マルウェアの定義
マルウェア (malware) とは、エンドポイント デバイスに損害を与える、または通常の使用を妨げるような悪意のある (malicious) アプリケーションまたはコードのことです。デバイスがマルウェアに感染すると、不正アクセスやデータの漏洩、あるいはデバイスが使えなくなり身代金の支払いを迫られるといった事態が発生するおそれがあります。
マルウェアを拡散する、いわゆるサイバー犯罪者の動機は金銭であり、感染したデバイスを使用して攻撃を仕掛けます。その目的は、銀行認証情報を手に入れる、売れる個人情報を集める、コンピューティング リソースへのアクセス権を売る、被害者を脅迫して支払い情報を獲得するといったことです。
マルウェアのしくみ
マルウェアは人をだますような手口を使って、デバイスの通常使用を妨害します。サイバー犯罪者は、フィッシング メール、感染ファイル、システムまたはソフトウェアの脆弱性、感染した USB メモリ、悪意のある Web サイトなど、1 つ以上の異なる手法でデバイスにアクセスできるようになると、追加攻撃の開始、アカウント情報の取得、売却する個人情報の収集、コンピューティング リソースへのアクセス権の売却、被害者からの支払いの強要などを行うことで、その状況を利用します。
誰もがマルウェア攻撃の被害を被るおそれがあります。たとえば、フィッシング メールの識別方法など、攻撃者がマルウェアで被害者を狙う特定の方法を知っているユーザーもいるでしょうが、サイバー犯罪者は巧妙で、テクノロジとセキュリティの向上に歩調を合わせ、常に攻撃方法を進化させています。また、マルウェア攻撃は、マルウェアの種類によって見た目も動作も違います。たとえば、ルートキット攻撃の被害者は、攻撃されたことに気づかない可能性があります。この種のマルウェアは目立たず、できるだけ長い間気づかれないように設計されているからです。
ここでは、サイバー犯罪者がデバイスにマルウェアを送り込む方法をいくつか紹介します。
マルウェアの種類
マルウェアには多数の種類があります。ここでは、いくつかの一般的な種類を示します。
フィッシング
フィッシング攻撃は、信頼できる情報源に見せかけて機密情報を盗もうとするものであり、これにはメール、Web サイト、テキスト メッセージなどの形態の電子コミュニケーションが使用されます。このような攻撃は、マルウェアを送り込むメカニズムとなります。一般的な攻撃では、ユーザー名、パスワード、クレジット カードの詳細、銀行情報が盗まれます。この種のマルウェア攻撃を受けると、なりすましの被害に遭う、または個人の銀行口座またはクレジット カードから直接金銭が盗まれるおそれがあります。
たとえば、サイバー犯罪者が有名な銀行になりすまして "不審な行為によりあなたの口座が凍結されました" というメールを送信し、その問題を解決するために受信者がメールの中のリンクをクリックするよう仕向けます。そのリンクをクリックすると、マルウェアがインストールされます。
スパイウェア
スパイウェアのしくみは、デバイス所有者の同意を得ることも、適切な通告を行うこともなくそのデバイスに自身をインストールするというものです。インストールされると、オンライン行動の監視、機密情報の収集、デバイス設定の変更が可能になり、デバイス パフォーマンスが低下することがあります。
アドウェア
スパイウェアと同様に、アドウェアは同意を得ることなくデバイスにインストールされます。ただし、アドウェアの場合は、クリックによる金銭的利益を得るために、通常はポップアップ形式で押しつけの広告を表示することを重視しています。多くの場合、こうした広告によってデバイスのパフォーマンスが低下します。さらに危険な種類のアドウェアでは、追加のソフトウェアのインストールやブラウザー設定の変更が行われることもあり、デバイスが脆弱なままになるため、さらにマルウェア攻撃を受けるおそれがあります。
ウイルス
ウイルスのねらいはデバイスの通常の動作を妨害することであり、そのためにデータの記録、破壊、または削除を行います。多くの場合は、人々をだまして悪意のあるファイルを開くように仕向けることで、別のデバイスに感染を拡大させます。
悪用と悪用キット
悪用 (エクスプロイト) とは、ソフトウェアの脆弱性を利用してコンピューターのセキュリティ安全対策を回避し、デバイスを感染させることです。悪意のあるハッカーは、重大な脆弱性が含まれている古いシステムをスキャンし、マルウェアを展開することで、その脆弱性を悪用します。悪用にシェルコードを組み込むことで、サイバー犯罪者はさらにマルウェアをダウンロードしてデバイスを感染させ、組織に侵入できるようになります。
悪用キットの内容は悪用を集めたコレクションであり、これでスキャンを行ってさまざまな種類のソフトウェア脆弱性を探します。そのいずれかが検出されると、このキットによって追加のマルウェアが展開されます。感染するおそれのあるソフトウェアとして、Adobe Flash Player、Adobe Reader、Web ブラウザー、Oracle Java、Sun Java などが挙げられます。一般的な悪用キットの種類には、Angler/Axpergle、Neutrino、Nuclear などがあります。
悪用と悪用キットでは通常、ネットワークやデバイスを侵害する手段として悪意のある Web サイトまたはメール添付ファイルが使用されますが、時には正当な Web サイト上の広告に隠れていて、その Web サイトからは認識されていないこともあります。
ファイルレス マルウェア
このサイバー攻撃の種類は、ネットワークを侵害する手段としてファイル (たとえば感染したメール添付ファイル) を使用しないマルウェア全般が該当します。たとえば、脆弱性を悪用する悪意のあるネットワーク パケットによって送られて、カーネル メモリ内にのみ存続するマルウェアをインストールします。ファイルレスの脅威は特に検出と除去が困難ですが、その理由は、ほとんどのウイルス対策プログラムはファームウェアをスキャンするようには作られていないからです。
マクロ マルウェア
マクロは、日常的なタスクを簡単に自動化する手段として、よく利用されています。マクロ マルウェアは、感染しているメール添付ファイルや ZIP ファイルで、この機能を利用します。人々をだましてそのファイルを開くよう仕向けるために、サイバー犯罪者は多くの場合、請求書や領収書、法的文書に偽装したファイルにマルウェアを隠します。
かつてはマクロ マルウェアがよく使われていましたが、その理由は、ドキュメントを開いたときにマクロが自動的に実行されていたからです。しかし、最近のバージョンの Microsoft Office では、マクロが既定では無効化されているため、サイバー犯罪者がこの方法でデバイスを感染させようとする場合は、ユーザーがマクロを有効にするよう仕向ける必要があります。
ランサムウェア
ランサムウェア はマルウェアの一種であり、身代金を支払わなければ被害者の重要なデータやシステムを破壊する、あるいはアクセスできなくすると脅迫するというものです。人間が操作するランサムウェア攻撃は組織を標的とするものであり、システムとセキュリティの一般的な構成の誤りを通して組織に侵入し、そのエンタープライズ ネットワークの中を移動して、その環境と弱点に順応します。ランサムウェアを送り込むために組織のネットワークへのアクセスを獲得する一般的な方法の 1 つは、資格情報を盗むことです。つまり、実在の従業員の資格情報を盗み、その従業員になりすまして、そのアカウントへのアクセスを獲得します。
人間が操作するランサムウェアを用いる攻撃者は、大規模な組織を標的としますが、その理由は平均的な個人と比較して高額の身代金支払いが可能であるからであり、その金額は数百万ドルに及ぶこともよくあります。この規模の侵害が発生すると、失うものも大きいため、多くの組織は、機密データを漏洩させたりサイバー犯罪者からのさらなる攻撃のリスクにさらされたりするよりも身代金を支払うことを選んでいます。支払ったからといってどちらも防止できる保証はないにもかかわらずです。
人間が操作するランサムウェア攻撃が増えるにつれて、この攻撃の背後にいる犯罪者の組織化が進んでいます。実際に、多くのランサムウェア活動で "サービスとしてのランサムウェア" モデルが使用されるようになっています。つまり、犯罪者の開発者グループがランサムウェア自体を作成し、別のサイバー犯罪者グループを雇って組織のネットワークをハッキングしてランサムウェアをインストールし、その両者が合意した割合で利益を分配します。
ルートキット
ルートキットを使用するサイバー犯罪者は、マルウェアを特定のデバイス上に可能な限り長期間潜ませます。時にはこれが数年に及ぶこともあり、その間に情報とリソースを継続的に盗みます。標準のオペレーティング システムのプロセスを横取りして変更することで、ツールキットは、デバイスが自己報告する情報を変更することが可能になります。たとえば、ルートキットに感染したデバイスは、実行中のプログラムの正確なリストを示さないことがあります。ルートキットを利用すると、サイバー犯罪者は管理者特権や昇格されたデバイス特権も得られるので、特定のデバイスを完全に支配して悪意のあるアクション (データを盗む、被害者の行動を監視する、追加のマルウェアをインストールするなど) を実行できるようになります。
サプライ チェーン攻撃
この種のマルウェアは、ソフトウェアの開発者とプロバイダーを標的とするものであり、正当なアプリのソース コード、ビルド プロセス、または更新メカニズムへのアクセスを試みます。サイバー犯罪者は、セキュアでないネットワーク プロトコル、保護されていないサーバー インフラストラクチャ、または安全でないコーディング手法を見つけると、侵入してソース コードを変更し、ビルドと更新のプロセスにマルウェアを隠します。
テクニカル サポート詐欺
業界全体の問題であるテクニカル サポート詐欺では、恐怖をあおる戦術が用いられます。つまり、デバイス、プラットフォーム、またはソフトウェアに関連する、実際には存在しない問題を修復できるとうたう不必要なテクニカル サポート サービスの料金を、ユーザーをだまして支払わせるというものです。この種のマルウェアでは、サイバー犯罪者が相手に直接電話して、ソフトウェア会社の社員を装うことがあります。相手の信頼が得られると、攻撃者は多くの場合、アプリケーションをインストールさせようとするか、その人のデバイスへのリモート アクセスを許可するよう求めます。
トロイの木馬
トロイの木馬の手法とは、正当なファイルやアプリに見せかけて、ユーザーに気づかれないようにダウンロードさせるというものです。ダウンロードされると、次のようなことを行います。
- 別のマルウェア (ウイルスやワームなど) をダウンロードしてインストールします。
- 感染したデバイスをクリック詐欺に使用します。
- キーストロークとユーザーがアクセスした Web サイトを記録します。
- 感染したデバイスに関する情報 (パスワード、ログイン詳細、閲覧履歴など) を、悪意のあるハッカーに送信します。
- 感染したデバイスをサイバー犯罪者に支配させます。
望まれないソフトウェア
望まれないソフトウェアがデバイスに存在していると、Web 閲覧のエクスペリエンスが変化する、ダウンロードとインストールの制御が変更される、誤解を招くメッセージが表示される、許可していないにもかかわらずデバイス設定が変更されるといったことが起きるおそれがあります。望まれないソフトウェアは、人々が意図的にダウンロードするソフトウェアにバンドルされていることもあります。
ワーム
ワームは主にメール添付ファイル、テキスト メッセージ、ファイル共有プログラム、ソーシャル ネットワーキング サイト、リムーバブル ドライブに存在しており、セキュリティの脆弱性を悪用して自身をコピーすることでネットワークを通じて拡散します。ワームの種類によっては、機密情報を盗む、セキュリティ設定を変更する、あるいはユーザーがファイルにアクセスできないようにすることもあります。
仮想通貨マイナー
暗号通貨の大衆化が進んだことで、仮想通貨のマイニングは利益が期待できる行為となりました。仮想通貨マイナーは、暗号通貨のマイニングのためにデバイスの計算リソースを使用します。この種のマルウェアの感染は多くの場合、メール添付ファイルを用いてマルウェアのインストールを試みるか、Web サイトで Web ブラウザーの脆弱性を利用する、あるいはコンピューターの処理能力を利用してマルウェアをデバイスに追加するといった方法で行われます。
複雑な数学的計算を使用して、仮想通貨マイナーはブロックチェーン台帳を維持することでコンピューティング リソースを盗み、これで新しいコインを作成できるようになります。ただし、仮想通貨マイニングは、比較的少量の暗号通貨を盗むために大量のコンピューター処理能力を消費します。このような理由から、サイバー犯罪者は多くの場合、チームで活動して利益を最大化し、利益を分け合います。
ただし、すべての仮想通貨マイナーが犯罪というわけではなく、個人や組織がハードウェアや電力を購入して正当な仮想通貨マイニングを行うこともあります。サイバー犯罪者が企業のネットワークに無断で侵入し、その計算能力をマイニングに利用することで、この行為は犯罪になります。
マルウェア対策
誰でもマルウェア攻撃の被害者になるおそれがありますが、攻撃を未然に防ぐ方法は数多くあります。
ウイルス対策プログラムをインストールする
最高の形態の保護とは、防ぐことです。組織は、Microsoft Defender for Endpoint や Microsoft Defender ウイルス対策などの信頼できるセキュリティ ソリューションやマルウェア対策サービスを使用することで、多くのマルウェア攻撃をブロックまたは検出できます。このようなプログラムを使用すると、開こうとしたファイルまたはリンクをすべて、事前にデバイスがスキャンし、安全であることを確認します。ファイルまたは Web サイトが悪意のあるものの場合、プログラムは警告を表示し、開かないように提案します。これらのプログラムでは、既に感染しているデバイスからマルウェアを駆除することもできます。
メールとエンドポイントの高度な保護を実装する
SharePoint、OneDrive、Microsoft Teams などの電子メールやコラボレーション ツールのリンクと添付ファイルをスキャンする Microsoft Defender for Office 365 を使用してマルウェア攻撃を防ぎます。Microsoft Defender XDR の一部として、Defender for Office 365 には、マルウェア攻撃の脅威を排除するための検出および対応機能が用意されています。
また、Microsoft Defender XDR の一部である Microsoft Defender for Endpoint では、エンドポイント動作センサー、クラウド セキュリティ分析、脅威インテリジェンスを使用して、組織が高度な脅威を防止、検出、調査、および対応するのに役立ちます。
定期的なトレーニングを開催する
定期的なトレーニングを実施して、従業員にフィッシングやその他の サイバー攻撃 の兆候の特定方法についての情報を随時提供します。仕事の安全な進め方だけでなく、個人のデバイスを使用する際の安全対策も教えることができます。シミュレーションとトレーニングのツール (たとえば Defender for Office 365 の攻撃シミュレーション トレーニング) は、実世界の脅威をお客様の環境でシミュレートしてシミュレーションの結果に基づいてエンドユーザーにトレーニングを割り当てるのに役立ちます。
クラウド バックアップを活用する
データをクラウドベースのサービスに移行すると、データを簡単にバックアップして、安全に保管できるようになります。データが実際にマルウェアによって侵害された場合でも、このようなサービスを利用していれば、回復をただちに、しかも包括的に行うことができます。
ゼロ トラスト モデルを導入する
ゼロ トラスト モデルでは、すべてのデバイスとユーザーの評価を行い、リスクを調べてからアプリケーション、ファイル、データベース、およびその他のデバイスへのアクセスを許可します。これで、悪意のある人物またはデバイスがリソースにアクセスしてマルウェアをインストールする可能性は低下します。たとえば、ゼロ トラスト モデルのコンポーネントの 1 つである多要素認証を実装すると、ID 攻撃の有効性が 99% 以上縮小することが明らかになっています。組織のゼロ トラスト成熟度を評価するには、Microsoft のゼロ トラスト成熟度評価をご利用ください。
情報共有グループに参加する
情報共有グループは、業種や地理的な場所に基づいて組織化されることが多く、類似の構造を持つ組織どうしが サイバーセキュリティ ソリューションに向けて協力する場となっています。このようなグループは、組織のためのさまざまな利点も提供しています。たとえば、インシデント応答とデジタル フォレンジクスのサービスや、最新の脅威に関するニュース、パブリック IP 範囲やドメインの監視などです。
オフライン バックアップを維持する
マルウェアの中には、あなたがオンライン バックアップを所有しているかどうかを見つけ出して削除しようとするものもあることから、機密データの最新のオフライン バックアップを保管しておくことと、そのバックアップを定期的にテストして、万が一マルウェア攻撃を受けた場合でも復元可能かどうかを確認することをおすすめします。
ソフトウェアを最新の状態に保つ
ウイルス対策ソリューションを最新の状態に保つことに加えて (自動更新の選択を検討してください)、他のシステム更新プログラムやソフトウェア パッチも必ず、公開と同時にダウンロードしてインストールしてください。このことは、サイバー犯罪者があなたのネットワークやデバイスへのアクセス獲得のために悪用するおそれのあるセキュリティの脆弱性を最小限に抑えるのに役立ちます。
インシデント応答計画を作成する
火災発生時に備えて、安全のために自宅からの緊急脱出計画を立てておくのと同様に、マルウェア攻撃を受けた場合にどうするかをインシデント対応計画として決めておくと、さまざまな攻撃シナリオにおける実践的なステップが明確になり、可能な限り早く通常の安全な稼働に戻ることができます。
マルウェアを検出して駆除する方法
マルウェアは簡単に検出できるとは限らず、特にファイルレス マルウェアは困難です。組織も個人も、ポップアップ広告の増加や Web ブラウザーのリダイレクト、ソーシャル メディア アカウントへの不審な投稿、アカウントやデバイスのセキュリティ侵害に関するメッセージなどに注意を払うことをおすすめします。動作が極端に遅くなるなど、デバイスのパフォーマンスの変化も、懸念の指標になる可能性があります。
マルウェア攻撃の被害者になったのではと心配になった場合でも、幸いなことに、検出と駆除を行うオプションが用意されています。まずは、Windows に標準で搭載されているウイルス対策製品を活用して、マルウェアをスキャンします。ウイルス対策プログラムをインストールしたら、デバイス スキャンを実行して、悪意のあるプログラムまたはコードを探します。プログラムがマルウェアを検出すると、その種類が一覧表示され、駆除のための推奨事項が提示されます。駆除後は常にソフトウェアを更新して実行し、今後の攻撃を防ぎます。
ウイルス対策プログラムでは検知や遮断できないような、組織に対する高度な攻撃については、セキュリティ情報イベント管理 (SIEM) ツールおよび拡張検出と応答 (XDR) ツールにより、エンドポイント デバイスに対する攻撃の検出と対応に役立つ、クラウドを利用したエンドポイント セキュリティ方法をセキュリティ担当者に提供しています。この種の攻撃は多面的であり、サイバー犯罪者の標的はデバイスの支配に留まらないため、SIEM と XDR を利用すると、その攻撃の全体像をすべての領域にわたって、つまりデバイス、メール、アプリケーションなどにわたって把握することができます。
SIEM & XDR ツール、たとえば Microsoft Sentinel、 Microsoft Defender XDR、および Microsoft Defender for Cloudの導入は、ウイルス対策の強力な出発点になります。セキュリティ担当者は、マルウェアの脅威を防ぐために、最新の推奨事項に一致するようにデバイス設定が常に更新されるようにする必要があります。
Microsoft Security についてさらに学ぶ
Microsoft Sentinel
クラウドと AI を活用した、簡単で強力な SIEM ソリューションを使用して巧妙な脅威を見つけ出し、決然と対応することができます。
Microsoft Defender XDR
統合型 XDR ソリューションの拡張された可視性と比類のない AI で、クロスドメイン攻撃を阻止できます。
Microsoft Defender for Cloud
クラウド セキュリティを強化し、マルチクラウド環境横断でワークロードを監視して保護します。
Microsoft Defender for Office 365
メール、リンク、コラボレーション ツールがもたらす脅威からお客様の組織を保護することができます。
Microsoft デジタル防衛レポート
現在の脅威の状況とデジタル防御の構築方法を把握しましょう。
よく寄せられる質問
-
残念ながら、誰もがマルウェア攻撃の被害者になるおそれがあります。サイバー犯罪者が行う、銀行など既に取引のある組織からのメールやその他の形式による通知の模倣は、ますます高度になっています。その他の種類のマルウェアはさらに目立ちにくく、ユーザーが意図的にダウンロードしようとしているソフトウェアに隠されていることもあります。
ただし、 脅威対策サービスなどの先回り型のソリューションを導入することは、自分のネットワークやデバイスへのマルウェア侵入を防止する有効な手段です。したがって、攻撃が発生する前にウイルス対策プログラムやその他のセキュリティ プロトコル (ゼロ トラスト モデルなど) を導入している個人や組織は、マルウェア攻撃の被害を受けるおそれが非常に低くなります。
-
マルウェア攻撃には、さまざまな手段が用いられます。悪意のあるリンクをあなたがクリックしてしまうことや、感染したメールの添付ファイルを開いてしまうことがあります。また、あなたが何もしなくても攻撃されることもあります。デバイスのセキュリティ脆弱性について何も対策していないと、攻撃者に狙われるからです。
-
マルウェア攻撃の影響は甚大となることもあります。たとえば、あなたの身元情報や金銭を盗まれることですが、それほど深刻ではないものでは、デバイスに侵入されて不要な広告が表示されるといったものがあります。
-
ウイルス対策プログラムはソフトウェアの一種であり、デバイス上のマルウェアからユーザーを積極的に保護し、マルウェアを駆除します。ウイルス対策サービスがインストールされているときは、侵害されたファイルやリンクにユーザーがアクセスしようとすると、そのファイルが安全でない可能性があることを警告する通知が表示されます。
-
マルウェア攻撃を防ぐ最善の方法は、ウイルス対策プログラムをダウンロードしてインストールすることです。このソフトウェアがデバイスのアクティビティとアクションを監視して、疑わしいファイル、リンク、またはプログラムを発見するので、これらが実際に問題となる前に対処することができます。
Microsoft Security をフォロー