マルウェア対策とは？特徴や種類、感染経路を理解し、事前・事後対策する方法を紹介

マルウェアとは、「malicious software(悪意のあるソフトウェア)」の略語で、それに感染したPCやスマホが、ユーザーの意図しない動作を引き起こしたり、機能を使用不能にしたりするソフトウェアやプログラムを指します。マルウェアには、私たちが聞きなれているコンピューターウイルスや、あとで紹介する「トロイの木馬」や「ワーム」なども含みます。
このマルウェアによる被害は世界中で発生しています。攻撃者の目的も、自身の技術を試すためのもの、ランサムウェアのように金銭の要求をするもの、政治的な影響を含むものなどとさまざまです。

マルウェアは、特徴によっていくつかのタイプにわかれています。基本的な3種類は、「ウイルス」、「ワーム」、「トロイの木馬」です。さらに、これらの組み合わせにより、さまざまな種類のマルウェアが存在します。ランサムウェアやシステム破壊型マルウェア、ファイルレスマルウェアといったものが最近話題になっています。

宿主のプログラムを書き換えて自己増殖をすることが病気のウイルスに似ていることから名づけられました。ウイルスの特徴は、単体では存在できず、プログラムに寄生して悪影響を与えること、自己複製を行いほかのデバイスに感染することがあげられます。

事例：Emotet
メールに添付したWordファイルのマクロを利用して感染を広げます。Zipファイルはメールスキャンが無効化されるため、Zip化の習慣がある日本が狙われました。

マルウェアのなかでも代表的なものがワームです。ワームの特徴は、プログラムに寄生せず単独で悪影響を与えることや、自己複製を行いほかのデバイスに感染することがあげられます。例えば、感染したPC上にワームが自身のコピーを作成したのち、自己複製で増やしたワームを感染しているPCの外に送って感染端末をさらに増やすといった具合です。
短期間に爆発的に増殖してしまうこともあり、過去のマルウェアの感染数リストで上位のほとんどをこのワーム型が占めています。

事例：WannaCry
ランサムウェアにワームの機能がついており、爆発的なスピードで世界中に感染をもたらしました。

WannaCryについてはこちらもご覧ください。
＞＞WannaCry（ワナクライ）とは？仕組みや感染した場合の被害、対策について解説のページへ

ギリシャ神話に登場するトロイの木馬が名前の由来となっているマルウェアです。無害なソフトウェアに偽装してユーザーにインストールをさせることで感染します。トロイの木馬の特徴は、プログラムに寄生せず単独で悪影響を与えること、自己複製する機能はもっていないことがあげられます。感染先に長い間潜み、攻撃者がアクセスできるバックドアをつくることによって、外部からの操作や情報を盗み出すことができるマルウェアです。
感染に気づくことがむずかしいため、セキュリティソフトなどでスキャンを実行して発見する必要があります。

事例：遠隔操作事件
感染したPCが遠隔操作され、掲示板などに犯罪予告が投稿されました。所有者の誤認逮捕につながりました。

身代金をあらわすランサムとソフトウェアを合わせた造語です。最近では、「Darksideランサムウェア」が話題になり耳にされた方も多いかと思います。語源のとおり、身代金を要求するマルウェアです。感染したPCのファイルやデータを読みとり不可能な状態にして、復元の条件として、金銭を要求する仕組みになっています。感染数を多くすることを狙っているため、ワームと同様の特徴をもつタイプが多いです。

ランサムウェアについてはこちらもご覧ください。
＞＞ランサムウェアとは？種類や被害事例、感染を防ぐための対策まで詳しく解説のページへ

データやシステムの破壊を目的としたマルウェアで、代表的なものとして「Wiper」があげられます。「Wiper」は、破壊を行いながら、自分自身の痕跡も消すという特徴があります。「Wiper」をはじめ「Shamoon」、「Narilam」といったシステム破壊型マルウェアは、中東をターゲットに攻撃を仕掛けました。金銭的な要求が動機ではなく、数としては比較的少ないですが、破壊されたデータの復元が困難なため被害の大きなマルウェアです。

マルウェアの感染の多くは、メールやWebサイトを経由することで起こります。メールに添付されているファイルやURLを開くことによる感染や、Webサイトに埋め込まれたファイルをダウンロードした際に感染することが考えられます。
フリーソフトから感染するパターンもあります。便利な機能をもったフリーソフトのなかにも、実は悪意をもったファイルやソフトが存在します。つい便利だからといって感染リスクを考えずにダウンロードしてしまうと感染してしまうことにつながります。
フリーソフトと同様にスマホの場合は無料アプリから感染するパターンがあります。感染するとアプリを利用する目的と関係のない動作の確認を求められる場合があります。万が一、連絡先や位置情報などの確認を要求された場合は、提供元を確認し、怪しければインストールを考え直したほうがいいかもしれません。
そのほかの経路としては、外部記録媒体からの感染もあります。USBメモリなどの記録メディアでPCに侵入し、Windowsの自動実行機能を使用することでマルウェアをインストールさせます。

マルウェアへの感染経路として最近多いのは、無料のアプリやソフトのインストールです。この対策として、ダウンロードやインストールを行う際には、配信元が信用できるかどうかを十分に確認することが必要です。会社でPCを配給されている場合は、インストール可能なソフトウェア一覧が指定されていることもありますので、一覧を参照するとよいでしょう。
ネットワークセキュリティで予防することも重要です。ファイアウォールやIPS／IDS、ウイルススキャン製品などを導入すれば、マルウェアが潜んでいるWebやメールを事前に除外し、ユーザーが誤ってマルウェアに感染する可能性を下げることができます。
マルウェアは脆弱なつくりを狙って感染する場合もあります。OSやソフトウェアは機能追加などで更新が発生しますが、その際にセキュリティ面での更新も含まれています。システムのアップデートについては、こまめに確認して、最新のバージョンにアップデートをすることが必要です。

マルウェアの感染は気づきにくいことも多いため、セキュリティソフトを使うことで手間をかけずにマルウェア対策を行うことも選択肢の一つです。ソフトのインストール時に表示される警告や、定期的なスキャンの実行により、端末に潜むマルウェアの発見と除去などを自動的に行うことができます。
ほかにも、標的型メールの訓練や、マルウェア感染に関する教育を実施することで、意識を高めていく取り組みも重要な対策の一つです。

PCの動作が重かったり、身に覚えのない動作をしていたりというように、気がついたらマルウェアに感染しているという可能性はゼロではありません。ここでは万が一感染した場合の対応方法ついてご紹介しておきます。

マルウェアに感染したことに気づいたら、感染した端末をまずはネットワークから切断します。マルウェアは、ネットワークを介して、ほかの端末への感染を拡大させたり、不正なアクセスを行ったりするため、被害の拡大を防ぐことにつながります。
企業で使っている端末の場合、セキュリティ担当やCSIRTなどへの連絡を行うことも必要になります。同じインターネットを利用している場合、すでにほかの利用者の端末にも感染している可能性があるためです。

次に、起動しているアプリやファイルを確認して、身に覚えのないアプリやソフトを削除します。セキュリティツールを使ってフルスキャンを実施することで、マルウェアの検出・除去を網羅的に実行することができます。
感染した場合でも、セキュリティソフトやワクチンソフトを使用することでマルウェアの除去ができる可能性があります。主要なセキュリティ対策ソフト会社では無料で使えるワクチンソフトを提供していますので、ダウンロードしてマルウェアが除去できるか試してみるのもよいでしょう。しかし、マルウェアによっては、インターネットからのダウンロードを制限していることも多いため、その場合には記録メディアで物理的にセキュリティソフトをインストールすることで対処できます。

企業の場合、マルウェア感染によって、情報漏洩があったかどうかという調査が必要になります。そのような調査はフォレンジックと呼ばれており、セキュリティ会社に依頼することで対応してもらうことが可能です。

マルウェアは日々新しいものが開発されており、気づいたら感染していたということがありえます。感染を防ぐために、怪しいソフトウェア、ファイル、URLなどにふれないようにし、提供元が安全だと確認できたものだけを利用することが重要です。感染した場合でも即座に検知できるようにセキュリティソフトを導入しておくことで、感染の被害が広がらないようにしなければなりません。そして、万が一データが救出できない状況であっても困らないように、こまめにバックアップをとっておくことも必要な対策といえます。

SHIFTグループのセキュリティ専門会社SHIFT SECURITYでは、緊急対応専用窓口を用意しています。マルウェアの感染の疑いがあった場合、インシデントの初動対応や改善提案を受けつけております。感染が判明し、初動対応が済みましたら、お気軽にご連絡ください。専門家が、速やかに対応させていただきます。

SHIFT SECURITY社　緊急対応専用窓口はこちら