Cyber Security 101サイバーセキュリティ基礎解説
マルウェアとはなにか Malware
マルウェアとは
マルウェアとは、コンピューター、プログラム、デバイス、ユーザーに危害を加える目的で開発されたソフトウェアを意味します。マルウェアには、システムに侵入してその機能にダメージを与え、機能を使用不能にします。
攻撃者は通常、金銭目的で、マルウェアを開発しています。盗み出したコンピューターリソースやデータを基に利益を得るためです。また、マルウェア攻撃は、国家主導の組織的な攻撃の一環として行われることもあり、政府関係機関や企業のシステムに侵入して技術情報や機密情報、さらなる攻撃のための情報を盗み出したり、電力や通信などの重要なシステムを停止させたりします。
マルウェアという言葉の由来
マルウェア(Malware)という言葉は、悪意のあるソフトウェア(Malicious Software)に由来し、いくつかの変異種を含む、そのようなソフトウェアの総称として使用されています。ウイルス、トロイの木馬、ワーム、ランサムウェア、不正なスパイウェアはマルウェアの1種です。
マルウェアの感染経路
マルウェアでは、さまざまな悪意のあるツールや手法が用いられますが、攻撃のパターンはほぼ一貫しています。マルウェア攻撃は通常、ユーザーが気付かないうちにマルウェアをエンドポイントにインストールされるところから始まります。マルウェアは、メールやUSBドライブ、ダウンロードの操作などを介して拡散します。一方で、ユーザーが直接インストールをしなくても拡散するマルウェアも存在します。例えば、ドライブバイダウンロードと呼ばれる攻撃がこれに相当します。ユーザーがWebサイトにアクセスするだけでマルウェアに感染してしまうのです。
他にもメールの添付ファイルに悪意のあるソフトウェアを仕込んだフィッシングやスピアフィッシングなどのソーシャルエンジニアリング攻撃があります。また、ピアツーピアのファイル共有サービスや違法なストリーミングサービスでも定期的にマルウェアが拡散されており、無防備なユーザーがマルウェアに感染しています。
マルウェアの具体例
特によく知られているマルウェアのカテゴリの例をいくつかご紹介します。
- ウイルス:正規の実行形式のバイナリに感染し、そのウイルスに感染したプログラムが実行されたときに悪意のあるコードを実行します。ウイルスがきわめて危険である理由は、自然界に存在するウイルスと同じく、その感染力にあります。複数のシステムに瞬時に拡散するのです。その影響を受け、複数のファイルやプログラムが破壊されたり、システム全体が機能停止に陥ったりすることが少なくありません。
- ランサムウェア:通常、ランサムウェアは、価値の高いデータや、漏えいすると不都合なデータが保存されたシステムに感染して攻撃を行います。このマルウェアは機密性の高いデータを暗号化し、そのデータにアクセスできなくします。ランサムウェア攻撃は個人にも組織にも甚大な影響を及ぼします。データが漏洩したり、データを盗まれたり、プライバシーが侵害されたりするなどの被害を受けることになります。
- トロイの木馬:信頼できるプログラムや正規のプログラムを装ってユーザーをだまし、悪意のあるコードを実行させるマルウェアです。
- ワーム:自己複製ができる特殊なマルウェアです。このプログラムは自身を複製して、ネットワーク内の他のシステムに感染を広げます。
- ファイルレスマルウェア:ファイルレスマルウェアは、実行形式のバイナリファイルを利用せず、オペレーティングシステムにツールを組み込んで攻撃を行います。
マルウェアを検知する方法
ほとんどの場合、マルウェアには、ウイルスのダウンロードや、メール内の不正なリンクのクリックで感染します。そのため、アンチウイルスソフトウェアやメールのセキュリティ機能はマルウェアを検知するうえで高い信頼性があります。しかし、全体として、マルウェアやサイバー攻撃の内容は巧妙さを増し続けており、従来のセキュリティソフトウェアでは最新の脅威に十分に対抗できません。最新の攻撃やゼロデイ攻撃を検知して対処するのに、AIと機械学習をベースとした強力な拡張型の検知と対処の機能を利用するようになっています。
マルウェアへの感染を知らせる警告のサインとして、ユーザーやシステム管理者がシステムにおいて確認できるものがいくつかあります。不要なポップアップの表示には警戒しなければなりません。また、デバイスに未知のプログラムが表示されていないか注意を払う必要もあります。ネットワークやハードウェアのパフォーマンスに異常がある場合、不正なソフトウェアによってシステムのリソースが大量に消費されていることが原因であることがあります。
マルウェアを駆除する方法
システムがマルウェアに感染していることが疑われる場合、すぐにアンチマルウェアソフトウェアを入手してシステムをスキャンし、脅威の有無を確認しなければなりません。アンチマルウェアソフトウェアによってシステムがクリーンな状態になり、脅威が隔離されたら、システムのパスワードを変更し、メールアカウントや他の重要なアカウントが侵害を受けていないことを確認します。
自動化された検知と対処の機能を利用すれば、重要なシステムがマルウェアに感染する前にマルウェアの攻撃を封じることができます。この機能の導入を検討されるようお勧めします。
Cybereasonの「EDR」製品はこちら
用語集はこちら
関連情報
こちらの基礎解説と関連性の高い情報を掲載しています。
おすすめのサイバーセキュリティトレーニング動画とサイバーセキュリティ基礎解説を活用して、着実に学習を進めていきましょう。