メールを開封したり文書をダウンロードすることで感染するマルウェアは、最も身近なサイバー攻撃です。2021年の デジタル・インフォメーション・テクノロジー社の調査 によると、企業が受けたサイバー攻撃の約25%がマルウェアによるものです。
マルウェアは進化を続けており、またその手口も巧妙化しています。同調査によればサイバー攻撃を受けた企業の約8割がセキュリティソフトを導入しており、セキュリティソフトだけでは防げない状況になっています。
本記事ではマルウェアとは何か、種類や特徴、攻撃を受けたらどうなるか、さらに感染経路や対処法などをお伝えします
マルウェアとはMalicious Software(悪意のあるソフトウェア)の略で、デバイスやネットワークに対して攻撃を加えるソフトウェア全般を指します。コンピューターウイルスやワーム、トロイの木馬などさまざまな種類があり(詳細は後述)、年々その種類も増えています。
1982年に最初のコンピューターウイルスが登場して以降、不正なソフトウェアは「コンピューターウイルス(ウイルス)」と呼ばれていました。しかし、今日では不正ソフトウェアが多岐に渡り、ウイルスには該当しないものも増えています。
そこで、他のプログラムに侵入して自己増殖するものだけを「コンピューターウイルス」と呼び、ウイルスも含めた不正ソフトウェアを総称して「マルウェア」と呼ぶようになりました。
攻撃者は主に以下の目的でマルウェア攻撃を仕掛けてきます。
金銭目的のマルウェアは、ブラウザ内のIDやパスワードを盗み、オンラインバンクで不正送金したり、EC(電子商取引)サイトで不正購入を行ったりします。
企業を標的とする攻撃の中には、業務妨害をした上で金銭窃取を狙うものなども多く登場しています。
個人情報をはじめ、企業や組織の顧客情報や機密情報を盗み出すことを目的とした攻撃です。盗み出した情報を公開すると言って脅し、金銭を要求する場合もあります。
企業のWebサイトに侵入し、本来のWebサイトの管理者がアクセスできないようにした上で、データを破壊したりWebサイトを改ざんしたりします。
セキュリティの厳重な大企業のサイトに侵入するために、マルウェアを使って中小企業のPCに侵入し、そこを踏み台にして乗っ取りを画策します。
以上の4点から、サイバー攻撃の被害に遭うと以下の被害が起こる可能性があります。
マルウェアに感染すると、PCやスマートフォンに入り込んだマルウェアが活動するために、CPUが消費されます。そのためいつもより機器の処理速度が遅いと感じるのが典型的な症状です。
そこで、まずマルウェアに感染した際にPCやスマートフォンに現れる症状を押さえておきましょう。
感染したマルウェアによって異なりますが、以下のような症状が現れたら、マルウェアに感染している可能性があります。
スマートフォンがマルウェアに感染すると、以下の症状が現れる場合があります。
ただし、マルウェアによっては症状が出ない場合もあります。異常を感じなくても定期的なウィルススキャンが必要です。
マルウェアは新しいものが次々に誕生しています。その中で代表的なマルウェアの種類と特徴を見ておきましょう。
コンピューターウイルスは、ウイルス単体ではプログラムとして起動できません。しかし正常なプログラムに寄生して、プログラムの中身を書き換えてしまいます。これにより、ユーザーが書き換えられたプログラムを起動すると、不正なプログラムの実行・処理が開始されます。
さらに周囲のプログラムを次々と感染させていく自己増殖機能を備えています。
ウイルスにはいくつもの種類がありますが、代表的なものに以下の3つが挙げられます。
実行ファイルに潜り込み、ネットワークを通じて拡散するウイルスです。ダウンロードしたプログラムやメールに添付されたプログラムを被害者が実行すると、ウイルスが起動しPCが感染します。
文書ファイル・表計算ファイル、ZIP形式の添付ファイルに偽のファイル名を付け、メールなどで標的に送付し、標的がファイルを開くとウイルスが起動します。古くから今日に至るまで攻撃者によく使われています。
セキュリティソフトをかいくぐって侵入するウイルスです。 セキュリティソフトは既知のウイルスのプログラムコードを登録し、そのコードを参照しながら検出します。しかしポリモーフィック型ウイルスはコードを毎回変更するため、セキュリティソフトの検出を巧みに逃れることができるのです。
自己複製・自動感染を繰り返す機能を持ち、ウイルスとは異なり他のプログラムを必要としません。ワームに1台のPCが感染すると、ユーザーが操作しなくてもワーム自らがネットワークで接続されたPCにアクセスし、感染を拡大させます。 その結果、感染直後から爆発的に増殖する特徴を持ちます。
データの改ざんや削除などを行うものは、ワーム型のものが多くなっています。2017年ごろに猛威をふるったランサムウェアのWannaCryもワーム型です。
無害なプログラムやデータを装って標的のPCに侵入し、攻撃者の遠隔操作によって破壊活動や情報窃取など、悪意のある動作を行うマルウェアです。自己増殖機能はありませんが、攻撃者が感染させたPCを遠隔操作して第三者のPCやサーバーに攻撃を仕掛けることができます。
古くからあるマルウェアですが、攻撃者側は不特定多数から情報の収集ができるなどの目的を達成しやすく、今なお使用されています。
トロイの木馬に関連する、外部からシステムを不正操作するためのマルウェアです。IDやパスワードによる正規の認証を経ずに「裏口(バックドア)」からシステムに侵入します。ほとんどの場合、ユーザーは気づきません。
メールの添付ファイルを開いて感染する場合やダウンロードしたプログラムに仕込まれたトロイの木馬からバックドアが作成される場合などがあります。
ユーザーの情報を収集し、送信するための不正プログラムの総称です。ユーザーが気づかないままプログラムをインストールしてしまうと、ユーザーのシステム情報やインターネットバンキングなどのID・パスワード、プライバシー情報などが収集され、攻撃者に送信されます。
Ransom(身代金)とSoftware(ソフトウェア)から生まれた言葉で、身代金を要求するマルウェアです。パソコン内のファイルや画像を暗号化して奪い、解除キーと引き換えに金銭を要求するものが基本的な手口です。ランサムウェアの多くは、不正ファイルが添付されたメールによる攻撃です。
2021年に入って日本でも急増しているのが二重恐喝型ランサムウェアです。二重恐喝型の場合、暗号化して金銭を要求して標的が応じないと、PC内部に保存されたデータを公開すると脅迫し、二重に金銭を要求します。
アドウェアは無料で使えるソフトウェアをダウンロードすると、そのソフトを起動した際に広告が表示されるものです。アドウェアの中にはマルウェアの働きをするものがあるため、注意が必要です。
設定したホーム画面が勝手に変更されたり、ポップアップ広告がいくつも表示される場合は、アドウェアへの感染が疑われます。アドウェアの中にはCookie情報を無断で搾取し、関連する広告を表示したり、個人情報を窃取するものもあります。
マルウェアの感染を防ぐためには、まず感染経路を知り、何に注意すべきかを理解する必要があります。主要な感染ルートは以下のものです。
最も多いのが、メールに添付されたファイルを開いて感染するパターンです。ファイルにはWord文書やpdf、画像などさまざまなものがあります。
怪しいファイルは開かないと思っていても、実在の人物や企業を偽装するメールにだまされ、つい開いてしまうことも増えています。
2019年に日本でも多くの企業・組織に着信したマルウェアのEmotetは、正規メールへの返信を装う手口によって感染が拡大しました。現在はEmotetの攻撃は観測されていませんが、その手口を押さえておきましょう。
メールにURLを記載してクリックを促し、悪意あるWebサイトへ誘導したり、マルウェアをダウンロードさせたりするパターンもあります。
この手口は一般的に「フィッシング」と呼ばれるもので、以下の記事で詳しく説明しています。
(※「フィッシングサイト」記事へのリンク)
攻撃者にWebサイトの脆弱性を悪用され、改ざんされたWebサイトが感染経路となる場合があります。改ざんされたWebサイトから、マルウェアが仕込まれたファイルやソフトをダウンロードすることで、ユーザーへの感染が拡大します。
マルウェアがUSBメモリに仕込まれている場合があります。不正プログラムが仕込まれたUSBをPCに接続すると、自動的にその不正プログラムが実行され、システムが破壊されたり、個人情報を窃取されることがあります。また意図せず、他のマルウェアをダウンロードしてしまうリスクも抱えてしまう可能性もあるのです。
感染したPCにUSBを接続すると、そのUSBもマルウェアに感染し、USBを媒介にしてさらに感染が拡大します。
不正プログラムが仕込まれたアプリを通して、インストールしたデバイスが感染する場合があります。
実際、2015年には個人情報を抜き取るマルウェアに感染したiOSアプリが、アプリストアで多数販売された事件も起こっています。その結果、1億2,800万人ものiPhoneユーザーが、感染したアプリをダウンロードしていました。
2020年に入って増え始めたのが、VPN機器からの侵入です。VPNとはVirtual Private Network(=仮想の専用ネットワーク)の略称であり、拠点とするオフィスなどにルーターを設置し、暗号化・承認などを設定しながら公衆回線を利用してアクセスする仕組みです。任意の場所から業務システムにアクセスでき、かつ公衆回線の使用でコストが抑えられることから多くの企業で利用されるようになりました。
VPN機器の脆弱性に対しては、メーカー側で修正プログラムが提供されています。しかしマルウェアは、バージョンアップされていないVPN機器を探り当て、VPN機器から内部ネットワークに侵入してランサムウェアを拡散します。つまりVPNのアップデートの遅れは、被害の拡大を招くのです。
マルウェアは日々、新しい種類が生まれており、完全に防ぐことは困難です。そのため、感染を防ぐ手段を取りつつも、同時に感染した場合の対処法を全社で理解しておく必要があります。
感染した場合に備えて社内でガイドラインを作成し、以下の手順で早急に対策を取って被害を最小限に押さえましょう。
マルウェアはネットワークを媒介して、感染したデバイスから他のデバイスへの感染拡大を狙います。また遠隔操作による情報漏えいや不正アクセスを遮断するためにも、ネットワークからデバイスを遮断する必要があります。
ネットワークが有線LANの場合は、端末からケーブルを抜きます。無線LANの場合は、Wi-FiをOFFにするか、ルーターの電源を切りましょう。
感染が疑われたら、すぐに社内の責任者やセキュリティ担当者に報告します。社内にセキュリティ担当者がいない場合はIPA(独立行政法人情報処理推進機構)の「情報セキュリティ安心相談窓口」に連絡します。また恐喝画面が現れるなど、犯罪が疑われる場合は、都道府県警察サイバー犯罪相談窓口に連絡しましょう。
セキュリティ対策ソフトで対処できる場合もあります。
ソフトを利用して端末のフルスキャンを行います。それとともにアクセス履歴を確認し、感染源を特定できるのです。
スキャンによってマルウェアと感染ファイルが検出されます。これにより、セキュリティソフトはマルウェアを識別後、自動的に処理し、感染ファイルは「駆除」または「隔離」します。
マルウェアによる被害として、主な事例を紹介しましょう。
日本年金機構は職員がメールの添付ファイルを開封したことが原因でマルウェアに感染し、2週間あまりで125万件の個人情報が漏えいしました。
マルウェアは年金機構職員を標的に数度にわたって送付されました。最初に感染が判明した時点で注意喚起は行われたものの、内容に対する周知がなかったため、感染端末がさらに増えて大量の情報の漏えいにつながったのです。
組織内の情報管理体制を強固なものにすると同時に、感染判明後の即時徹底した対応の必要性を教えてくれる事例といえます。
2017年に日立製作所は、Windowsの脆弱性を悪用したワーム型ランサムウェアであるWannaCryの攻撃を受けました。WannaCryに感染したヨーロッパの現地法人の検査機器から社内ネットワークに感染したのです。ファイルを暗号化され、解除キーと引き換えに金銭が要求されました。被害はわずか3時間でシステム部門から工場まで広がりました。
最初に感染したのは検査機器で、セキュリティ管理の対象外でウイルス対策のパッチも当てられていなかったことが原因です。また、感染の急速な拡大は、社内ネットワークのあり方を見直す機会ともなりました。
この事例から、現場にある機器は盲点になりやすく、セキュリティ管理の対象外となってしまう可能性があること、及び社内ネットワークの堅牢化が重要であるという教訓が得られます。
東京大学では2015年、マルウェアに感染したことで、教職員や学生の氏名、ID、パスワードなど約36,300件の個人情報が流出しました。
発端は、職員がメールに添付されたWordに偽装された実行ファイルを開封したことです。そこから学内のメールサーバー管理画面が改ざんされ、個人情報の流出につながりました。
この事例から、添付メールを開く上でのウイルスチェックの重要性に改めて気づかされます。
マルウェアは次々と新種が生まれるため、完全に排除するのは困難です。しかし、不審なメールを開かない、添付ファイルを開封しない、URLをクリックしないなどの基本的な対策を取るだけで、ある程度の危機は回避できます。
しかし、セキュリティソフトを入れる、欠かさずアップデートする、不信な添付ファイルなどに気を付けるなどの対応をしていても、マルウェアは完全に排除できません。
万一感染しても、被害を最小限に留めておくために、企業としての対応策やガイドラインを設けましょう。
企業全体でセキュリティ対策を行い、セキュリティ意識を高めることは、Webサイトを訪れるユーザーの安全を守ることにもつながります。ユーザーが安心してWebサイトを閲覧したり、会員登録できるようにするためにも自社のセキュリティ対策を行いましょう。
サイバーセキュリティ全体に対しては、以下の記事でも詳しく解説しています。ご興味のある方はぜひご覧ください。
(※「サイバーセキュリティ」へのリンク)