マルウェアとは?
マルウェアの定義
マルウェアとは「悪意のコード(malicious code)または悪意のソフトウェア(malicious software)」とも呼ばれています。その目的は「被害者のデータ、アプリケーション、またはオペレーティングシステムの機密性、 完全性、可用性を損なったり、被害者を困らせたり混乱させたりする」ことです。(※1)
マルウェアの種類
概要
コンピュータウイルス
| 概要 | 他のプログラムに寄生し、自身のコピーを作成し増殖する |
|---|---|
| 仕組み | ファイル、ブートセクタまたはそれらの両方に感染しメモリに常駐する |
| 危険度 | 通常のシステム運用が妨害されるおそれがある |
| 感染経路 | Web誘導感染型、外部記憶媒体感染型 |
| 攻撃手法 | マクロウイルス、ブートセクタ感染 |
| 被害例 | 情報流出、金銭被害 |
ワーム
| 概要 | ウイルスとは異なり、自己完結した自己複製型のプログラムで、ホストプログラムがなくても標的に感染する |
|---|---|
| 仕組み | Windowsのセキュリティ保護のない共有設定など、既知の脆弱性などを利用する |
| 危険度 | 2000年初頭は攻撃者の間で一般的だったが、2013年頃には目立たずに引きこもっている (※2) |
| 感染経路 | Web閲覧感染、メール添付、外部記憶媒体感染 |
| 攻撃手法 | ボット、ゼロデイ攻撃 |
| 被害例 | 情報流出、金銭被害 |
トロイの木馬
| 概要 | 既存のファイルを悪意のあるものに置き換えたり、別のアプリケーションをシステムに追加したりする |
|---|---|
| 仕組み | ・自己の存在を隠す ・すでに設置されているプログラムには影響を及ぼさず、正常に実行させたままにする ・スパイウェアを配布する手口として一般化している |
| 危険度 | 深刻な問題を引き起こす可能性あり |
| 感染経路 | Web誘導感染型、外部記憶媒体感染型 |
| 攻撃手法 | バックドア、ランサムウェア |
| 被害例 | 情報流出、金銭被害、外部攻撃 |
スパイウェア
| 概要 | ユーザーのプライバシーを侵害し、金融詐欺などを行う |
|---|---|
| 仕組み | 広告の表示、個人情報の収集やPCの設定変更などを促す (※3) |
| 危険度 | PCの設定を変えられると、元の状態に戻すことが困難 |
| 感染経路 | 他のアプリケーションとセットでインストールされる |
| 攻撃手法 | キーロガー、アドウェア |
| 被害例 | 情報流出 |
感染経路
総務省が公開しているACTIVEサイトの定義(※4)に補足して、以下の通り整理しました。ACTIVEとは、総務省とセキュリティベンダー事業者などが連携したマルウェア対策プロジェクトで、Advanced Cyber Threats response InitiatiVEの略です。概略のあと、それぞれの感染経路について進行方法と主な原因を詳しくまとめています。
概略
| 感染経路 | 概要 |
|---|---|
| Web閲覧感染型 | 公式サイトの閲覧だけで知らないうちに感染する |
| Web誘導感染型 | メールなどのリンク先のファイルをダウンロードし実行すると感染する |
| ネットワーク感染型 | Windows OSの脆弱性などが原因で、同一ネットワークの他のPCに感染する |
| メール添付型 | メールの添付ファイルを開くとPCに感染する |
| 外部記憶媒体感染型 | USBメモリなどで、ネットワークにつながれていない場合でも感染する |
| エクスプロイトキット | 脆弱性を確認するハッキングツールで、特にランサムウェア拡散に利用される |
Web閲覧感染型
| 概要 | 公式サイトでも、閲覧するだけで知らないうちに感染する。(※5) |
|---|---|
| 進行方法 | (1) 攻撃者がWebサイトの管理用PCに侵入し、Webサーバーの管理者権限情報(FTPなど)を盗む (※6) (2) 攻撃者がWebサーバーに侵入(例: SQLインジェクション) (3) 攻撃者がWebサイトを改ざんする (4) ユーザーがWebサイトにアクセスする (5) ユーザーのPCが感染する |
| 主な原因 | ・Webサイトの管理用PCがマルウェアに感染する (※7) ・CMSのバージョンが最新版にアップデートされていないと、脆弱性が残っている ・Flash Playerなどが最新版にアップデートされていないと、脆弱性が残っている ・ユーザーがWebサイトの管理用PCで、別のWebサイトを閲覧してマルウェアに感染する |
Web誘導感染型
| 概要 | メールまたはWebサイトのリンク先のファイルをダウンロードし実行すると感染する。 |
|---|---|
| 進行方法 | (1) 攻撃者がWebサイトの管理用PCに侵入し、Webサーバーの管理者権限情報(FTP情報など)を盗む (2) 攻撃者がWebサーバーに侵入(例: SQLインジェクション) (3) 攻撃者がWebサイトを改ざんし、マルウェアを埋め込む (4) 攻撃者が公式サイトの運営者になりすましたメールを、ユーザーに送付する (5) ユーザーがメールのリンク先をクリックして、指定のWebサイトにアクセスする (6) ユーザーがマルウェアを正しいファイルと思い、自身のPCにダウンロードする (7) ユーザーがダウンロードしたマルウェアを実行して、知らない間にPCが感染する |
| 主な原因 | 前記の「Web閲覧感染型」と同様 ・Webサイトの管理用PCがマルウェアに感染する (※7) ・CMSのバージョンが最新版にアップデートされていないと、脆弱性が残っている ・Flash Playerなどが最新版にアップデートされていないと、脆弱性が残っている ・ユーザーがWebサイトの管理用PCで、別のWebサイトを閲覧してマルウェアに感染する |
ネットワーク感染型
| 概要 | Windows OSの脆弱性などを狙い、同じネットワークに属している他のPCに感染する。 |
|---|---|
| 進行方法 | (1) 攻撃者が標的のPCやサーバーを感染させる (2) ランダムにIPアドレスを作成し、次のぜい弱な標的を探す (3) さらに感染したPCが、インターネットよりマルウェアを勝手にダウンロードする (4) 次のぜい弱な標的を次々と探しはじめ、感染が拡大する |
| 主な原因 | ・OSの脆弱性(※8) ・Windows などのOSで、ファイルやフォルダの共有設定が不十分 ・PHPの脆弱性を修復するパッチがあたっていない ・各種パスワードの設定が甘い(使い回し、短すぎた、容易に想像されやすいなど) |
メール添付型
| 概要 | 受信したメールに添付されたファイルを開くことで、PCに感染する。 |
|---|---|
| 進行方法 | (1) 日常よく使うようなタイトルのメールを受信する(例:請求書や受領書) (※9) (2) メールの添付ファイルされているファイルを開く (3) PCが自動的にインターネットに接続して、マルウェアをダウンロードする (4) 感染する (5) 場合により、感染したメールが自動的に大量に転送する |
| 主な原因 | ・ソーシャルエンジニアリング(※10)の手法で、送信者とメールタイトルを信用して不用意にメールの添付ファイルを開く ・添付ファイルのJavaScript(.js) やOfficeファイル(.docxなど)が感染していることに気がつかない |
外部記憶媒体感染型
| 概要 | USBメモリなどの外部記憶媒体から感染する。ネットワークにつながれていない、物理的に離れたPCなどの間でも、容易に感染する。 |
|---|---|
| 進行方法 | (1) 攻撃者が標的のPCを感染させる (2) ユーザーが知らずに感染ファイルを、USBメモリなどの外部記憶媒体にコピーする (3) その外部記憶媒体を、別のユーザーなどのPCに差し込む (4) 別のユーザーなどのPCが感染する (5) 同様の手順で感染が広がる |
| 主な原因 | ・ウイルススキャンなどの対策を行わず、ファイルを不用意に外部記憶媒体にコピーして、他のPCに挿す |
エクスプロイトキット(Exploit kits)
| 概要 | 脆弱性を確認するハッキングツールで、ランサムウェア拡散に利用される。(※11) |
|---|---|
| 進行方法 | (1) 攻撃者はユーザーに通常のWebサイトへ誘導する (2) その後、悪意をもったWebサイトに自動転送される (3) 脆弱性が利用されコードが実行される (4) 感染する |
| 主な原因 | ・エクスプロイトキットが効率的に利益を生み出す犯罪ツールで、2016年10月時点で約70万円にて取引されていた(※12) ・ランサムウェア拡散と結びつきビジネスモデルになった |
被害例
それでは今年2017年に、どのようなマルウェアの感染被害があったのでしょうか。情報流出、金銭被害そして外部攻撃の3つに分類し、感染した場合にどういった環境に陥り、リスクが発生するかをご説明します。
情報流出
| 感染した場合の状態 | ・機密情報や個人情報などの情報資産を、組織外の第三者に流失 ・これらの情報が不特定多数によりアクセスできる状態にさらされる |
|---|---|
| 想定されるリスク (※13) | ・組織の信頼度低下し、株価が下落する ・組織の基幹業務が停止し、事業継続に支障が出る ・ビジネス機会を喪失し損失が出る |
| 事例(2017年) | 【日本国内】 ・(3月) 大阪硝子工業会 (※14) *トロイの木馬とみられるウイルス感染 ・(3月) 岡山大病院 (※15) *医療用端末がマルウェア感染 ・(7月) ソフトバンク・テクノロジー (※16) *内部でマルウェア感染を確認 ・(8月)ドローン・ジャパン(※17) *閲覧でマルウェア感染のおそれ 【海外】 ・(4月) Chipotle 米飲食系企業 (※18) *POS端末がマルウェア感染 ・(5月) HandBrake 仏動画ファイル変換アプリ (※19) *RAT(remote access Trojan、リモートアクセス型トロイの木馬)。iOS and OS Xは絶対安心ではない。 ・(8月) ウクライナ国立銀行 (※20) ・(8月) ウクライナ独立通信社 (※21) *上記2例では、WannaCryより脅威のあるNotPetyaに感染すると、場合によりデータが破壊する。ウクライナではその他にも地下鉄、空港以外にチェルノブイリ原子力発電所も標的にされた。 |
| 対策例 | ・予算の確保と継続的な対策実施 ・セキュリティ教育の実施 ・WAF・IPS の導入 ・情報を外部に送信させない |
金銭被害
| 感染した場合の状態 | ・PCなどを人質に取られ、使えるようにするために身代金が必要(ランサムウェア) ・インターネットバンキングサービスのログイン情報が盗まれ、銀行口座が乗っ取られる(不正送金) |
|---|---|
| 想定されるリスク | ・組織の信頼度低下し、株価が下落する ・事業継続に支障が出る ・ランサムウェアで身代金を支払っても、復元できるとは限らない |
| 事例(2017年) | (1) ランサムウェア 【日本国内】 ・(5月) 日立製作所 (※22) *世界中の事業所に感染拡大 ・(5月) 川崎市上下水道局 (※23) *市が管理するパソコンや庁内ネットワークへの影響なし 【海外】 ・(5月) NHS 英国民保健サービス (※24) *金銭被害や患者の個人情報の漏えいは報告されていない。原因はWindows XPの使用と推察されているが、依然4.7%使われている。 ・(5月) 清華大学、北京大学、上海交通大学、山東大学など中国の大学 (※25) *445ポートを閉じていないことが原因と推定された ・(5月) ロシア内務省 (※26) *1000台が影響を受けた (2) 不正送金 【日本国内】 ・(5月)ジェイティービー (※27) *マルウェアDreamBotに感染の可能性あり。金銭被害情報は公開なし(警視庁、日本サイバー犯罪対策センター、トレンドマイクロにて確認) 【海外】 (事例の情報なし) |
| 対策例 | ・体制と予算の確保 ・知らない人からの添付ファイルや疑わしいリンクを安易にクリックしない ・日本語で関係者らしい人からのメールの場合でも、送信者をよく確認する ・OSやソフトウェアを常に最新の状態にする ・インターネットバンキングサービスでは2段階認証やワンタイムパスワードなどを導入する ・フィルタリングツールの活用 |
外部攻撃
| 感染した場合の状態 | ・PCが攻撃者から遠隔操作され、大量のスパムメールを送信したり、特定のWebサイトを攻撃したりする ・攻撃に利用されたPCの所有者は、感染も悪用も知らない場合あり |
|---|---|
| 想定されるリスク (※28) | ・重要情報の漏えいや他の組織への大量メール攻撃など、犯罪的な行為へ加担する ・風評被害を受ける |
| 事例(2017年) | 【日本国内】 ・(3月) おかやまオープンデータカタログ (※29) *DDoS攻撃の踏み台となり、Apache Struts2の脆弱性をついた模様。情報漏えいの可能性なし。 ・(4月) アリアファーム (※30) *WordPressのアップデートを怠り脆弱性をつかれた。国外のメールアドレスに対する大量のメール送信が行われた。情報漏えいの可能性なし。 ・(6月) 国立環境研究所 (※31) *8,800通のスパムメール送信、情報漏えいの可能性なし 【海外】 ・(1月) Lloyds and Barclays Banks 英銀行 (※32) *IoT機器に感染。2016年に猛威を振るったMiraiによる攻撃で、実行犯は逮捕されている。 ・(8月) Ransom DDoS(RDoS) (※33) *身代金の支払いをしなければDDoS攻撃をすると脅迫した。被害トップ3は中国、韓国、米国。 |
| 対策例 | ・予算の確保と継続的な対策実施 ・セキュリティ教育の実施 ・不用意にメールの添付ファイルを開かない (※34) |
攻撃手法
次に、どういった攻撃が発生しているか、以下のように8つの手法にまとめました。
マクロウイルス
| 概要 | 主にMicrosoft OfficeのWordやExcelのマクロ機能を悪用する |
|---|---|
| 仕組み | Microsoft Officeのファイルに感染、自己増殖し、メールなどで拡散する |
| 危険度 | 業内での感染率が高い |
ブートセクタ感染
| 概要 | OSなどの起動プログラムが保存されているブートセクタに感染し、増殖する |
|---|---|
| 仕組み | HDDやUSB メモリ内に存在し、ネットワークにつながれていないPCにも感染する |
| 危険度 | 修復作業を行うとデータを消失いる可能性があり、業務に支障が出る |
ボット(ゾンビ)
| 概要 | 特殊なマルウェアに感染したインターネット接続デバイスの集まりをボットネット、さらにこれらの感染デバイスをボットまたはゾンビと呼ぶ (※35) |
|---|---|
| 仕組み | 1. ユーザーの管理者権限を取得 2. DDoS攻撃などによりサーバーを利用できない状態にする 3. 重要なデータを盗難する |
| 危険度 | セキュリティの基本ルールを守れば、感染リスクは低下 |
ゼロデイ攻撃
| 概要 | ソフトウェアメーカーによるセキュリティパッチの適用前に攻撃を仕掛ける(※36) |
|---|---|
| 仕組み | 攻撃者はソフトウェアのバグや欠陥を発見し、悪用しようとする |
| 危険度 | 更新プログラムが出回るまでは防ぎきれない |
バックドア
| 概要 | 遠隔地にいる侵入者が、感染対象のPCをある程度制御する |
|---|---|
| 仕組み | ・TCPまたはUDPを傍受するプログラム ・クライアントコンポーネントとサーバーコンポーネントで構成 ・クライアントは侵入者側、サーバーは感染したPC側にそれぞれあり、侵入により相互に接続が確立する |
| 危険度 | 攻撃者が特定の操作をPC側で実行可能 |
ランサムウェア
| 概要 | 下記の不正プログラムをさす。 1. 感染したPCをロックし、またファイルを暗号化して使用不能にする 2. PCを元に戻すことと引き換えに、「身代金」(Ransom)を要求する (※37) |
|---|---|
| 仕組み | 1. スパムメールや改ざんされたサイトから、不正サイトへ誘導されランサムウェアに感染 2. 感染PCの特定機能を無効化し操作不能になり、データが暗号化され利用不能になる 3. 感染前の状態に戻す手段として、「身代金」の支払い要求画面が表示される |
| 危険度 | システム利用不可、金銭的な損害 |
キーロガー
| 概要 | PCユーザーのキーボードの操作を監視し記録 |
|---|---|
| 仕組み | 記録された操作記録のデータを、メールやファイル転送などで攻撃者に転送 |
| 危険度 | パスワードや金融情報などの重要情報が、記録され転送された場合には被害は拡大する |
アドウェア
| 概要 | 広告を表示する機能を持つソフトウェアで、通常では迷惑にもならない |
|---|---|
| 仕組み | 不要なフリーソフトも同時にインストールされたり、広告を強制的に表示されたりする。場合により、不正サイトに誘導される (※38) |
| 危険度 | スパイウェアのような働きをするものもあり脅威 (※38) |
標的型攻撃
標的型攻撃(Targeted Attacks)とは
文字通り攻撃の対象を絞り、数撃てば当たるよりも精度を追求する方法です。攻撃者はターゲットを定め入念に調査し、そのネットワークに侵入して情報資産を盗もうと試みます。その過程は誰にも気づかれずに行われ、膨大な顧客情報などがすでに漏えいした後、ひどい時には数年経過し発見されたりしています。(※39)さらに従来型攻撃に比べて、攻撃者はより多くの利益を見込むことができ、ますます増加しています。(※40)
従来型攻撃との違い
それでは、標的型攻撃はそれまでの攻撃とはどのように違うのでしょうか。IPAの資料(※41)をもとに以下の通りまとめました。
| 標的型攻撃 | 従来型攻撃(マスメール型) | |
|---|---|---|
| 攻撃対象 | ・特定の企業などの組織内の機密情報や個人情報 (※42) ・場合により、組織内の特定の個人 |
・可能な限り広範囲 ・セキュリティ対策の不十分なPC全般 |
| 攻撃者の心理 | 目的達成のためには執拗 | 見境なく行き当たりばったり |
| 攻撃者のプロフィール | ・信頼できそうな組織の人物 ・業務でやりとりしていそうなメールの送信者 (※43) |
知らない人 |
| 偽装メールの内容 | ・正当な業務や依頼であるかのように見せかける(※44) ・受信者に関係が深い話題 |
誰にでも関係のある話題 |
| 記述言語 | 受信者が通常使う言語で日本語 | ほとんどが英語 |
| 添付ファイル | 文書ファイル(pdfやdocなど) | 実行形式の不正プログラム(exe、LNKやマクロファイルなど)(※45) |
| 感染拡大 | 再発信しないので拡大しない | 感染したPC内から、自分自身を再発信し感染拡大の可能性有 |
| 感染後の症状 | すぐに気づくような症状は通常なし | 感染したPC内から、自分自身を再発信し感染拡大の可能性有 |
| ウイルス対応ソフトの検知 | 検知できないこともある | 大半は検知される |
対策のまとめ
整理して対策を練る重要性
前項の被害例でも対策を列挙しましたが、対策は他にも数多く存在しています。その理由として対象が膨大で常に進化し、実際に有効な手法は組織により異なっていることが挙げられます。ここでのポイントは対策することと、しないことを明確にすることと考えています。そのためには問題を整理する必要があります。その基準として、ICR(情報通信総合研究所)が公開している4つの対策(※46)の考え方に基づき、以下のようにまとめました。
| 対策としての考え方 | 具体的な対策手法 | |
|---|---|---|
| 1 | 水際の対策 | ・ファイアウォールを設け出入口対策(IDS、UTMなど) ・マルウェアの検出 |
| 2 | 機器ごとの対策 | ・対象はルーター、サーバー、周辺機器、IoTなど ・ウイルスソフト、スパムメール対策ソフト、URLフィルタリングソフトなど ・個人認証用デバイスの使用 |
| 3 | 経路の対策 | ・暗号化(経路であるインターネット上での盗み見対策) ・Webサイトだけでなく、メールのデータも対象にする |
| 4 | 共通の対策 | ・脆弱性対策として、OSやソフトウェアのアップデートの自動化 ・攻撃された場合に復旧手段として、遠隔で定期的なバックアップ ・コンサルティング(構築・運用・教育。保険など)の導入 |
対策のより進んだ考え方
犯罪でもビジネスとして、優秀な攻撃者はますます洗練された方法で仕掛けてきます。決して脅しではありませんが、既存の対策とその組み合わせだけでは、完全に防御することは困難と考えられます。そこで攻撃者が行うように、相手の状況をリサーチして行動を予測することが重要になってくると考えています。
セキュリティ関連製品のベンダーだけでなく一般ユーザーも、この考え方を身につけ実践していく時代に突入してきたのではないでしょうか。まさにThink like an attacker(攻撃者のように考えよ)です。(※47)
一例として、攻撃者の行動パターンである「回避技術」(※48)があります。これは攻撃者が、不正行為を発見されずに作業を完結するための技術です。攻撃者は、かつてのように自らの力を誇示するわけではなく、ゴールに向けてたんたんと目的を遂行する仕組みです。
次はユーザーとして情報資産を守り、攻撃者に負けない計画を着実に実行する番です。ユーザー自身の弱点をさらけ出してはいけません。現在実施中の基本対策を見直すいい機会とも考えています。
執筆者プロフィール
- 西山一郎
- 企業でWebmasterとして10年間の経験を活かしライター、デザイナーとして活動中。
情報セキュリティの認証取得経験もあり、利便性とリスクのバランスを考えた仕事を心がけている。
