マルウェアの種類と脅威、効果的な対策とは

2023年11月28日 www.soliton.co.jp より移設

不正アクセスや情報窃取の手段として使われるマルウェアは、個人の端末だけでなく、企業・組織のネットワークやデバイスにも侵入し、データの暗号化、認証情報の窃取、遠隔操作などを狙います。対策を考えるうえで先に押さえたいのは、マルウェアには種類ごとに侵入方法と被害の出方の違いがあること、そして対策は「侵入を防ぐ」「侵入後の拡大を抑える」「復旧しやすい状態を維持する」の3つに分けて考えた方が整理しやすいことです。

• 侵入を防ぐ対策：脆弱性の解消、メール・Web経由の侵入対策、利用者教育
• 拡大を抑える対策：権限の見直し、ネットワーク分離、EDRなどによる監視
• 復旧しやすくする対策：データのバックアップ、復旧手順の整備、定期的な確認

マルウェアとは

マルウェアとは、「malicious software（悪意のあるソフトウェア）」の総称です。情報の窃取、破壊、改ざん、暗号化、遠隔操作など、不正かつ有害な動作を目的として作られたソフトウェアやプログラムを指します。一般に「コンピュータウイルス」はマルウェアの一種として扱われます。

代表的な被害

マルウェアが問題になるのは、侵入そのものより、侵入後にどのような操作を許してしまうかです。代表的な被害は次のとおりです。

• 認証情報の窃取：ID、パスワード、トークン、クッキーなどが盗まれ、不正ログインや横展開の起点になる
• データの暗号化や破壊：ランサムウェアによる暗号化やデータ消去で業務停止につながる
• 遠隔操作や潜伏：バックドアを作られ、追加侵入や情報窃取が継続する
• なりすましや不正送金：メールやチャットが悪用され、取引先を含む被害へ発展する

混同しやすい用語

• フィッシング詐欺：利用者をだまして認証情報やカード情報を入力させる手口であり、マルウェアそのものではありません。ただし、感染のきっかけとして使われることは多くあります。
• ハッキングツール：侵入や情報窃取に使われるツールの総称です。すべてがマルウェアに当たるわけではありませんが、不正目的で利用される場合は侵害行為の一部になります。

マルウェアの主な種類

マルウェアは一種類ではありません。何をするのか、どのように広がるのかで見分けると整理しやすくなります。

ウイルス

ウイルスは、ファイルやプログラムに寄生し、実行をきっかけに感染を広げるタイプのマルウェアです。破壊、改ざん、情報窃取など、目的は一つではありません。

ワーム

ワームは自己複製して増殖し、ネットワーク経由で感染を広げやすい点に特徴があります。脆弱性の悪用などにより、自動的に拡散することがあります。

トロイの木馬

トロイの木馬は、一見すると無害なソフトウェアやファイルを装い、利用者に実行させて侵入するタイプです。基本的には自己複製しないため、メール添付やダウンロードなど別の経路に依存して広がります。

ランサムウェア

ランサムウェアは、端末内のデータを暗号化したりシステムを利用不能にしたりしたうえで、復旧と引き換えに金銭を要求するタイプです。企業活動の停止や取引先への影響につながりやすくなります。

バックドア

バックドアは、正規の認証を経ずに侵入や操作を行えるようにする不正な仕組みです。長期間にわたり潜伏し、追加のマルウェア展開や遠隔操作の足場として使われることがあります。

スパイウェア

スパイウェアは、利用者に気づかれにくい形で端末内の情報を収集し、外部へ送信するタイプです。閲覧履歴、入力情報、端末情報などが対象になることがあります。

キーロガー

キーロガーは、キーボード操作を記録し、ID・パスワードや機密情報の入力内容を盗み取る目的で使われます。ソフトウェアとして仕込まれる場合もあれば、物理的に端末へ取り付けられる場合もあります。

ルートキット

ルートキットは、侵入後に権限を維持しつつ、検知や解析を妨げるための機能を組み合わせたものです。侵入の痕跡を隠したり、セキュリティ機能を無効化したりする挙動が見られます。

ファイルレスマルウェア

ファイルレスマルウェアは、端末に目立つファイルを書き込まず、OSに元から備わっている機能やツールを悪用して、主にメモリ上で不正コードを実行するタイプです。ファイル検査だけに頼る対策では見逃されることがあります。

侵入経路と、被害が広がりやすい理由

マルウェアは、日常業務の延長線上から侵入することが少なくありません。企業・組織では、一台の端末感染が共有サーバーやクラウドへ波及しやすい点も問題になります。

脆弱性の悪用

OS、アプリケーション、周辺機器のファームウェアなどの脆弱性が悪用されると、利用者が気づかないうちに侵入されることがあります。更新の遅れは、そのまま侵入機会を増やします。修正プログラムが出る前のゼロデイ脆弱性を突く攻撃もあるため、更新だけで完結するわけではありません。

メールやWebを経由した侵入

添付ファイルの実行、URLのクリック、偽サイトへの誘導を通じて、マルウェアの実行や追加ダウンロードが行われることがあります。メール対策とWeb対策は分けて考えず、送信元確認、添付ファイル制御、URLフィルタリングなどを組み合わせて運用した方が管理しやすくなります。

サプライチェーン攻撃や更新経路の悪用

正規の配布経路や更新プロセスが悪用され、利用者が正しいものだと思って導入したソフトウェアが結果的に侵入経路になることもあります。こうしたケースでは、個人の注意だけで防ぎ切るのは難しくなります。

物理セキュリティの弱さ

物理的な管理が甘い環境では、第三者が端末へ直接アクセスし、設定変更や不正な仕込みを行うことがあります。ネットワーク対策だけでは塞げない経路もあるため、端末保管や入退室管理も切り離せません。

侵入後に被害が広がる要因

企業・組織では、ひとつの端末感染が、認証情報の窃取や権限悪用を通じて共有サーバーやクラウドへ波及しやすくなります。特権アカウントの使い回し、権限過多、端末とサーバーの分離不足、監視の手薄さが重なると、感染範囲は広がりやすくなります。

マルウェア対策の考え方

マルウェア対策は、一つの製品だけで完結しません。侵入を防ぐ、侵入後の拡大を抑える、復旧しやすい状態を維持する、という観点で組み合わせる必要があります。

OS・ソフトウェアを更新し続ける

基本対策として、OS、アプリケーション、ファームウェアを最新の状態へ近づけます。更新プログラムを早めに適用し、既知の脆弱性を塞ぐことで、侵入機会を減らしやすくなります。更新を任意作業のままにせず、適用状況を確認できる運用へ変えると抜け漏れを減らしやすくなります。

エンドポイント対策を運用まで含めて整える

セキュリティ対策ソフトは、導入しただけでは足りません。定義ファイルやエンジンの更新、検知時の通知、隔離や遮断の手順まで含めて整える必要があります。特に、ファイルレス型のように見つけにくい脅威への備えとしては、端末の挙動を監視し、検知後の調査や封じ込めまで行いやすいEDRが選択肢に入ります。

メール・Web経由の侵入対策と利用者教育を組み合わせる

不審な添付ファイルを不用意に開かない、安易にURLへアクセスしない、送信元の偽装を疑うといった基本動作は今も欠かせません。ただし、注意喚起だけに寄せると限界があります。フィルタ、隔離、URL検査などの技術的対策と教育を並行して行う方が、業務の中で判断しやすい状態を作れます。

権限管理と分離を見直す

侵入後の被害拡大を抑えるには、不要な管理者権限を与えないこと、特権ID管理を整理すること、ネットワークやサーバーの分離を進めることが有効です。一台の端末が侵害されても、そのまま重要資産へ到達しにくい構成にしておくと、被害範囲を狭めやすくなります。

バックアップと復旧手順を確認しておく

ランサムウェアのように、侵入後の復旧が重くなるケースでは、バックアップの有無だけでなく、復旧に必要な情報と手順がそろっているかが問われます。3-2-1 ルールの考え方を参考にしながら、どのデータを、どの頻度で、どこへ保管し、どの順番で戻すのかを確認しておくと、停止期間の見積もりがしやすくなります。

まとめ

マルウェアは、情報窃取、暗号化、遠隔操作などを目的とする悪意のあるソフトウェアの総称です。種類によって侵入方法も挙動も異なるため、名前だけでなく「何をされるのか」「どう広がるのか」を分けて理解しておくと対策を選びやすくなります。

対策では、更新運用、エンドポイント監視、メール・Web対策、権限見直し、バックアップを組み合わせて考えます。単一施策に頼るのではなく、侵入を減らし、侵入後の拡大を抑え、復旧しやすい状態を維持する設計へ寄せることが、企業・組織の対策としては整理しやすい進め方です。

よくある質問