マルウェアの種類や特徴とは？感染を防ぐために敵を知ろう

ユーザーのデバイスに不利益をもたらすマルウェアにはさまざまな種類があり、進化を続けています。ここではマルウェア対策を講じるうえで知っておくべき、マルウェアの種類や特徴などについて解説します。

マルウェア(Malware)とは悪意のあるソフトウェアを指す造語です。悪質なコードやソフトウェアを総称してマルウェアと呼びます。そのため、一言でマルウェアといっても種類は多岐にわたり、特徴もさまざまです。マルウェアは大きく分けて以下の３種類に分類されます。

一般的に「パソコンに害をなすもの」として認識されている「コンピューターウイルス」も、マルウェアの一種です。自ら増殖し、宿主を必要とする点が特徴です。感染すると不正プログラムを実行しながら自らコードをコピーし、他のプログラムへと感染を広げていきます。

コンピューターウイルスと同様に自己増殖するマルウェアです。宿主を必要とせず、独立して他のプログラムの動作を妨げます。ネットワーク上で動くという特性上、強い感染力を持ちます。

正常なプログラムに偽装したマルウェアを指します。文書ファイルや好ましいアプリケーションに擬態し、コンピューターに入り込みます。ウイルスやワームとは異なり、自己増殖する機能はありません。他の端末に感染を移すことは原則ありませんが、それゆえ感染に気付きにくく、知らないうちに重要な情報が盗み出される恐れがあります。

そのほか、特定の目的を持って動くマルウェアがあります。

スパイウェアとは、コンピューター上でのユーザーの情報収集を主な目的としているプログラムやソフトウェアです。ただし、インターネットの利便性を向上させる目的で作られた一般的なソフトウェアでも、情報収集の機能を有している場合、スパイウェア対策ソフトによって検知されることがあります。

そこでIPA（独立行政法人情報処理推進機構）では、スパイウェアを『利用者の意図に反してインストールされ、利用者の個人情報やアクセス履歴などの情報を収集し、利用者以外のものに自動的に送信するソフトウェア』と定義しています。

裏口を意味する単語であり、攻撃者など悪意のあるユーザーによって意図的に作られたセキュリティホールを意味します。攻撃者はバックドアを利用し正規のルートを経ずにシステムへ侵入します。

一度バックドアが仕掛けられると、攻撃者は自由にネットワークやシステムに出入りが可能になります。そのため、ユーザーが知らないうちに機密性の高い情報が盗み出されていたという被害が発生します。

キーボードから入力されたキーストロークの情報を収集する機能です。コンピューターの動作テストなど、単体で利用される分には無害なプログラムといえます。ただし、キーロガーにバックドアやリモートアクセスの機能が加わった場合、攻撃者はユーザーのID・パスワードといった重要な情報を盗み出すことが可能になります。

さらに、不特定多数が利用するパソコンに取り付けられた場合、他の利用者の使用情報を記録することができるため、サイバー犯罪に利用されるケースもあります。

ルートキットとは、不正アクセスを手助けするための機能が組み合わされパッケージ化されたもののことをいいます。たとえば、マルウェアの侵入を隠蔽して検知を遅らせるログ改ざんツールや、ネットワークへの自由な侵入を可能にするバックドア生成ツール、キーボードの入力情報を収集するキーロガーツールなどが含まれています。

管理者権限のことを指す「ルート」が攻撃の対象となるため、感染すると被害が大きくなるリスクがあります。

広告を強制的にユーザーの画面に表示させる機能を持つソフトウェアです。ユーザーは広告を視聴する代わりに、サービスを無料で受けられるなどの恩恵を受けます。

しかし、中にはユーザーのブラウザアクセス履歴などを外部に送信するなどスパイウェアの働きをするものもあり、問題視されています。

攻撃者の用意したサーバーと通信し、別のマルウェアを端末にダウンロードさせる小さなプログラムを持ったマルウェアです。ダウンローダーそのものは悪意のある活動を行わず、ダウンローダーを介して別のマルウェアを感染させることで被害が発生します。日本でも多く検出されており、2019年上半期には国内で検出されたマルウェアのトップ3に入ります。

遠隔地からのリモート操作を可能にするマルウェアです。ボット自体はダウンローダーと同様にコンピューターに悪意のある攻撃を行いませんが、攻撃者がボットに感染した端末を操作することにより、サイバー攻撃やスパムメールの大量送信に利用されます。

ボットに感染したパソコンは「ゾンビパソコン」と呼ばれ、ゾンビパソコンが大量に集まったネットワークを「ボットネット」といいます。攻撃者はボットネットを一斉操作し、Webサイトやサーバーに複数のパソコンから攻撃をしかけるDDoS攻撃の踏み台にするなど悪用します。

マルウェアは日々巧妙化しており、世界中でいくつもの亜種（既存の不正プログラムなどを一部改変して作られたもの）が確認されています。以下に、近年検出された悪質なマルウェアについて解説します。

コンピューターに侵入し重要なデータやファイルを暗号化したのち読み取れなくするマルウェアです。そして「ファイルの復元」を条件とするポップアップを表示させ、ユーザーに「身代金」を要求します。

ファイル暗号型でメール拡散する「Locky」、同じくファイル暗号型で自己増殖する「WannaCryp」、端末ロック型の「Petya亜種」など複数の種別が報告されています。

ランサムウェアの脅威は、ただユーザーに身代金を要求するだけではありません。2017年1月には米国ワシントン警察の防犯カメラのストレージが暗号化され、公共の場に設置された半数以上の防犯カメラが機能しなくなるといった被害が発生しています。

「Emotet（エモテット）」は非常に感染力の強いマルウェアです。主にメールが感染経路となり、侵入したパソコンに保存されるアカウント情報やメール内容を盗み出し、それらを利用してさらに巧妙な偽装メールを作成します。

Emotetの攻撃メールは、差出人や件名、内容が信頼できる知人からのメールに偽装されており判別が難しくなっています。Emotetは2021年１月に、欧州刑事警察機構が攻撃元となるサーバー権限を停止させたとテイクダウンを発表しています。

ファイルレス、つまりは実行ファイルが存在せず、メモリ上だけで動作するマルウェアです。実行ファイルが存在しないという特性上、既存のウイルス対策ソフトでの検知が困難となっています。

ファイルレスマルウェアは、パソコンのOSに備わっている機能を悪用して実行されます。WindowsのPowerShellといった正規コードを不正利用するため判別が難しく、攻撃の痕跡も残りづらいため、気づかないうちに攻撃を仕掛けられる脅威があります。

「Mirai」とは、ネットワークカメラやデジタルビデオレコーダーなどIoT機器に侵入するマルウェアです。2016年、米国でパソコンの周辺機器が狙われ、Miraiに感染した結果、数十万台規模のボットネットが構成されDDoS攻撃に利用されました。

このMiraiの亜種として報告されたのが「Matryosh（マトローショ）」です。Matryoshは、Miraiと同様の機能を持ち、アンドロイド端末を標的にします。Matryoshは2021年1月末に中国の360Netlabによって報告されており、DDoS攻撃に利用される脅威が指摘されています。

ユーザーのオンラインバンキングを狙ったマルウェアです。インターネットバンキングのIDやパスワード、クレジットカード情報などを盗み出します。

バンキングマルウェアはメールからの感染だけでなく、正規ウェブサイトを装ったページを訪れたユーザーにマルウェアをインストールさせる手口も確認されています。バンキングマルウェアの手法はさまざまです。マルウェアに感染した端末でユーザーがオンラインバンキングをはじめた際にログイン情報を盗み出すものや、正規ウェブサイトの上に偽のブラウザ画面を表示させ不正送金に誘導するものがあります。

「Blueborne（ブルーボーン）」とは、Bluetoothの脆弱性の総称です。そしてこの脆弱性を悪用すれば、攻撃者が端末に不正アクセスすることが可能であると指摘されています。

もし攻撃者が端末を乗っ取った場合、情報収集やほかの機器への攻撃に利用される恐れがあります。通常、Bluetooth機器の利用には、端末が信号を感知するペアリングの動作が必要ですが、Blueborneの脆弱性が悪用されるとペアリングなしに端末が乗っ取られる恐れがあります。

「variant」とは、マルウェアの「亜種」を意味する単語です。すでに認知されているマルウェアの一部を改変し創り出された新たなマルウェアをいいます。機能は元となったマルウェアと変わりませんが、感染を検知し駆逐するには亜種に対応した新しい対策ソフトが必要となります。

「Agent Tesla」は遠隔操作・情報窃取型のマルウェアです。キーロガーやパスワードを盗み出す機能を持つ、リモートアクセス型トロイの木馬（RAT）として知られています。リモートアクセス型トロイの2014年から確認されており、近年でも活発に拡散されています。

Agent Teslaは、端末に侵入しGoogle ChromeやMicrosoft Outlookなどの認証情報を流出させます。

マルウェアの被害に遭わないためには、どうしたらいいのでしょうか。感染を防ぐ基本対策と、万が一被害に遭ってしまった場合の対処法について解説します。

①システムによる対策

1-1 セキュリティソフトを利用する

新種のマルウェアの検知は難しいと言われますが、既知のマルウェア対策には、ファイアウォールが効果を発揮します。また、ウェブサイトのフィルタリング、ネットワーク上のログの監視や、端末を保護するエンドポイントセキュリティのソフトも、マルウェアの早期検知や被害の無効化に効果を発揮します。

【関連記事】

エンドポイントセキュリティとは？注目される最新のセキュリティ対策を解説

https://moconavi.jp/blog/2021/07/5970/

企業のネットワークにおいてセキュリティの重要性が叫ばれるなか、注目されているのが「エンドポイントセキュリティ」という考え方です。ここではエンドポイントセキュリティの概要や、求められる背景、具体的なセキュリティ対策について解説します。

1-2 OSのアップデートは最新に保つ

マルウェアの感染を防ぐために、使用しているOSやソフトウェアは常に最新の状態に保ちましょう。アップデートの通知があるものは、必ず更新するよう社員に周知することも重要です。

②ユーザー（従業員）による対策

2-1 むやみにポップアップをクリックしない

インターネットを利用中、不意に画面に表れたポップアップをクリックしないでおきましょう。不審な広告が表示されたら、「Ctrl＋F4」でクローズできます。それでも広告が消えない場合は、「Alt＋F4」でブラウザごと閉じます。

2-2 添付ファイルは詳細を確認する

怪しいメールは開かないでおきましょう。心当たりのない取引先からの添付ファイルは、かならずファイル形式を詳細から確認します。万が一、怪しいメールを開いてしまった場合でも、URLはクリックしないようにします。

メールの添付ファイルやメール内のU R Lを無害化することができる「moconavi（モコナビ）」を利用するのも一つの有効な対策です。

▶︎メールの添付ファイルもPDF化して無害化

③ルールによる対策

ソフトウェアやアプリなど、業務に必要なものはダウンロード元を会社が指定しましょう。指定したリスト以外からダウンロードが必要なときは、社内の情報システム部に許可を得るなどルールを確立します。またデータを安全にやり取りするためにも、USBでの取り扱いやデータの安全な受け渡し方法を社員に通知する必要があります。

万が一マルウェアに感染したと思ったら、以下の対策を行います。

1. 感染した端末を隔離する
2. セキュリティソフトを使用する
3. パソコンを初期化する

まず重要なのは、感染したと思われる端末をネットワークから切り離すことです。社内ネットワークにつながっている場合も同様です。Wi-Fiの切断、LANケーブルの抜線により端末をオフラインの状態にします。

その後、社内のセキュリティ担当者に連絡したのち、セキュリティソフト等を利用してマルウェアの検知・分析・駆逐を行います。この時重要なのは、マルウェアの駆逐が確認されるまで、端末のバックアップをとらないことです。バックアップにもマルウェアが侵入している可能性があります。

パソコンの初期化はセキュリティソフトでも対応できない際の最後の手段になります。初期化したパソコンはデータがすべて消えてしまうため、日頃から小まめにバックアップをとったり、重要な情報はクラウドに保存したりするといった対応が必要です。

マルウェアを利用したサイバー攻撃の手口は年々巧妙化しています。感染被害を防ぐには、どのようなマルウェアが存在するのか、新種・亜種も含めて情報収集を行い適切な対策を講じることが大切です。

moconavi（モコナビ）は、メールの不正な添付データやリンクを無害化。万が一、端末がウイルスに感染しても社内システムへの被害拡大を防ぐことができます。マルウェア対策をお考えの方は、ぜひご相談ください。