近年、マルウェアなどのサイバー攻撃は、多様化且つ巧妙さを見せるようになってきています。
様々な端末がネットワークに接続され、サービスが広がったことから、生活に便利なツールやアプリが広く普及し、サーバー攻撃範囲=対策しなくてはいけない範囲も広がっています。
広くなった守備範囲の防御力を上げるには、「入口」「内部」「出口」を守る「多層防御」が効果的とされています。
では、多層防御で防がなければいけないモノとは何なのか?
まず、敵を知ることが大切です。
このコラムでは、マルウェアの種類や特徴とマルウェア対策についてご紹介していきます。
マルウェアとは?
マルウェアとは、不正且つ有害に動作させる意図で作成された悪意のあるソフトウェアや悪質なコードの総称です。
※Malware(マルウェア)=Malicious(悪意のある)+Software(ソフトウェア)
プログラム可能なデバイス、サービス、ネットワークに害を与えたり、悪用したりすることを目的とした悪意のあるソフトウェア全般をマルウェアと呼びます。
マルウェアは感染すると、感染した機器だけでなく、感染した機器と通信可能な他のデバイスにも影響を及ぼす可能性があります。
サイバー攻撃者は、攻撃対象をだますような、あるいは、脅迫するようなマルウェアを無差別にばら撒きます。メール添付、フィッシングメール、不正広告、偽ソフト、偽アプリ、偽サイト、サイト改ざん等、その拡散方法は実に様々です。
・個人情報を入力させてIDやパスワードを盗む。
・クレジットカード情報などの金融データを盗む。
・複数のコンピューターを掌握し、他のネットワークに攻撃をする。
・データを改ざんして使用不能にし、金を払えばデータを戻すと請求する。
など、様々な用途でマルウェアが使用されています。
また、マルウェアはパソコンだけでなくスマートフォン、タブレットにも関係します。
正規のアプリストア以外からの感染の他にも、過去にはGoogleストアで公開され、誰でもダウンロードできるようになっていたマルウェアも存在します。
近年では、IoT(モノのインターネット)が広く普及し始めました。
冷蔵庫やエアコン、ロボット掃除機、スマートスピーカー等、様々なモノがインターネットに繋がり、便利な機能を持つようになりました。
しかし、ネットに繋がったことでマルウェア感染の標的としてもカウントされるようになっています。
このような機器には最低限のセキュリティ機能を持たせることが義務付けられています。
一般的にマルウェアに感染すると次のような症状が出ることが多いです。
・パフォーマンスの低下
・ブラウザがリダイレクト(再読み込み)する、または意図していないサイトに移動する
・ウイルス感染に関する警告・問題解決に何かを購入するよう促すメッセージが表示される
・コンピューターが勝手にシャットダウンまたは起動する
・ポップアップ広告が大量に表示される
・見知らぬメールの発信
これらの症状の多くにあてはまる場合は、マルウェア感染の可能性があります。
マルウェアの種類
「ウイルス」
ウイルスは、単体では存在できず、何らかの既存プログラムを改ざんして入り込み、増殖するマルウェアです。
増殖負荷がかかり、コンピューターの処理速度が低下します。
「ウイルス」は、現実世界のインフルエンザウイルスのように感染した人の体内でウイルスが増殖し、咳やくしゃみ等で体外に排出、拡散される原理と同じく感染したパソコンから別のパソコンへ感染拡大することもあります。
ーーーーーーーーーーーーーーーーーーーーーーーー
ーーーーーーーーーーーーーーーーーーーーーーーー
「ワーム」
ワームとは、自身を複製して増殖するマルウェアです。
ウイルスとは違い、他のプログラムの改ざんを必要とせず、単独で存在することが可能です。
自身のみで自身を複製し増殖して、コンピューターのリソース(容量やメモリ)を圧迫する他、ランダムなIPアドレスにアクセスして感染したり、大量のメールを送信して感染を広げたりと、感染力が非常に高いことが特徴です。
ネットワークに接続しただけで感染したものは、数十~数百万台という規模で世界中に感染したこともあります。過去最も多く感染したマルウェアがワームです。
感染すると、次の感染対象を探して増殖の動きをするため、コンピューターの処理速度などが著しく低下します。感染したことがわかりやすいマルウェアであるため、愉快犯がこぞって使用し被害を出していました。
共通する動きとしてはリソースの圧迫ですが、その他にも様々な症状が追加され、情報を盗み出したり、いつでも侵入可能なバックドア(裏口)を作ったりと多様性を見せています。
「トロイの木馬」
トロイの木馬とは、自身を偽装してコンピューター内部へ侵入し、何らかの動きを見せるマルウェアです。
「トロイの木馬」という名称は、ギリシャ軍がトロイの街を攻撃する際、屈強な戦士を潜ませた木馬を防備の固い城壁の内部に運び込ませて門を突破した神話上の策略から名づけられました。
悪質ではないプログラム(画像や文書、アプリ)のように見せかけて密かにコンピューター、スマートフォン内に侵入し、個人情報を盗んだり、バックドアを仕掛けたりします。
「ウイルス」、「ワーム」とは違い自己増殖することがないため、コンピューターの処理が重くなるといったことはありません。
大半のユーザーが自身でインストールしているため、危険なアプリ、ソフトウェアという認識が無くなり、セキュリティソフトを使用していない場合、トロイの木馬に感染したと気づくことはほぼ不可能です。
脆弱性をついたドライブバイダウンロードという感染経路の場合、ユーザーの知らないうちに勝手にインストールされてしまうため、感染に気付くことは更に困難になるでしょう。
ーーーーーーーーーーーーーーーーーーーーーーーー
ーーーーーーーーーーーーーーーーーーーーーーーー
「スパイウェア」
スパイウェアとは、情報収集を主な目的としたソフトウェアです。
一般的には、ユーザーが気づかれない状態でインストール・動作し、自動的に情報を外部に送信します。
情報収集以外にも攻撃者によってさまざまな動きをすることからトロイの木馬と似た脅威ですが、トロイの木馬とは違い、画像や文書などのファイルに偽装して密かに感染するのではなく、フリーソフトインストール時やフリーソフトとしてユーザー自らインストールしてしまうことがあります。
Webサイトの閲覧履歴やコンピューターに保存された情報、IDやパスワード、クレジットカード情報、銀行口座情報等、収集される情報は様々です。
・キーロガー
スパイウェアの一種としてキーロガーというものがあります。
これは、キーボードで行った操作を外部に送信する動きをします。
本来ソフトウェア開発のデバッグ作業に用いられてきた技術ですが、これをマルウェアとして仕掛け、キー操作からIDやパスワード等を割り出すために使用されたケースがあります。
「ランサムウェア」
ランサムウェアに感染すると、ドライブ内のほとんどのファイルを暗号化して使用不能な状態になります。
そして、無理に開こうとすると文字化けしてしまいます。それだけでなく、データを戻してほしければ金を払えという趣旨の要求をしてくることから、身代金ウイルスと呼ばれています。
ランサムウェアは感染した端末だけでなく、感染した端末と接続されている全ての端末が暗号化される可能性があります。
※Ransomware(ランサムウェア)=Ransom(身代金)+Software(ソフトウェア)
マルウェアの中でも最も収入を得ていることから、現在最も普及しているマルウェアです。
また、要求に応じて身代金を払ったとしても、データを戻してもらえる保証はありません。
「スケアウェア」
コンピューターやスマートフォンがマルウェアに感染したと思わせてユーザーを騙し、偽のアプリケーションを購入させようとしたり、個人情報を入力するように仕向けたりするマルウェアです。
主に、「警告!コンピューターがウイルスに感染しています」や「ウイルスを検知しました!削除するには直ちにOKを押してください」などの脅すような警告メッセージ広告を表示し、ユーザーの不安を煽ります。
「アドウェア」
一定、あるいは特定のアクションを実行したときに、画面上にポップアップウィンドウや点滅広告などを表示させます。
昔は、フリーで使用できる代わりに広告を表示させて収入を得ることを目的としているもの、執拗に広告が表示されるだけで危険性は低いものが多かった広告です。
しかし、情報収集するアドウェアや、近年では、ブラウザのスタートページを勝手に変える「ブラウザ・ハイジャッカー」のような形に変化したものも存在します。
ブラウザ・ハイジャッカーはそのまま検索エンジン機能を有していることが多く、使用することができますが、検索履歴の漏洩などの恐れがあり、完全なアンインストールも難しいことから、厄介なアドウェアです。
「ファイルレスマルウェア」
マルウェアのうち、ディスクに存在せず、メモリ内でOSなどに備わっている正規のプログラムツールを利用する攻撃のことを、ファイルレスマルウェアやファイルレス攻撃と言います。
正規のツール、例えば、WindowsのWindows Power Shellが利用され、ダウンローダーを作成、悪意のあるサイトから密かにマルウェアをダウンロードして実行します。
PowerShell自体は普段からパソコン内で動いていることのあるツールですが、ファイルレスになる理由はPowerShellの動作にあり、PowerShellの動作はプロセスとしてメモリ上で実行されるため、ファイルがディスク上には保存されません。
また、メモリのデータは一時的なもので、パソコンの電源を切ると消えてしまうため、痕跡が残りません。
この時、生成されたダウンローダーは消えてしまいます。OS本来の機能を使用していることから攻撃に気付きにくく、従来のウイルス対策では対応できません。
ーーーーーーーーーーーーーーーーーーーーーーーー
ーーーーーーーーーーーーーーーーーーーーーーーー
「バックドア」
攻撃者が対象に侵入するためのネットワークの裏口をバックドアと言います。
設置されるとID、パスワードを必要とせずログインできたり、セキュリティ対策を潜り抜けて端末に入ることが可能になったり、システムの遠隔操作も可能になります。
設置されてしまうと侵入が容易になるだけでなく、遠隔操作によってDDoS攻撃に利用され加害者にされてしまうこともあります。
※DDoS攻撃
Webサイトやサーバーに対して、過剰アクセスや過剰データ送信をする攻撃を複数のコンピューターから行うこと。
「ボット」
攻撃者からの指令や遠隔操作により、他のコンピューターやネットワークへの攻撃等、攻撃者の踏み台として使われたりします。
また、ボット感染したコンピューターをゾンビパソコン、ボット感染コンピューターの集合をボットネットと言います。
ボットネットは、数十万~数百万台の規模になると、スーパーコンピューターにも匹敵すると言われます。
主に、迷惑メール、サーバーへの攻撃、マルウェアの感染活動などに使われ、知らないうちに加害者にされてしまう可能性があります。
感染経路
マルウェアの感染経路は幅広く、主に下記のようなものが挙げられます。
・迷惑メール
Webサイトのリンクや添付ファイルにマルウェアが仕込まれて感染します。
迷惑メールは昔から多い手口ですが、近年では、ビジネスメールを自動的に模倣して拡散するマルウェアも存在しています。
・SMS
メール同様、不正リンクや不正ファイルで感染
・正規アプリストア以外からのアプリダウンロード
Google PlayやApp Storeなどの正規アプリストア以外でマルウェアの仕込まれたアプリをダウンロードして感染。
人気アプリへの偽装や有料アプリを偽装して無料アプリとして公開するなどダウンロードを誘発する手口を使ってきます。
・Webページからマルウェアが仕込まれたファイルをダウンロード
・マルウェア感染しているWebページにアクセス
・P2Pソフト使用でダウンロードしたファイルにマルウェアが仕込まれており感染
※P2Pソフト:ファイル共有ソフト
不特定多数のユーザーとデータの共有ができるソフト
・マルウェア感染した外部ストレージ(USBやHDD)を接続
マルウェア対策
マルウェアはネットワークだけでなく様々な経路で感染します。
対策には、具体的に下記のような方法が必要になります。
・セキュリティソフト(ウイルス対策ソフト)をインストールする
Windowsには標準でWindowsセキュリティという保護機能が付いていますが、機能範囲や多様化したマルウェアに対してまだ性能が足りません。
最低限であるため、セキュリティソフトのインストールをおすすめします。
・UTM(統合脅威管理)を導入する
UTM(統合脅威管理)はネットワーク上層に設置することで端末に行きつくまでのネットワーク全体を守ってくれます。
本来、アンチウイルス、Webフィルタリング、迷惑メール対策、不正侵入防止等、全てを防ごうとすると、脅威ごとに対策機器やソフトをメーカーから購入しなければなりません。
UTMはこれらの機能を1台でまとめ、コストや手間を大幅に削減します。
また、万が一マルウェアに感染したときには、社内から外部への情報漏えいや不正な通信を遮断してくれます。
多層防御と言って複数の層を持たせて脅威を防ぐ考え方があります。
入口対策・内部対策・出口対策といったように分かれており、侵入前と侵入後を考えた複数ツールによる防御の事を言います。UTMを使用することによって「入口」「出口」の対策を行うことができます。
カルテックでもUTMの取り扱いがございます。
中小企業・個人事業主様のセキュリティに関するお悩みにお応えするサイバーセキュリティコラムもございますので、参考にご覧ください。
・OSやソフトウェアを自動更新し常に新しい状態を保つ
ソフトウェアは頻繁にアップデートされています。アップデートは、機能改善の他に脆弱性の改善をしていることがあります。リリースされたら早めにアップデートを実行してください。
また、自動更新機能をONにしておくと常に最新版を使用することができます。
・発信元不明なメールやファイル、内容のおかしなメールは開かない
唐突に来たメールに添付された不明なファイルやWebのリンクなどを不用意に開かないでください。
また、ビジネスメールであっても模倣された危険なものの可能性があります。内容をよく読み確認してください。
まとめ
いかがだったでしょうか?
ここまでマルウェアについてその多様性を上げてきました。多い・長いと感じましたか?
しかし、実はまだまだ足りません。
マルウェアは1日に100万以上作り出されていると言われています。
たとえセキュリティソフトを入れていたとしても、マルウェア感染を100%防ぐのは困難であると言えるのが現状です。
UTMやセキュリティソフトを導入して複数層に分けてネットワークを守り、各々ネットワークリテラシーを高めましょう。
ーーーーーーーーーーーーーーーーーーーーーーーー
▼UTM導入をご検討中の方へ
セキュリティのプロが解説するUTM(統合脅威管理)導入のメリットとは?
ネットワークセキュリティ対策機器(UTM)導入までの8つのステップ
ーーーーーーーーーーーーーーーーーーーーーーーー
▼目に見えない細菌やウイルスから会社を守る最適なソリューションとは?
ーーーーーーーーーーーーーーーーーーーーーーーー
.png)
