マルウェアとは?

マルウェアは、ユーザーのコンピューター、電話、タブレット、またはその他のデバイスの正常な動作を妨げたり、これらに害を及すことを目的とする悪意あるコードの総称です。マルウェアには、ワーム、トロイの木馬、スパイウェア、キーロガーなど、さまざまなカテゴリーがあります。これらの用語は混同して使用されることも少なくありません。また現在は、多様なテクニックを組み合わせて使用するタイプのマルウェアが増えています。

現在、マルウェアのほとんどは、マルウェア作成者の金銭的利益に重点が置かれています 1。この目的を果たす典型的な方法は、ユーザー名、パスワード、クレジットカード詳細、その他の金融詳細などの機密データの窃盗です。このような機密情報を使用して個人や企業にさらに攻撃を仕掛けたり、他の攻撃者に情報を売り渡したりします。一種のマルウェアであるランサムウェアは、デバイスをロックして、ファイルに再びアクセスできるようにするために支払いを要求します。マルウェアによる資金稼ぎの手段としてこのランサムウェアが利用されるケースが増えています。

毎日新たに 390,000 ものマルウェア亜種が発見されていると推定されています。

マルウェアはセキュリティシステムを迂回して検出を免れるように設計されているため、組織のセキュリティ担当者にとって、ユーザーや広範なビジネスに悪影響を及ぼさないようにすることは極めて困難です。マルウェアの作成者は、さまざまな方策を駆使して、このような迂回を実現しています。たとえば、わかりにくいファイル名の使用、ファイル属性の変更、正当なプログラム動作の模倣、プロセスやネットワーク接続の隠ぺいなどです。このような難読化や回避のテクニックに加え、マルウェアの数の急増も対策を困難にしています。毎日新たに 390,000 もの亜種が発見されていると推定されています 2

マルウェアはどのように配布されるのか?

マルウェアはさまざまな方法で配布され、デバイスを感染させています。たとえば、次のような方法があります。

  • 悪意あるファイルをフィッシングメールに添付 - この E メールは、ソーシャル・エンジニアリング・テクニックを利用して、受信者が添付ファイルを開くように促します。添付ファイルを開くと、マルウェアのコードが配布されます。
  • E メール本文に悪質な URL リンクを記載 - この E メールは、ソーシャル・エンジニアリング・テクニックを利用して、受信者がリンクをクリックするように促します。クリックすると、その URL からマルウェア・ドロップ・サイトのウェブページに誘導されます。
  • ドライブバイダウンロード – ユーザーがマルウェア・ドロップ・サイトに直接アクセスするか、または悪意ある広告(マルバタイジング)を通じてリダイレクトされることによって、マルウェアコードが配布されます。
  • 感染した USB デバイス
  • 防御線のファイアウォールのオープンポートを悪用した直接的なネットワーク侵入
  • デバイスのオペレーティングシステムまたはインストールされているアプリケーションの脆弱性 - たとえば、ユーザーのブラウザーにインストールされている、古い、旧式の、または誤設定されたフラッシュプラグインを悪用します。悪意あるウェブサイトは、誰かがページにアクセスするとすぐに、そのユーザーのデバイスに脆弱性がないかスキャンするように設計されていることがあります。このようなページのマルウェアは、悪用できる脆弱性を識別し、見つかった脆弱性に応じたマルウェアコードを配布します。

敷居が低い

数年前まで、サイバー犯罪者がマルウェア攻撃を仕掛けるには、ソフトウェアエンジニアリング、セキュリティ、ネットワーキングの詳しい知識が必要でした。しかし、今では、わずか 39 ドルでマルウェアを作成、配布して利益を得ることができるような包括的なエコシステムが開発されています 3。実際、サービスとしてのマルウェア(Malware-as-a-Service、MaaS)や、サービスとしてのランサムウェア(Ransomware-as-a-Service、RaaS)は、安価に購入し、ダウンロードして利用できます。しかも、人気サイトで堂々と宣伝されています。このようなウェブサイトの一例として、さまざまな MaaS オプションを販売しているサイトを以下に示します。

Malware Seller

マルウェアのタイプ

スパイウェア:ブラウズ行動を追跡し、個人や組織に関する情報を収集します。さらに、この情報を悪用できるように密かに別の個人や組織に送信したり、ユーザーが知らないうちにデバイスをコントロールしたりします。

キーロガー:ユーザーのキー入力を記録して、ユーザー名、パスワードなどの機密情報を抽出します。多くの場合、サイバー犯罪者はこの情報をさらに、悪意ある行為に利用します。

トロイの木馬:正当なソフトウェアと見せかけて、ユーザーのシステムを密かに調べたり、アクセス権を取得したりします。目的は、データの窃盗、削除、ブロック、改ざんや、デバイスまたはネットワークのパフォーマンスを低下させることです。トロイの木馬にはさまざまなタイプがあります。たとえば、バックドア型トロイの木馬を使用すると、感染デバイスを完全に遠隔制御できるようになります。トロイの木馬 DDoS は、デバイスをボットネットに組み入れ、これを利用してサービス妨害攻撃を開始します。E メール型トロイの木馬はデバイスをスパムメール攻撃に利用できるようにします 4

ワーム:自身を複製し、ネットワーク接続を通じて別のデバイス、ドライブ、またはネットワークへと拡散します。ワームは自動的に拡散し、人間の介入を必要としません。また、自動的に複製されるため、帯域幅を消費し、ウェブサーバーに過剰な負荷をかけます 5

ルートキット:デバイスを遠隔制御できるように設計されています。デバイスにインストールされると、ルートキットの背後にいる攻撃者が、そのデバイスで実行される全活動の追跡や、ファイルの実行、プログラムのインストール、マルウェアの追加、アンチウィルスプログラムなどのソフトウェアの変更を実行できるようになります。ルートキットは検出や削除が難しいことで有名です 6

ランサムウェア:ユーザーデバイスやネットワーク・ストレージ・デバイスのファイルを暗号化します。暗号化されたファイルに再びアクセスできるようにするには、犯人に「ランサム(身代金)」を支払う必要があります。通常、支払いにはビットコインなど、追跡しにくい電子的手段が使われます。

ビジネスに影響するマルウェアリスクの軽減

最大の弱点について教育する。ほとんどのマルウェアは、ペイロードの起動というアクションを誰かが実行することを必要とします。サイバー攻撃の見分け方や防御法を従業員に教育することが重要です。攻撃の多くは、E メールやソーシャルエンジニアリングのテクニックを使用して従業員をだまし、マルウェアをダウンロードさせたり、ユーザー名とパスワードを漏えいさせたりします。したがって、こうした一般的な攻撃ベクトルを重視したトレーニングを行う必要があります。本当のサプライヤーからのメールとフィッシングメールとの区別をユーザーに教えるには、「請求書添付 - 開いてください」といった件名の偽のフィッシングメールを送信する演習が効果的です。

パッチ、パッチ、パッチ、なおかつパッチ。最近の WannaCry や Petya の攻撃で明らかになったように、既知の脆弱性に厳密にパッチを適用しないと、リスクにさらされる可能性があります。WannaCry や NotPetya の攻撃に EternalBlue の脆弱性が悪用されてから何か月も経過していますが、まだパッチが適用されていない PC が 3,800 万台もあると推定されています 7。サイバー攻撃者にとって、エンタープライズ組織のネットワークでパッチが適用されていないデバイスやソフトウェアを特定することは比較的簡単です。特定されてしまえば、既知の脆弱性が悪用されます。

まだパッチが適用されていない PC が 3,800 万台以上もあると推定されています。

データをバックアップし、さらにそのバックアップもバックアップする。一部の人にとっては自明のことかもしれませんが、マルウェアはネットワークサーバーに保存されているバックアップを暗号化することもあります。したがって、バックアップに対する現在のアプローチを見直す必要があります。従業員は重要なファイルをネットワークドライブにバックアップしていますか?これらのデバイスやファイルサーバーのバックアップをさらにクラウド・バックアップ・サービスにバックアップしていますか?バックアップをリストアできることをテストで確認していますか?このようにすれば、マルウェアがローカルファイルとバックアップをすべて暗号化しても、すぐにリストアして、ビジネスへの影響を最小限に抑えることができます。

このように進化していく連続攻撃に、単層のセキュリティのみで対抗するのは最善の策ではありません。

多層防御で簡単に攻撃させない。サイバー犯罪者は、多大な時間と費用をかけて、最新のマルウェアをさらに洗練し、企業のセキュリティ防御を迂回するような亜種を開発しています。このように進化していく連続攻撃に、単層のセキュリティのみで対抗するのは最善の策ではありません。多層のセキュリティを用意すれば、1 つのセキュリティ層で攻撃をブロックできなくても、他の層で脅威を緩和できる可能性があります。現在あなたの会社ではどのようなセキュリティ防御層を用意していますか?攻撃のあらゆる段階のリスク緩和に役立つように、多様なセキュリティソリューションを導入していますか?セキュリティに、攻撃者が悪用できるような穴はありませんか?


1 https://securityintelligence.com/know-your-enemy-understanding-the-motivation-behind-cyberattacks/
2 https://www.av-test.org/en/statistics/malware/
3 https://www.forbes.com/sites/kevinmurnane/2016/07/15/ransomware-as-a-service-being-offered-for-39-on-the-dark-net/#b45e97955a63
4 https://usa.kaspersky.com/resource-center/threats/trojans
5 https://www.veracode.com/security/computer-worm
6 https://heimdalsecurity.com/blog/rootkit/
7 http://www.ibtimes.com/eternalblue-exploit-thousands-machines-still-not-patched-against-wannacry-petya-2565606
8 https://www.gdatasoftware.com/blog/2017/04/29666-malware-trends-2017
9 https://www.forbes.com/sites/jameslyne/2013/09/06/30000-web-sites-hacked-a-day-how-do-you-host-yours/#6d04c3481738
10 https://www.theguardian.com/technology/2016/mar/16/major-sites-new-york-times-bbc-ransomware-malvertising
11 https://www.malwarebytes.com/pdf/labs/Cybercrime-Tactics-and-Techniques-Q1-2017.pdf
12Kruegel、D. C.、Labs Report at RSA: Evasive Malware’s Gone Mainstream.http://labs.lastline.com/evasive-malware-gone-mainstream より