本記事では、悪意のあるソフトウェア「マルウェア」の歴史と、組織向けのマルウェア対策について概説します。
*本記事は、弊社マキナレコードが提携する米Flashpoint社のブログ記事を翻訳したものです。
マルウェアとは?
マルウェア(malware)とは、「malicious software(悪意のあるソフトウェア)」の略で、デバイス、ネットワーク、またはデータを傷付けたり、悪用したり、またはその他の方法で侵害するために作られた多様なソフトウェアがこれに該当します。自己複製する単純なウイルスから、データを暗号化して「人質」に取り、その解放のために支払いを要求する高度なランサムウェアまで、マルウェアは年々大きく進化しています。
サイバー犯罪者は、不正アクセス、機微なデータの窃取、業務の妨害行為、またはその他の被害を生じさせるためにマルウェアを利用します。一向に衰退する気配のないこのような脅威からシステムを保護するためには、さまざまな形態のマルウェアとその感染経路を理解しておくことが欠かせません。
マルウェアの種類
ウイルス
ウイルスは、正規のソフトウェアやファイルに取り付き、他のデバイスに複製・拡散する悪性プログラムです。ひとたびアクティベートされると、システムのパフォーマンスを低下させたり、ファイルを破損させたり、重要なデータを削除することさえあります。悪名高いウイルスの例として挙げられるのが、「ILOVEYOU」というウイルスです。このウイルスは、感染したユーザーのアドレス帳に含まれる連絡先へ宛てて自分自身をEメールで送信し、広範な被害を生じさせました。
ワーム
ウイルスと同様に、ワームも自己複製を行い、ユーザーの介入がなくともネットワーク上で自己拡散することができるマルウェアです。ワームはソフトウェアの脆弱性を悪用して1つのデバイスから別のデバイスへと移動するので、結果としてネットワークのスローダウンやクラッシュを招くことが多々あります。例えば、「Mydoom」というワームは、その急速な拡散力とインターネットトラフィックへ与える影響の多大さで知られています。
トロイの木馬
トロイの木馬は、ユーザーを欺いて自らをインストールさせるため、正規のソフトウェアを装っているマルウェアです。一度システム内に侵入すれば、データの窃取、ほかのマルウェアのインストール、攻撃者による遠隔操作の実現など、さまざまな悪意ある活動を行うことができます。銀行情報を狙うトロイの木馬「Zeus」は、この種のマルウェアの代表例です。
ランサムウェア
ランサムウェアは、標的組織のファイルを暗号化し、復号キーに対する支払いを要求することで、事実上データを「人質」に取るタイプのマルウェアです。フィッシングメールを利用したり、ソフトウェアの脆弱性を悪用して拡散するケースが多く見受けられます。全世界で数十万台のコンピューターに影響を与えた「WannaCry」による攻撃は、ランサムウェアの持つ壊滅的な潜在能力を浮き彫りにしました。
スパイウェア
スパイウェアはユーザーの行動を密かに監視し、ログイン認証情報やブラウザ履歴などの機微な情報を収集するマルウェアです。このデータは多くの場合、ユーザーの知らないうちに攻撃者に送り返されます。重要人物などの監視に使用されるスパイウェア「Pegasus」は、実際に使われているスパイウェアの例として非常に有名です。
アドウェア
アドウェアはユーザーのデバイス上に不要な広告を表示するマルウェアです。パフォーマンスの低下を引き起こすことが多く、時にはさらなるマルウェア感染を招く場合もあります。アドウェアの中には比較的無害なものもありますが、より攻撃的なものはブラウザの設定を変更したり、同意なしにデータを収集したりする性能を持ちます。
ルートキット
ルートキットは、システム上に存在するほかのマルウェアを隠し、持続的な不正アクセスを維持できるようにするためのマルウェアです。ルートキットは、標準的なシステム・プロセスを傍受して変更し、その存在を隠蔽するため、検出や除去が特に困難です。ソニーBMG製品にルートキットが組み込まれていたスキャンダルは、このタイプのマルウェアに関連するリスクを世間に知らしめたインシデントでした。
キーロガー
キーロガーは、デバイス上で行われるすべてのキーストロークを記録し、パスワードやクレジットカード番号などの機微な情報を取得するマルウェアです。このデータはその後攻撃者に送信され、身元の乗っ取りや金銭絡みの詐欺行為に利用される場合があります。
バックドア
バックドアは、攻撃者が検知されることなくリモートでシステムにアクセスできるように、隠れた侵入口を作成するマルウェアです。こうして作成される裏口(=バックドア)は繰り返し使用することができるため、長期的なスパイ活動や継続的な攻撃のためのツールとして好まれています。
ファイルレスマルウェア
ファイルレスマルウェアは、従来のようなファイルが存在しない状態で動作するため、検出が困難です。多くの場合、システムのメモリに留まり、脆弱性を悪用して悪意のある活動を実行します。このタイプのマルウェアは、従来型のアンチウイルスプログラムによる特定と除去が特に困難な場合があります。
マルウェアの歴史
マルウェアの歴史は古く、コンピューティングの黎明期にまで遡ることができます。数十年の間にマルウェアは大きく進化し、より巧妙で有害なものになってきました。マルウェアの歴史を理解することで、マルウェアの発展や、より良い防御方法を理解するための貴重な知見を得ることができます。
初期の事例
マルウェアの最も古い例として知られるものの1つが、「PC Cyborg Virus」としても知られる「AIDS Trojan」です。1989年にフロッピーディスクを介してリリースされたこのランサムウェアは、被害者のコンピューター上のファイル名を暗号化し、アクセスの回復と引き換えにパナマの私書箱宛に189ドルを支払うよう要求しました。今日の基準からすれば初歩的な手法ではありましたが、この攻撃によって、ランサムウェアが多大な混乱を引き起こすポテンシャルを秘めていることが浮き彫りになりました。
マルウェアの進化
1990年代から2000年代初頭にかけてのマルウェアの主な拡散経路は、感染済みのフロッピーディスク、Eメールの添付ファイル、そしてソフトウェアのダウンロードなどでした。その代表例が、ILOVEYOUウイルスです。このウイルスはEメールを通じて拡散し、ファイルを上書きしたり、被害者のアドレス帳に登録されている全員に自らのコピーを送信したりして、広範囲に被害をもたらしました。またこの頃に台頭したのが、「Mydoom」のようなワームの数々です。Mydoomはネットワークの脆弱性を利用して伝播し、大幅なスローダウンや混乱を引き起こしました。
ランサムウェアおよび高度な脅威の隆盛
インターネットの登場とコネクテッドデバイスの普及により、サイバー犯罪者たちは新たな機会を手にするようになりました。ランサムウェアはますます一般的になり、2017年のWannaCryによる攻撃をはじめとして、数々のランサムウェア攻撃が行われます。WannaCryのインシデントでは、Microsoft Windowsの脆弱性の悪用を通じて、全世界における数十万台のコンピューターがランサムウェアに感染しました。攻撃者は感染したシステム上のファイルを暗号化し、その解放と引き換えにビットコインで身代金を支払うよう要求しました。
昨今のマルウェアトレンド
近年、マルウェアはより標的を絞り込むようになり、技術的な巧妙さも増しています。サイバー犯罪者は今や、「マルウェア・アズ・ア・サービス(MaaS)」、つまりマルウェアを作成した開発者が、ほかの攻撃者にこれを貸し出すサービスなどの手法を用いるようになりました。このビジネスモデルによりサイバー犯罪への参入障壁が低くなり、それほどスキルの高くない個人でも高度なマルウェアを利用できるようになっています。
さらに、ポリモーフィック型マルウェアやファイルレスマルウェアの使用も増加しており、検出と除去がより困難になっています。ポリモーフィック型マルウェアは、アンチウイルスプログラムを回避するために絶えずコードを変更するタイプのマルウェアです。一方でファイルレスマルウェアは、従来のようなファイルを使わずに動作し、大抵の場合、システムのメモリ内に潜伏します。
主要なマルウェアの例
- ILOVEYOUウイルス(2000年):Eメールを通じて拡散し、ファイルを上書きすることで、推定100億ドルの被害をもたらしました。
- Mydoomワーム(2004年):最も急速に広まったEメールワームの1つで、インターネットのトラフィックを大幅に低下させ、いくつかの有名なWebサイトに障害をもたらしました。
- Zeusトロイの木馬(2007年):銀行情報の窃取に使われ、数百万ドルの損害をもたらしました。
- Stuxnet(2010年):産業用制御システム、具体的にはイランの核開発プログラムを標的とした高度なワームで、マルウェアによって物理的な被害がもたらされる可能性があることを実証しました。
マルウェアの拡散手法
マルウェアは色々なベクターを通じてシステムに侵入しますが、それぞれにおいてさまざまな脆弱性やユーザーの行動が悪用されます。
フィッシングメール
フィッシングメールは、マルウェアを拡散する最も一般的な手法の1つです。これらのEメールは合法的なソースが送信元であるかのように見えることが多く、悪意のある添付ファイルやリンクが含まれています。受信者が添付ファイルを開いたりリンクをクリックすると、マルウェアがシステムにダウンロードされるという仕組みです。フィッシングキャンペーンには「スピアフィッシング」と呼ばれる標的をかなり絞ったものもあれば、幅広いユーザーをターゲットにしたものも存在します。
ドライブバイダウンロード
ドライブバイダウンロードとは、侵害されたWebサイトや悪意のあるWebサイトにアクセスしたユーザーのデバイスへ、本人に知らせず、もしくは本人の同意を得ずにマルウェアを自動的にダウンロードするという手法です。このようなダウンロードでは、ユーザーのWebブラウザまたはそのプラグイン(FlashやJavaなど)の脆弱性が悪用されます。ドライブバイダウンロードはユーザーの操作なしで実施されるため、特に危険性の高い手口です。
ソフトウェアにおける脆弱性の悪用
サイバー犯罪者はよく、ソフトウェアに存在する既知の脆弱性を悪用してマルウェアを配布します。こうした脆弱性はOSやアプリケーションのものであったり、場合によってはハードウェアに潜んでいることもあります。脆弱性が特定されると、攻撃者はそれを利用して不正アクセスを行い、マルウェアをインストールする可能性があります。このリスクを軽減するためには、ソフトウェアを最新のパッチでアップデートしておくことが不可欠です。
悪意ある添付ファイル
Eメールやインスタントメッセージに悪意のあるファイルを添付する手法も、マルウェアの配布方法として一般的です。これらの添付ファイルは、請求書や領収書など、正規の書類に偽装されている場合があります。ファイルを開くとマルウェアが実行され、その後マルウェアはほかのシステムに拡散したり、攻撃者の意図した悪意ある活動を行ったりします。
感染済みのリムーバブルメディア
USBドライブや外付けハードドライブなどのリムーバブルメディアによっても、マルウェアが拡散されることがあります。感染したメディアがコンピューターに接続されると、マルウェアがシステムへ転送される恐れがあるのです。この手法は、複数のユーザーやシステム間でデバイスが共有されている環境で特に効果的です。
侵害されたWebサイト
既に侵害されているWebサイトを訪問すると、マルウェアに感染する可能性があります。こうしたサイトには、ブラウザの脆弱性を悪用して閲覧者のデバイスにマルウェアをダウンロードする悪性スクリプトが仕込まれているかもしれないからです。サイバー犯罪者は多くの場合、検索エンジン最適化(SEO)技術を使用して、これらの侵害済みサイトを正規の検索結果として表示させ、ユーザーが訪問する可能性を高めます。
保護されていないWi-Fiネットワーク
保護されていない公共Wi-Fiネットワークは、マルウェアの温床となっている可能性があります。攻撃者は、これらのネットワークを介して送信されるデータを傍受したり、偽のWi-Fiホットスポットを作成し、ユーザーを騙してこれに接続させたりすることが考えられます。接続が済めば、攻撃者はユーザーのデバイスにマルウェアを注入したり、機微な情報を取得したりすることができるようになります。
ソーシャルエンジニアリング
ソーシャルエンジニアリングとは、個人を巧みに操って意図した行動を実行させたり、機密情報を漏らさせたりする手口のことです。攻撃者は、ITサポートやその他の信頼できる組織や個人を装ってユーザーを説得し、マルウェアをインストールさせたり、システムへのアクセスを提供させたりすることがあります。この手法は、技術的な脆弱性ではなく、人間の心理を悪用するものです。
ソフトウェアへのバンドル
「マルウェアがソフトウェアにバンドルされる」というケース、つまり、正規のソフトウェアダウンロードの中に、悪意のあるソフトウェアが隠されているケースがあります。一見するとまともに思えるプログラムをダウンロードしてインストールする際に、ユーザーが意図せずマルウェアをインストールしてしまう恐れがあるのです。この手法はフリーウェアやシェアウェアのアプリケーションでよく使われ、マルウェアはインストールパッケージの一部として仕込まれます。
予防と保護策
効果的なマルウェアの感染予防および保護対策には、技術的なソリューションとユーザーの意識改革の両方を含む多層的なアプローチが必要です。ベストプラクティスを実践し、警戒体制を崩さずにいることにより、マルウェア感染のリスクを大幅に軽減することができます。
- ソフトウェアの適宜アップデート:OS、アプリケーション、セキュリティソフトウェアを常に最新の状態に保つことが絶対的に重要です。アップデートには、マルウェアに悪用されかねない既知の脆弱性に対するパッチが含まれていることが多々あります。
- アンチウイルスおよびアンチマルウェアツールの使用:評判の高いアンチウイルスおよびアンチマルウェアツールを導入することで、悪意のあるソフトウェアに対する防御の第一線を確保することが可能です。これらのツールは、マルウェアが重大な被害をもたらす前にこれを検出し、駆除することができます。
- ファイアウォールと侵入検知システム:ファイアウォールと侵入検知システム(IDS)は、あらかじめ設定されたセキュリティルールに基づいてネットワークトラフィックの送受信を監視・制御し、悪意のあるトラフィックをブロックしたり、潜在的な脅威を管理者に警告したりする役目を果たします。
- ユーザーの教育と意識向上: マルウェアの危険性についてユーザーを教育し、安全なオンラインプラクティスを推進することで、多くの感染を防ぐことが可能です。ユーザーは、Eメールの添付ファイルを開いたり、リンクをクリックしたり、信頼できないソースからソフトウェアをダウンロードしたりする際に注意を払えるようになる必要があります。
- メールフィルタリングとフィッシング対策:メールフィルタリングソリューションを導入することで、フィッシングメールやその他の悪意あるメッセージがユーザーの受信トレイに届く前に、これらをブロックすることが可能です。またフィッシング対策ツールは、疑わしいWebサイトを特定し、ユーザーに警告する性能も備えている場合があります。
- 定期的なバックアップ:重要なデータを定期的にバックアップすることで、万が一マルウェアに感染した場合でも身代金を支払うことなく、また重要な情報を失うことなくデータを復元できる可能性があります。
- アプリケーションホワイトリスト:安全なアプリケーションをホワイトリスト化することにより、システム上で実行できるのは事前に承認されたプログラムのみとなり、許可されていないソフトウェアや悪意あるソフトウェアが実行されるのを防ぐことができます。
インシデント対応
最善を尽くしても、マルウェア感染は起こり得ます。被害を最小限に抑え、迅速に復旧するためには、強固なインシデント対応計画を策定することが不可欠です。
感染したシステムの隔離
- マルウェアがほかのシステムに広がるのを防ぐため、感染したデバイスをネットワークから直ちに隔離しなくてはなりません。
- 例えば、感染が疑われたらすぐに、当該コンピューターをWi-Fiから切り離したり、イーサネットケーブルを抜いたりする必要があります。
マルウェアの特定・除去
- アンチウイルスツールやアンチマルウェアツールを使用してマルウェアを特定し、除去します。場合によっては、高度な感染に対処するための専用ツールが必要になることもあります。
- マルウェアを検出・排除するため、システムのフルスキャンを実行します。
バックアップからの復元
- マルウェアによってデータが暗号化されたり破損したりした場合は、損失を最小限に抑えるために最新のバックアップからデータの復元を行います。
- クラウドストレージサービスや外付けハードドライブからファイルを復元するには、バックアップソフトウェアを使用します。
事後分析の実施
- 当座の脅威に対処した後は、マルウェアがどのようにしてシステムに侵入したのか、また、将来のインシデントを防止するためにどのようなセキュリティ対策を改善する必要があるのかを判断するため、徹底的な分析を実施します。
- システムログをレビューし、脆弱性をチェックし、分析結果に基づいてセキュリティポリシーを更新します。
必要な場合は当局へ通報
- 重大なデータ侵害やランサムウェア攻撃の場合、法執行機関や監督機関への通報が必要になるかもしれません。
- ランサムウェア攻撃は、地方当局か、CISA(米国サイバーセキュリティ・インフラセキュリティ庁)のようなサイバーセキュリティ機関などに報告します。
マルウェアから自組織を守るために
マルウェアとそのさまざまな形態を理解することは、強固なセキュリティを実現する上で絶対的に重要です。
常に最新の情報を把握しておき、セキュリティ対策を改善することで、進化するマルウェアの脅威から自組織を守りましょう。Flashpointのデモに参加し、業界をリードする弊社のソリューションがどのように役立つかをご確認ください。※
※日本でのFlashpointに関するお問い合わせは、弊社マキナレコードにて承っております。
また、マキナレコードではFlashpointの運用をお客様に代わって行う「マネージドインテリジェンスサービス(MIS)」も提供しております。