または識別可能なサイバーセキュリティーの脅威を補足、隔離、および排除するように設計されています。これらの多くは、アンチウィルス・ソフトウェア（次世代のアンチウィルスであるNGAVを含む）、アンチマルウェアおよびマルウェア除去ソフトウェア、ファイアウォール、URLフィルターなど、ほとんどのユーザーにとって馴染みのあるものです。

検知および対応のテクノロジーは、セキュリティー・チームが、予防的ツールで検出できないマルウェアやその他の脅威を迅速に識別し、対応できるようにするためのエンタープライズ・セキュリティー・ソリューションです。通常、これらのソリューションは、予防的セキュリティー・ツール、脅威インテリジェンス・フィード、その他のセキュリティー関連データ・ソースと統合されます。高度な分析とAIを使用して、Indicator of Compromise（IOC）と呼ばれる、マルウェアやその他のサイバー脅威の指標を特定します。また、セキュリティー・チームは、特定のタスクを自動化することで、インシデントへの対応を迅速化し、結果として生じる損害を抑制または防止することができます。

最も一般的に使用される検出および対応のテクノロジーには、以下のようなものがあります。

SOAR (Security Orchestration, Automation and Response) SOARは、さまざまなセキュリティー・ツールを統合および調整し、セキュリティー・チームが潜在的または実際の脅威に対応するための半自動または全自動の「プレイブック」を作成できるようにします。
EDR (Endpoint Detection and Response) EDRは、デスクトップおよびノートPC、サーバー、モバイル・デバイス、IOTデバイスなど、ネットワーク上のすべてのエンドポイントからデータを継続的に収集します。データをリアルタイムで関連付けて分析し、既知の脅威や疑わしい動作の証拠を見つけます。
XDR (Extended Detection and Response) 先進のテクノロジーであるXDRは、エンドポイントだけでなく、ネットワーク、Eメール、アプリケーション、クラウド・ワークロードなど、組織のハイブリッドITインフラストラクチャー全体にわたってセキュリティー・ツールを統合し、サイバー脅威の予防、検出、および対応に関する相互運用と調整を行います。

ゼロトラスト・アプローチによるマルウェア対策

ゼロトラストとは、マルウェアやその他のサイバー攻撃がネットワークの境界防御の突破に成功することを前提として、攻撃者がネットワーク全体を移動したり、侵入後に目的を達成したりするのを困難にすることに焦点を当てたサイバーセキュリティーのアプローチです。ゼロトラスト・アプローチに関連するサイバーセキュリティー対策には、以下のようなものがあります（ただし、これらに限定されるものではありません）。

ユーザー・アカウントと管理者アカウントに対する最小特権アクセスのポリシー。
マイクロセグメンテーション：ネットワークをサブセグメントに分割し、各サブセグメントへのアクセス権限を最小限に抑えます。
多要素認証：ユーザーがパスワードに加えて少なくとも1つの他の認証要素を使用してIDを検証すること、またはパスワードの代わりに少なくとも2つの他の認証要素を使用してIDを検証することが必要になります。
適応型認証：例えば、特に機密性の高いデータへのアクセス、別の場所からのネットワークへのログイン、別のデバイスの使用など、さまざまな要求に関連するさまざまなリスクに基づいて、ユーザーが追加の認証要素を提供する必要があります。

ゼロトラストのアプローチでは、ユーザーのアクセス権限は役割を実行するために必要なものだけに制限され、ユーザーが追加のアクセス権限を要求するたびに更新または追加の検証が必要になります。これにより、ネットワークに侵入して数カ月間にわたって潜伏し、攻撃の準備としてデータやその他のリソースへのアクセスを増やそうとするランサムウェアやその他のマルウェアの影響を大幅に軽減できます。