マルウェア

マルウェアの役割とは

マルウェアは、企業やデバイスに悪影響を与えるために作られたプログラムです。その目的は、企業、デバイス、利用者に何らかの損害を与えることにあります。この悪質なプログラムは、さまざまな手法で作用し、種類によって利用者への影響が異なります。時には穏やかに作用することもあるものの、通常は利用者に不利益をもたらし、作成・拡散した攻撃者に利益をもたらす設計となっています。

‍

マルウェアの歴史

マルウェアの起源を辿ると、コンピュータ発明の時代から存在していたことが分かります。最初の汎用コンピュータが1982年に登場し、1986年には最初のマルウェアが確認されました。コンピュータ以外の領域での攻撃となれば、『Creeper（クリーパー）』の言及は欠かせません。

それは1971年、事故の結果として発生した世界初のマルウェアです。当時BBNの技術者であったRobert Thomasが、ARPANETのメインフレームを破壊する目的でCreeperを作成しました。さまざまなバージョンも存在していました。

インターネット普及以前は、ソフト、ドライブ、CD、フロッピーディスクなどを介して感染が広がっていました。1990年代にインターネットが普及すると、マルウェアの拡散・侵入は急速に広がりました。『マルウェア』という用語は、1990年代の悪名高いセキュリティ研究者Yisrael Radaiによって作られました。

初期のインターネットはセキュリティが十分でなかったため、マルウェアの拡散は容易で迅速かつ大規模に行われました。

1990年代初頭には、Microsoft Officeの著作権製品を狙ったマクロウイルスが出現しました。1990年代末には多くのウイルスやマルウェアが確認され、1987年にはJerusalemというDOS系ウイルスが、1991年には次のDOS系ウイルスが登場しました。1998年にはCIHウイルスがWindows 9xに大きな影響を与えました。

21世紀に入り、マルウェアは賢く、耐性があり、あらゆるセキュリティ対策をも回避できるほど進化しました。その発生頻度と影響は飛躍的に増加し、39秒ごとにサイバー攻撃が行われ、その多くがマルウェアのダウンロードや挿入に関係しています。

世界はこれまでにも何度もマルウェアによる攻撃に晒されました。トロイの木馬型のReginは、英国や米国の利用者に影響を及ぼし、広範な監視活動を行いました。Thanatosは直接ビットコインを狙いました。

Lockyは、ドイツだけでも1時間に5000以上のシステムへ感染し、マルウェアは常に進化しながら、新たな手段でネット利用者に影響を及ぼしています。

‍

マルウェアはどのように感染するか

マルウェア作成者は、実体や仮想のさまざまな手段を用いて、企業やデバイスに感染させます。例えば、悪質なソフトがUSBドライブで持ち込まれたり、ドライブバイダウンロードにより、利用者の許可なく自動で感染する場合があります。また、フィッシング攻撃では、正規のメールに見せかけたメッセージ内に悪質なリンクが仕込まれ、マルウェア実行ファイルをダウンロードさせる手口が用いられます。高度な攻撃では、攻撃者が感染したシステムと通信し、機密情報の窃盗や遠隔操作を行うための指揮・制御サーバーを利用します。

新たなマルウェアは、利用者だけでなく、セキュリティ管理者やアンチマルウェア製品も欺くため、回避や混乱の手法を取り入れています。一部は、プロキシ経由で悪質なトラフィックや送信元IPアドレスを隠す単純な方法ですが、より巧妙なものでは、ポリモーフィックマルウェアが自身のコードを頻繁に変更して署名検知を逃れたり、サンドボックス内で解析を回避する工夫が施されたり、ファイルを使用せずにRAM上に留まるファイルレスマルウェアも存在します。

代表的なマルウェアの種類

1. ランサムウェア

近年、データを暗号化して身代金を要求するマルウェアが増加しており、その数は日々上昇しています。ランサムウェアは、企業や医療機関、警察機関、時には都市全体に大きな影響を及ぼすことがあります。

多くのランサムウェアはトロイの木馬型で、ソーシャルエンジニアリングなどによって感染します。実行されると、短時間で利用者のファイルを探し出し、暗号化を開始するものが大半ですが、場合によっては一定時間様子を見てから暗号化を実施し、被害の規模を調整することもあります。

ランサムウェアは、感染予防が最も重要ですが、一度実行されると、適切なバックアップがなければ被害を元に戻すのは非常に困難です。調査によれば、多くの被害者の約4分の1が身代金を支払っており、そのうち約30%はデータの復号に失敗しています。万が一、データが復元可能でも、専用ツールや解読キーが必要となります。最善策は、重要なデータのオフラインのバックアップを確実に取ることです。

2. トロイの木馬

かつてPCウイルスが主流でしたが、現在はトロイの木馬型マルウェアが犯人の武器として広く使われています。トロイの木馬は、正規のソフトに見せかけながら、内部に悪質なコードを含んでいます。歴史は古く、現在のPCの多くで感染が確認されています。

トロイの木馬は、被害者が実行しなければ動作しません。通常、メールで送付されたり、感染したサイトを訪れた際に自動で実行されるため、攻撃者の意図した結果となります。最も一般的なタイプは偽のアンチウイルスソフトで、利用者にウイルス感染を装い、提示されたソフトを実行させる手法です。

遠隔操作型トロイ（RAT）は、サイバー犯罪者の間で特に人気があります。RATは、攻撃者が被害者PCを遠隔で操作し、ネットワーク内で他のシステムにも感染させることを目的としています。この手法は、検出を逃れるように設計されており、市販のツールを利用するケースも多いです。

トロイの木馬は、容易に作成でき、利用者を巧みに騙して感染を広げるため、防御が難しいとされています。毎月多数のトロイが発見され、アンチウイルス製品もその対応に追われています。

3. ワーム

ワームは、コンピュータウイルスよりもはるかに古く、中央集権型システムの時代から存在していました。1990年代後半にメールで広まり、その後も長期間、悪質なウイルスとしてPCセキュリティ専門家の標的となりました。1人の利用者がワーム感染のメールを開くだけで、企業全体に被害が拡大する可能性があります。

ワームの特徴は自己複製能力にあります。悪名高いIloveyouワームは、発生すると世界中のほぼ全てのメールクライアントに感染し、電話回線に虚偽のメッセージを大量に送信、通信事業者に負担をかけ、また、多くの企業で一日の業務が大幅に遅れる事態を引き起こしました。SQL SlammerやMS Blasterなど他のワームも、PCセキュリティ史に残る存在となりました。

ワームの危険な点は、利用者の操作を必要とせずに自動で拡散できることであり、ウイルスは利用者の動作がトリガーとなるのに対し、ワームは自発的に感染を広げます。例えば、SQL SlammerワームはMicrosoft SQLの既知の脆弱性を利用し、わずか10分で未更新のSQLサーバーに激しい負荷をかけるという記録的な事例があります。

4. ルートキット

攻撃者は、ルートキットを用いて、マルウェアを長期間検知されずにデバイス内に潜ませ、情報や資産の窃盗、通信の監視などを行います。OSベースのルートキットも恐れられますが、ファームウェアルートキットは更に危険です。いずれも自らの存在を隠し、再起動や削除を困難にします。

かつては、OSやルートキットがPCにとって大きな脅威でしたが、2006年にMicrosoft Vistaが登場し、OSの改良と共にドライバの署名が義務付けられたことで、攻撃手法が見直されるようになりました。

Kernel Patch Protection（KPP）の導入により、マルウェア作成者は高度な署名回避策を講じる必要が生じ、最も巧妙な攻撃者のみがルートキットを利用するに留まり、全体のマルウェアにおける使用率は1%未満となりました。

5. バックドア

バックドアは、OSや暗号化されたデータに通常のセキュリティ対策を迂回してアクセスする手段です。

開発者が調査用などの目的で意図的に作成する場合もありますが、攻撃者は自作や既存の脆弱なバックドアを利用することも多いです。場合によっては、ワームやウイルスが既に存在するバックドアを狙うこともあります。

バックドアは、管理ツールや攻撃手段として、また管理者が暗号化されたデータにアクセスするために利用されることもありますが、常に攻撃者が狙っているため、深刻なセキュリティリスクといえます。

2000年の記事『Who gets your trust?』で、セキュリティ専門家Carole Fennellyは次のように例えています。『高度なセキュリティシステムが備わった建物を思い浮かべてみてください。生体認証、書類検証などが行われます。しかし、作業の合間に一度だけ裏口から外に出て一服する人がいると、そのことについては誰にも分からないのです。』

6. アドウェア

アドウェアとは、ソフトが動作中に広告バナーが表示されるプログラムです。これらの広告は、ポップアップウィンドウや画面上のバーとして現れます。通常はPC向けですが、一部はモバイルでも見られます。

アドウェアは、製品開発費の回収手段として正当化されることがありますが、利用者にとっては迷惑な存在です。

PCのデータ使用量の増加、新たなツールバーの出現、検索結果のリダイレクト、閉じにくいポップアップ広告や動作の遅延などの症状が見られる場合、マルウェア感染の疑いがあります。

ほとんどのエンドポイントセキュリティ製品は、アドウェア、スパイウェア、その他のマルウェアを検出して除去できます。LavasoftのAd-AwareやBitdefenderのAdware Removal Toolなど、無料のソリューションも利用可能です。

アドウェア感染を防ぐためには、インターネットからダウンロードするソフトの種類に注意し、無料ソフトの利用規約を事前に確認するとともに、ポップアップブロッカーを利用し、信頼できないサイト上の広告はクリックしないようにすることが必要です。

7. スパイウェア

スパイウェアは、家族や知人のPC活動を監視するために使われることが多いですが、特定の攻撃においては、キーストロークの記録やパスワード、機密情報の窃盗に利用されることもあります。

アドウェアやスパイウェアは、目的が比較的軽微なため、除去は容易です。悪質な実行ファイルを見つけ、実行を停止すれば対処できます。

しかし、本当の問題は、これらがソーシャルエンジニアリング、未更新のソフト、またはその他の根本的な脆弱性を利用して、システムや利用者に侵入する手段として用いられる点です。アドウェアやスパイウェアの存在は、システムや利用者に何らかの欠陥があるサインであり、早急に対策を講じる必要があります。

8. クリプトジャッキング

クリプトジャッキングは、他者のPCを無断で利用し、暗号通貨の採掘を行う手法です。攻撃者は、被害者に悪質なリンクをクリックさせるか、サイトや広告に悪質なJavaScriptコードを埋め込むことで、PC上で採掘プログラムを自動実行させます。

その後、採掘コードはバックグラウンドで動作し、利用者が通常通りPCを使用している間に、PCの処理速度の低下などの影響をもたらします。

攻撃者は、フィッシングなどにより採掘コードを感染させるか、またはサイトや広告に直接コードを埋め込みます。いずれの手法でも、コードは複雑な計算を行い、その結果を攻撃者が管理するサーバへ送信します。

9. マルバタイジング

マルバタイジングは、正規の広告や広告ネットワークを利用して、被害者のPCに密かにマルウェアを送り込む手法です。例えば、サイバー犯罪者が正規サイトに広告を掲載し、利用者がその広告をクリックすると、悪質なサイトへ誘導されたり、PCにマルウェアが仕込まれたりします。場合によっては、利用者の操作なしにマルウェアが実行される「ドライブバイダウンロード」が発生することもあります。

また、実際の広告ネットワークを買収し、多くのサイトに広告を配信させる手法も確認されています。このため、ニューヨーク・タイムズ、Spotify、ロンドン証券取引所などの大手サイトが被害に遭うケースもあります。

サイバー犯罪者の目的は金銭を得ることです。マルバタイジングを通じ、ランサムウェア、暗号採掘コード、バンキングトロイなど、さまざまな収益化マルウェアが配信される可能性があります。

‍

実際のマルウェア事例

多くのマルウェア攻撃は、被害が明らかになる前に密かに行われますが、時には非常に大規模で深刻な影響を及ぼすこともあり、世界中に衝撃を与えます。以下は代表的な事例です。

マルウェアの歴史は1960年代に始まります。当時、攻撃者は特に目的もなくPCウイルスを作成し、無害なメッセージを表示させ、それが他のPCに感染しました。しかし、1980年代後半になると、ウイルスは実際に被害を及ぼすようになりました。代表例のウィーンウイルスは、情報を破壊し、ファイルを消去し、世界初のアンチウイルスソフト誕生の契機となりました。

2017年、WannaCryが出現し、瞬く間に史上最大のランサムウェア攻撃となりました。150か国に拡散し、1時間に1万台以上のPCへ感染、政府、医療機関、大学などが被害を受け、被害額は推定40億ドルにのぼりました。

同じく2017年、PetyaやNotPetyaといったランサムウェアも登場し、世界中に拡散しました。特にウクライナでは公共銀行が標的となり、大きな被害をもたらしました。Petyaによる被害総額は世界で約100億ドルに達しました。

また、2017年はサイバーセキュリティにとって厳しい年となりましたが、Equifaxのデータ流出事件は、これまでで最も破壊的な情報流出事件の一つです。Equifaxは、社会保障番号、クレジットカード情報、ローンやその他の金融情報、住所、生年月日など、極めて機密性の高い個人情報を管理しており、今回の攻撃により1億4300万人分の個人情報が流出しました。米国在住、または米国で勤務したことがある場合、この影響を受けた可能性があります。

2020年、COVID-19パンデミックが世界を揺るがす中、サイバー犯罪者はこの状況を利用しました。WHOを嘲るものから、偽のリモート雇用募集まで、フィッシングを用いてマルウェアを送信し、機密情報を窃取、詐欺などに利用する事例が多数報告されています。サイバー犯罪者の破壊力は留まるところを知りません。

‍

マルウェアの検知方法

多くの場合、PCがマルウェアに感染していることに気づくのは、取り返しのつかない状態となった後です。アンチウイルスソフトが未導入、または古い状態であったり、疑わしいサイトを訪れるなど利用者側の行動が原因となる場合が多いです。

マルウェアは急速に進化しており、利用者を騙して感染させる手口も巧妙化しています。攻撃により、音楽、写真、動画、文書などの大切なデータがあっという間に失われることや、PCが操作不能になったり、ウェブ閲覧が監視されて個人の金融情報が盗まれる可能性があります。

以下は、PCがマルウェアに感染した場合によく見られる症状です。これらの兆候を把握することで、早期にマルウェアを除去し、PCおよびデータへの被害を防ぐことができます。

注意すべき症状

1. 画面に不審なポップアップが表示される

画面に通常とは異なるポップアップが現れる場合、マルウェアによる攻撃の疑いがあります。アドウェアは、ポップアップを引き起こすマルウェアの一種で、さらに危険なソフトを侵入させる手段として用いられます。

もし追加のソフトをダウンロードすると、ファイルの消去や情報の窃盗が発生する恐れがあります。一部のポップアップは、単に迷惑な広告を表示するためだけの場合もあります。こうしたマルウェアは、信頼性の高いアンチウイルスソフトで除去するのが望ましいです。

2. PCの動作が遅くなり、操作が困難になる

マルウェアはPCのリソースを大きく消費するため、CPUやメモリに負荷がかかり、動作が遅くなったり、操作不能になることがあります。ネットワーク帯域を占有してウェブ閲覧に支障をきたす場合もあります。

もしPCの動作が急に遅くなった場合は、信頼性の高いアンチウイルスソフトを導入し、背景で動作しているマルウェアの除去に努める必要があります。

3. ファイルが消失または勝手に削除される

マルウェア感染により、ファイル名が変更されたり、ファイルが他のフォルダに移動されたり、場合によっては完全に削除されることがあります。

このような現象が発生している場合は、迅速に信頼性の高いアンチウイルスソフトを導入し、対策を講じる必要があります。

4. 企業の場合

世界中で企業やデバイスへのマルウェア攻撃が増加しています。攻撃者は新たなマルウェアの変種を次々と生み出し、エンドポイントを狙っています。攻撃の量だけでなく、その高度化も進んでいます。

こうした場合、Comodo Advanced Endpoint Protection (AEP)は、ゼロデイ攻撃を含むあらゆるマルウェア攻撃に対して包括的な対策を提供する最適なソリューションです。Comodo AEPの内蔵エンジンは、未知のファイルやマルウェアを仮想環境内に安全に隔離します。

各マルウェアはそれぞれ独自の方法で被害を引き起こし、通常は利用者の操作などに依存して拡散します。メールで送られたリンクや実行ファイル、テキストやWebコンテンツ経由など、さまざまな手段があり、スマートフォンも例外ではありません。各組織は、脆弱性を把握し、効果的な防御策を講じる必要があります。

‍

マルウェアを除去する簡単な方法

ここまでマルウェアやその特徴について理解していただいたので、セキュリティ対策として、防御ツールと利用者の注意という2点に焦点を当てます。防御ツールは、常に自動でアップデートされる優れたアンチマルウェアソフトの導入が容易であり、利用者は魅力的なサイトや不安に駆られて不用意にクリックしないよう、正しい知識を持つことが大切です。

予防のためのポイント

1. マルウェアの場合、予防は治療に勝ります。良識を持ち、基本的な対策を守ることで、不正なソフトとの遭遇確率を大幅に低減できます。

2. インターネット上では見知らぬ人物を信用せず、ソーシャルエンジニアリングによる不審なメッセージ、ウィンドウ、偽のプロフィール、魅力的なオファーなどに注意してください。怪しい場合は、リンクをクリックしないようにしましょう。

3. ダウンロードするファイルが正当なものであるか、レビューやコメントを参考に確認してください。マルウェアは公共Wi-Fiや偽のオンラインショップなど、さまざまな場所に潜んでいます。

4. 広告ブロッカーを導入してください。マルバタイジングによる感染が増加しており、どの広告が悪質か把握が難しいため、信頼のおけるブロッカーで全広告を遮断するのが安全です。

5. 閲覧するサイトに注意してください。セキュリティ対策が不十分な小規模サイトではマルウェアが潜んでいる可能性が高いため、大手で信頼性のあるサイトを利用することで感染リスクを大幅に抑えられます。

6. 残念ながら、上記の対策を講じても、攻撃者が巧妙な手口でマルウェアを仕込む可能性はゼロではありません。最善の防御策は、良いオンライン習慣と、AVG AntiVirus FREEなど信頼性の高いアンチマルウェアソフトを組み合わせ、PC、Mac、モバイル各端末に感染する前に早期検出・防御することです。

マルウェア除去

マルウェアは、発見が遅れると深刻な被害をもたらします。重要なデータの盗難や管理権限の乗っ取りなど、多くの事態が発生する可能性があるため、確実な除去が最優先事項となります。

幸い、除去方法はいくつかあり、PC、スマホ、その他のデバイスでも効率よく対処できます。

WindowsまたはMacでのマルウェア除去

WindowsやMacからマルウェアを除去するのは、複数の手順と戦略的なアプローチが要求される手間のかかる作業です。以下に基本的な除去方法を示します。

• インターネット接続を切断する

マルウェアの存在に気づいたら、まずデバイスのインターネット接続を遮断してください。ルーター、データカード、その他の接続手段を停止します。

インターネットはマルウェア配布の主要な手段です。一部のマルウェアは、データ送信などにネット接続を必要とするため、切断することで攻撃者との通信を遮断し、被害を抑えられます。

• セーフモードで起動する

セーフモードは、制限された機能でシステムを起動する方法です。該当PCをセーフモードで起動し、ブートしてください。機種によって手順が異なります。

例えば、Macでは再起動後にShiftキーを押し続けるとセーフモードに入り、画面が表示されたらパスワードを入力します。

Windowsの場合は、Ctrl + F8を長押しし、表示されるメニューから『セーフモード（ネットワークなし）』を選んでください。

セーフモードで起動できれば、システムの全ファイルがマルウェアに感染していない可能性があり、除去が容易になります。もしセーフモード起動が困難な場合は、PCの初期化を検討してください。

• マルウェアスキャナーを使用する

USBメモリなどを用いてアンチウイルスソフトをインストールし、スキャンを実施して脆弱性を確認してください。できれば複数のソフトで詳細に検出すると良いでしょう。

• デフォルトのブラウザを変更する

マルウェアは既定のブラウザを狙うため、現在のブラウザをアンインストールし、最新版の別のブラウザを導入してください。アンインストール時は、キャッシュも削除することを忘れずに。

• 除去完了を再確認する

通常通り起動・再起動し、マルウェアが完全に除去されているかを確認してください。動作速度やシステムの挙動に異常が見られた場合は、再度スキャンすることを推奨します。

‍

PCの初期化

この方法は、感染したデバイスに保存された全データ、ソフト、ファイルを一掃する手法です。複雑なシステムの場合、マルウェアの検出は非常に手間がかかり、場合によっては数ヶ月を要することもあります。

致命的なマルウェアの場合、除去が1日でも遅れると大きな被害に繋がるため、PCやデバイスの完全な初期化が最適な対策となります。以下、その手順です。

• 新しい、またはクリーンなPCを使ってバックアップを作成してください。ISOファイルをダウンロードし、ブート可能なフラッシュドライブを作成します。

• 感染したPCから、外付けハードディスクやクラウドを利用してデータのバックアップを取得してください。

インターネットリカバリやUSBドライブから起動し、内部ハードディスクにOSを再インストールしてデータを上書きします。

再度内部ドライブから起動し、セットアップを完了させてください。

インストール後、まずアンチウイルスソフトを導入し、バックアップからデータを復元、ウイルスチェックを行ったうえで通常通り使用してください。

‍

AndroidまたはiOSでのマルウェア除去

AndroidとiOSは狙われやすいOSです。各OS向けのマルウェアは多岐にわたりますが、PCと同様の除去方法は通用しません。スマホの場合、以下の手順が基本です。

• 感染したデバイスを再起動し、一時的なウイルスを除去する。
• 疑わしいアプリをアンインストールし、付与されている権限を確認。不要な権限は制限する。
• 異なるネットワークに切り替える。場合によっては、特定の回線に関連するマルウェアも存在するため。
• Gmail、Google Drive、iCloudなどの主要アカウントのパスワードを変更する。以前のパスワードが弱い場合は、今回は強固なものに設定する。MFAまたは2FAの採用が推奨される。
• 上記対策を行っても異常が続く場合は、デバイスの初期化を実施する。

‍

結論

強固な利用者対策と、Wallarmのような信頼性の高いマルウェア対策ソリューションを用いて、ネットワーク、メール、Webリクエスト等を常に監視すれば、マルウェアが被害を及ぼす確率は大幅に下がります。