マルウェア攻撃

マルウェア攻撃とマルウェアから保護するためのテクニック

マルウェア攻撃とは

マルウェア攻撃とは一般的によく見られるサイバー攻撃で、マルウェア(通常は悪意のあるソフトウェアを指します)が被害者のシステム上で不正なアクションを実行するものです。悪意のあるソフトウェア(別称:ウイルス)には、ランサムウェア、スパイウェア、コマンド、コントロールなど、数多くの特異な攻撃が含まれています。

犯罪組織、国家主体、さらにはよく知られた企業でさえもマルウェアを展開したとして告発されています(逮捕されたケースもあります)。マルウェア攻撃の中には、他のタイプのサイバー攻撃と同様にその深刻な影響から、注目されるニュースになるものもあります。

有名なマルウェア攻撃の例としては、「WannaCry」のランサムウェア攻撃が挙げられます。

マルウェア攻撃の検証

マルウェアについて議論される際、通常、以下の3つの側面を網羅します。

  • 目的:マルウェアは何を達成するために設計されるのか
  • 配信方法:マルウェアはターゲットにどのように配信されるのか
  • 潜伏方法:マルウェアはどのようにして検知を回避するのか(この側面については今回の説明では触れません)

マルウェアで観察されたその目的や配信メカニズムについて、その一部を解説します。

目的

マルウェアは目的をもって作られます。目的は「創造者の想像力の範囲に限定される」と言えますが、ここではマルウェアで観察された最も一般的な目的のいくつかに焦点を当てていきます。

情報の密かな抽出

サイバー犯罪の領域ではくり返し、データ、認証情報、支払情報などを盗むことが主な目的になっています。この種の窃盗に焦点を当てたマルウェアは、その被害を被った人物、企業、または政府に甚大な金銭的被害を与えます。

業務の妨害

マルウェアに見られるもう一つの目的として、ターゲットになっている業務に「問題を発生させる」ことを目的とした活動があります。1台のコンピューター内の重要なOSファイルを破損させる(ことでそのシステムを使用不可にする)ウイルスといったものから、インストール時に多くのシステムに自己破壊を生じさせるように調整されたものまで、「破壊」のレベルは様々です。また、感染したシステムが大規模な分散型サービス(DDOS)攻撃を実行するように設計されている場合もあります。

支払の要求

マルウェアの中にはターゲットから直接、金銭を盗むことを専門としたものもあります。スケアウェアはターゲットを「怖がらせる」ことで金銭を支払わせるため、中身のない脅威(根拠のないもの、あるいは実際には実行することができないもの)を利用します。ランサムウェアは、ターゲットが金銭を「支払う」までデータへのアクセスを(通常はターゲットのファイルを暗号化することで)妨害することを試みるタイプのマルウェアです。ランサムウェアの被害者が金額を支払うべきかどうかについての議論もありますが、企業の中には将来、ランサムウェア攻撃を受けて金額を支払う決定を下した場合に備えてビットコインを事前に購入しているところもあり、十分な脅威となっています。

マルウェアの攻撃ベクトルの種類

マルウェアの攻撃ベクトルには以下の3つの種類があります。

  • トロイの木馬:ある別のものに見せかけていますが(ゲーム、便利なアプリケーションなど)、実際にはマルウェアを配信するためのメカニズムです。トロイの木馬が破壊行動を起こすためには、ユーザーに(通常はインターネット、またはメールの添付ファイル経由で)ダウンロードされ、さらにターゲット上で実行される必要があります。
  • ウイルス: ウイルスは自己繁殖型マルウェアの一種であり、コードを注入することでターゲット上のその他のプログラムやファイル(またはオペレーティングシステムやハードドライブの一部)に感染します。マルウェアが既存のソフトウェアやデータに注入されて増殖していく過程は、ウイルスとトロイの木馬の違いを表しています(トロイの木馬は単一の特定のアプリケーションにマルウェアを組み込むよう特化して構築されており、増殖はしません)。
  • ワーム:他のシステム内で増殖するように設計されたマルウェアです。ウイルスやトロイの木馬などのマルウェアは、感染したターゲットシステムにローカライズされますが、ワームはその他のターゲットに感染すべく積極的に行動します(ユーザーの操作を必要としない場合もあります)。

この数年で、マルウェアはさまざまな配信メカニズムや攻撃ベクトルを使用することが観察されています。非実用的なものもありますが、多くの攻撃ベクトルはターゲットへの侵入に関して効果的なものです。このような攻撃ベクトルは通常、メールやテキストなどの電子通信、脆弱なネットワークサービス、障害が発生したウェブサイトなどでみられますが、物理的なメディア(USBサムドライブ、CD/DVDなど)を通じてマルウェアが配信されることもあります。

マルウェア攻撃に対抗するためのベストプラクティス

マルウェア攻撃を防いだり、その被害を緩和したりするのに役立つベストプラクティスを以下でご紹介します。

継続的にユーザーを教育する

ユーザーをトレーニングして、マルウェアを避けるためのベストプラクティス(不明なソフトウェアをダウンドーロしたり実行したりしないこと、「見つけたメディア」をコンピュータに無分別に挿入しないことなど)と、マル���ェアである可能性のあるものを特定する方法を教育することは、組織を保護するにあたり大きな役割を果たします。意図的なフィッシングキャンペーンなどで定期的に予告なく練習すると、ユーザーの認識度と鋭い観察力を保つのに役立ちます。セキュリティ認識度トレーニングについて詳しくご覧ください。

信頼できるウイルス対策ソフトウェアを使用する

適切なウイルス対策ソフトウェアをインストールすることで、システム上に存在するあらゆるマルウェアを検知(および駆除)することができ、システムの実行中にマルウェアがインストールされる可能性やそのアクティビティを監視して、緩和することができます。ベンダーから提供される最新の定義および署名で、そうしたソフトウェア常に最新の状態に保つことが重要です。

ネットワークを保護する

組織のネットワーク上でシステムへのアクセスを管理することは有効であり、これには多くの理由があります。ファイアウォール、IPS、IDS、VPNのみを通じたリモートアクセスの採用など実績のある技術や方法を活用することで、攻撃できる「面」を最小限に抑えて組織が危険にさらされることを防ぐことができます。通常、物理的にシステムを分離することはほとんどの組織にとって極端な措置とみなされており、一部の攻撃ベクトルに対しては依然として脆弱です。

定期的なウェブサイトのセキュリティ監査を実施する

組織のウェブサイトに脆弱性(既知のバグが存在するソフトウェア、サーバー/サービス/アプリケーションの誤った構成など)がないか定期的にスキャンし、周知のマルウェアがインストールされていないか検知することで、組織を安全に保ち、ユーザーを保護して、公開されているサイトを訪問する顧客や訪問者も保護することができます。

定期的に検証済みのバックアップを作成する

定期的に(現行の自動化された)オフラインバックアップを実施するかどうかで、破壊的なウイルスやランサムウェア攻撃からスムーズに回復できるか、それともコストのかかるダウンタイム/データ損失を生じさせて、ストレスを伴いながら必死にスクランブリングすることになるかの大きな違いが生まれます。ここで重要なことは、実際にバックアップが定期的に行われていることが確認され、復元操作にも利用できることです。バックアップが古くて期限が切れると価値が低くなり、正しく復元できない場合は価値がなくなります。

まとめ

マルウェアはさまざまな形式や攻撃の姿で出現します。しかしながら、慎重に準備し、プロセスを改善し、継続的にユーザーを教育することで、組織はマルウェア攻撃に対抗できる強固なセキュリティ体制を整えることで維持することができます