IT用語集

マルウェアの種類と脅威、効果的な対策とは

水色の背景に六角形が2つあるイラスト 水色の背景に六角形が2つあるイラスト
アイキャッチ
目次

2023年11月28日 www.soliton.co.jp より移設

不正アクセスや情報窃取の手段として使われる「マルウェア」は、個人の端末だけでなく、企業・組織のネットワークやデバイスにも侵入し、データの暗号化や認証情報の窃取、遠隔操作などを狙います。マルウェアは種類によって侵入方法や目的、症状が異なるため、まずは代表的なタイプと特徴を理解し、複数の対策を組み合わせて備えることが重要です。

この記事では、マルウェアの定義と主な種類、侵入経路と脅威のポイント、そして「侵入を防ぐ/侵入しても広げない/被害を最小化して復旧する」という観点で、実務に落とし込みやすい対策を整理します。読了後には、自社の状況で優先すべき対策(更新運用、入口対策、権限管理、監視、バックアップなど)を判断できるようになります。

マルウェアとは

この章では、マルウェアの定義と、混同しやすい用語との違いが分かります。

マルウェアとは、「malicious software(悪意のあるソフトウェア)」の総称です。情報の窃取、破壊、改ざん、暗号化、遠隔操作など、不正かつ有害な動作を目的として作られたソフトウェアやプログラムを指します。一般に「コンピュータウイルス」もマルウェアの一種です。

マルウェアが引き起こす代表的な被害

マルウェア被害は「感染したら終わり」ではなく、侵入後に何をされるかで影響が大きく変わります。代表的には次のような被害につながります。

  • 認証情報の窃取:ID・パスワード、トークン、クッキーなどが盗まれ、不正ログインや横展開の起点になる
  • データの暗号化・破壊:ランサムウェアによる暗号化、データ消去により業務停止を招く
  • 遠隔操作・潜伏:バックドアを作られ、追加の侵入や情報窃取が継続する
  • なりすまし・不正送金:メールやチャットを乗っ取られ、取引先を含む被害に発展する

マルウェアと混同しやすい概念

実務上は、次のような用語が「マルウェア」と混同されやすいため整理しておくと理解が進みます。

  • フィッシング:利用者をだまして認証情報やカード情報を入力させる手口(攻撃手法)であり、マルウェアそのものではありません。ただし、フィッシングメールがマルウェア感染の起点になることは多くあります。
  • ハッキングツール:侵入や情報窃取に使われるツールの総称です。ツール自体が不正目的で配布・利用される場合もありますが、すべてがマルウェアとは限りません(状況によっては不正プログラムとして扱われます)。

マルウェアの種類

この章では、代表的なマルウェアのタイプと「何をするのか」「どう広がるのか」の違いが分かります。

マルウェアにはさまざまな種類があります。ここでは代表的なタイプを「何をするのか」「どう広がるのか」という観点で整理します。

ウイルス

「ウイルス(コンピュータウイルス)」は、ファイルやプログラムに寄生し、実行をきっかけに感染を広げるタイプのマルウェアです。破壊行為や情報窃取、システム改ざんなど目的は多岐にわたります。

ワーム

「ワーム」は自己複製して増殖し、ネットワーク経由で感染を拡大しやすい点が特徴です。脆弱性の悪用などにより自動的に拡散し、短時間で広範囲に被害が広がることがあります。

トロイの木馬

「トロイの木馬」は一見無害なソフトウェアやファイルを装い、利用者に実行させることで侵入するタイプです。ウイルスやワームと異なり、基本的には自己複製しないため、拡散は別の手段(メール添付、ダウンロード、他のマルウェアによる展開など)に依存します。

ランサムウェア

「ランサムウェア」は、端末内のデータを暗号化したりシステムを利用不能にしたりしたうえで、復旧と引き換えに金銭(身代金)を要求するタイプです。企業活動の停止や取引先への影響につながりやすく、感染後の対応が重くなりがちです。

バックドア

「バックドア」は、正規の認証を迂回して侵入・操作できるようにするための不正な仕組みです。攻撃者が長期間にわたり潜伏し、追加のマルウェア展開や情報窃取、遠隔操作の拠点として利用することがあります。

スパイウェア

「スパイウェア」は、利用者に気づかれにくい形で端末内の情報(閲覧履歴、入力情報、端末情報など)を収集し、外部へ送信するタイプです。被害が表面化しにくく、長期間の情報流出につながる恐れがあります。

キーロガー

「キーロガー」は、キーボード操作を記録することで、ID・パスワードや機密情報の入力内容を盗み取る目的で使われます。ソフトウェアとして仕込まれるケースもあれば、物理的に端末へ仕掛けられるケースもあります。

ルートキット

「ルートキット」は、侵入後に権限を維持しつつ、検知や解析を妨げるための機能を組み合わせたものです。侵入の痕跡を隠したり、セキュリティ機能を無効化したりするなど、気づかれにくい挙動が特徴です。

ファイルレスマルウェア

「ファイルレスマルウェア」は、端末に目立つファイルを書き込まず、OSに元から備わっている機能やツールを悪用して、主にメモリ上で不正コードを実行するタイプです。従来の「ファイルを検査する」だけの対策では見逃されやすいことがあります。

マルウェアの脅威

この章では、侵入経路の典型と、企業・組織で被害が大きくなりやすい理由が分かります。

マルウェアはネットワーク経由で侵入するケースが多く、オンラインが前提となった業務環境では、感染の入口が日常の業務フローの中に紛れ込みやすくなっています。特に注意したいのは、次のような侵入経路です。

脆弱性の悪用

OSやアプリケーション、周辺機器のファームウェアなどにある脆弱性が悪用されると、利用者が気づかないうちに侵入されることがあります。更新の遅れはそのままリスクになります。また、修正プログラムが提供される前の脆弱性を突く「ゼロデイ攻撃」も存在するため、更新だけでなく多層的な防御が重要です。

メールやWebを起点とした侵入

添付ファイルの実行、URLクリック、偽サイトへの誘導などを通じて、マルウェアの実行や追加ダウンロードが行われることがあります。フィッシングはマルウェアではありませんが、感染の入口として非常に多く使われます。

サプライチェーンや不正な改変

正規の配布経路やツール、更新プロセスが悪用され、利用者が「正しいもの」と信じて導入したソフトウェアが結果的に侵入経路になるケースもあります。こうしたリスクは、個別の利用者の注意だけでは防ぎきれないため、組織的な対策が必要です。

物理的な侵入

物理セキュリティが不十分な場合、第三者が端末に直接アクセスし、設定変更や不正な仕込み(例:キーロガー)を行うこともあります。情報セキュリティはネットワーク対策だけで完結しません。

侵入後に被害が広がる要因

企業・組織では、ひとつの端末感染が「認証情報の窃取」や「権限悪用」によって、共有サーバーやクラウドへ波及しやすい点が問題になります。特権アカウントの使い回し、権限過多、端末とサーバーの分離不足、監視の手薄さなどが重なると、感染が“点”から“面”へ広がります。

マルウェアへの効果的な対策

この章では、実務で組み合わせるべき対策を「侵入を防ぐ/広げない/復旧する」で整理できます。

マルウェア対策は「これだけやれば安心」という単一の施策では成立しません。侵入を防ぐ、侵入しても広げない、被害を最小化して復旧する、という観点で対策を組み合わせることが重要です。

OS・ソフトウェアを最新の状態に保つ

基本対策として、OSやアプリケーション、ファームウェアを常に最新の状態に保ちましょう。更新プログラムは早めに適用し、既知の脆弱性を塞ぐことが予防策になります。更新を「任意の作業」にしないために、運用ルールと適用状況の可視化も重要です。

更新運用が機能しないと起きやすいこと

更新が後回しになりやすい環境では、同一の脆弱性が長期間残り、攻撃の成功確率が上がります。特に外部公開部分だけでなく、端末、周辺機器、VPN機器、管理ツールなどの更新漏れは侵入の起点になり得ます。

エンドポイント対策(アンチウイルス/EDRなど)を適切に運用する

セキュリティ対策ソフトを導入して終わりにせず、常時稼働、定義ファイルやエンジンの更新、検知時の通知、隔離・遮断のルールなど、運用まで含めて整備しましょう。特にファイルレス型など検知が難しい脅威への備えとして、端末の挙動を監視し、異常を検知・調査できるEDRの導入は有効な選択肢になります。

検知後の動きが決まっていないと、被害が止まらない

検知アラートが出ても、連絡先や一次切り分け、隔離手順、復旧判断が曖昧だと対応が遅れます。ツールの導入と同時に「誰が、どこまで、何分以内に、どう止めるか」を決めておくことが、現場の実効性につながります。

メール・Webの入口対策と利用者教育

不審な添付ファイルを不用意に開かない、送信元が巧妙に偽装されていないか確認する、安易にURLへアクセスしない、といった基本動作は依然として重要です。そのうえで、迷惑メールフィルタなどの技術的対策と、定期的な教育・注意喚起を組み合わせ、日常業務の中で判断できる状態を作りましょう。

「気をつける」だけに寄せない

利用者教育は重要ですが、判断を個人の注意力だけに依存すると限界があります。入口対策は、フィルタや隔離、URL検査などの技術的対策と併用し、業務上の例外(取引先からの添付、緊急対応)も含めて運用に落とし込みます。

権限管理と分離、復旧の備え

侵入後の被害拡大を抑えるために、不要な管理者権限を与えない、特権アカウントの利用を最小化する、ネットワークを分離して横展開を起こしにくくする、といった設計が効果的です。また、ランサムウェアなどに備え、バックアップと復旧手順を整え、定期的に検証しておくことが被害の最小化につながります。

バックアップは「取っている」だけでは不十分

バックアップがあっても、復旧手順が未整備だったり、復旧に必要な情報がそろっていなかったりすると、復旧が長期化します。復旧に要する時間の見積もり、復旧優先順位、復旧演習まで含めて「使える備え」にすることがポイントです。

マルウェアは、ソフトウェア導入に付随して紛れ込むケースだけでなく、メールやWebを起点に実行されるもの、脆弱性悪用で自動感染するものなど多様です。最新の脅威動向を踏まえつつ、技術対策と運用対策を組み合わせて継続的に見直していきましょう。

マルウェアとは何ですか?

マルウェアは、情報窃取や破壊、暗号化、遠隔操作など、不正かつ有害な動作を目的に作られた悪意のあるソフトウェアの総称です。

ウイルスとワームの違いは何ですか?

ウイルスはファイルなどに寄生し、実行をきっかけに広がることが多い一方、ワームは自己複製してネットワーク経由で感染を拡大しやすい点が特徴です。

トロイの木馬はなぜ厄介なのですか?

無害なファイルやソフトに見せかけて実行させるため、利用者が気づきにくい点が厄介です。自己複製はしませんが、侵入の起点になり得ます。

フィッシングはマルウェアですか?

フィッシングは利用者をだまして情報を入力させる攻撃手法であり、マルウェアそのものではありません。ただし感染の入口として使われることは多いです。

ゼロデイ攻撃とは何ですか?

修正プログラムが提供される前の脆弱性を突いて侵入する攻撃です。更新だけでなく多層的な防御を組み合わせることが重要になります。

ファイルレスマルウェアはなぜ検知しにくいのですか?

目立つファイルを残さず、OS標準の機能などを悪用してメモリ上で不正コードを実行するため、ファイル検査だけの対策では見逃されやすいことがあります。

EDRはどんなときに役立ちますか?

端末の挙動を監視し、侵入後の不審な動きの検知や調査、封じ込めに役立ちます。ファイルレス型などにも備えやすくなります。

アップデートはどれくらい重要ですか?

非常に重要です。既知の脆弱性が放置されると侵入経路になり得るため、更新を運用として継続的に実施する必要があります。

メール対策として、まず何を徹底すべきですか?

不審な添付ファイルを開かない、安易にURLをクリックしない、送信元の偽装を疑うといった基本動作を徹底し、フィルタなどの技術対策と併用します。

感染した場合に備えて、平時にやるべきことは何ですか?

バックアップと復旧手順の整備と検証、権限管理の見直し、ネットワーク分離など、被害を最小化して復旧できる体制を準備しておくことが重要です。

記事を書いた人

ソリトンシステムズ・マーケティングチーム

申込受付中 イベント&セミナー 医療情報セキュリティ GIGAスクールも校務DXもソリトンでまとめて解決 2025年度 セキュリティ実態調査

ピックアップ Pick up

Pick up一覧

タグ Tag

金融 流通・小売 医療 エネルギー 運輸 サービス 情報通信 中央省庁・独法 自治体・地方公共団体 教育・文教 認証 エンドポイント ネットワーク ゼロトラスト 販売店インタビュー メーカーインタビュー セミナーレポート 展示会・フェアレポート サイバーセキュリティ リモートアクセス テレワーク 社内LAN 無線LAN プロダクト検証 サプリカント設定 技術解説記事 調査報告 Windows iOS macOS Android ChromeOS DHCP/DNS Soliton OneGate NetAttest EPS NetAttest D3 SmartOn ID InfoTrace 360 Soliton SecureBrowser Soliton SecureDesktop WrappingBox FileZen S VVAULT コラム 調査レポート目次 Soliton SecureWorkspace HiQZen 外部リンク
強固な認証で企業ネットワークを安全に 止まらないネットワークを実現する SSW 1/10程度のコストで実現 ゼロトラストを実現するIDaaS

関連記事

Related Article