Sophos Intercept X
マルウェアとは? 種類、感染経路、対策について解説!
Blog
企業が情報セキュリティを考える上で警戒したいのが、情報漏えいや金銭的被害を引き起こす「マルウェア」の感染です。そもそもマルウェアとは何なのか、マルウェアの種類や感染経路、対策方法について解説します。
目次
マルウェアとは
マルウェア(Malware)とは、Malicious(悪意のある)とSoftware(ソフトウェア)を組み合わせた造語です。ウイルスやワーム、トロイの木馬といった有害なプログラム・ソフトウェアを総称してマルウェアと言います。
マルウェアの種類
マルウェアは、活動形態や自己増殖機能の有無によって、以下の3つに分類されます。
| 活動形態 | 自己増殖 | |
|---|---|---|
| ウイルス | 宿主が必要 | する |
| ワーム | 単独で活動 | する |
| トロイの木馬 | 無害なファイルに成り済まして活動 | しない |
ウイルス
ウイルスは、正規のプログラムに寄生して活動するマルウェアです。正規のプログラムのコードの一部を書き換え、自己増殖します。宿主に寄生して増殖するさまが病原体のウイルスと似ていることから、この名前がつきました。
ワーム
ワームはウイルス同様に自己増殖しますが、宿主を必要とせず、単独で存在することが可能です。虫に例えてワーム(Worm)と呼ばれます。
トロイの木馬
トロイの木馬はウイルスやワームと異なり、自己増殖しません。無害なファイルに成り済ましてコンピュータ内部に侵入し、遠隔操作によって勝手にウイルスをダウンロードしたり、データを盗み出したりといった被害をもたらします。ギリシア神話のトロイア戦争のエピソードから名付けられました。
マルウェアの感染経路
マルウェアはあらゆる経路から侵入します。以下に感染経路をまとめました。
メールの添付ファイル
メールに添付されているファイルを開くことでマルウェアに感染します。マルウェアに感染した端末から勝手にウイルスメールが転送され、さらに被害が拡大することもあります。またHTML形式のメールの中には、メールを開いただけでマルウェアに感染するものもあるので注意が必要です。身に覚えのないメールは開かないこと、HTML表示にしないこと、OSやメーラー、ウイルス対策ソフトを常に最新の状態に保つことを徹底しましょう。
ネットワーク接続
ネットワークに接続しただけでマルウェアに感染することもあります。セキュリティ対策が甘く、脆弱性が放置されている端末が標的にされ、同じネットワーク上にある端末へと感染が拡大します。脆弱性を解消するには、OSやソフトウェアをこまめにアップデートすることが必要です。自動更新機能をONにするのが確実です。
Webサイトの閲覧・誘導
不正なコードが埋め込まれたWebサイトを閲覧することで、マルウェアに感染することがあります。また、官公庁や企業などの正規のWebサイトが第三者によって改ざんされ、閲覧者が気が付かないうちに不正なサイトへ誘導される事例もあります。
USBなどの外部記憶媒体
インターネットに接続していなくても、USBなどの外部記憶媒体を介してマルウェアに感染する可能性があります。USBなどを利用する際は、ファイルを開く前にウイルスチェックを行うようにしましょう。
ファイル共有ソフト
ファイル共有ソフトは不特定多数の人が利用するため、マルウェアを仕込んだファイルが紛れている恐れがあります。
ソフト・アプリのインストール
無料のソフトウェアやアプリの中にはマルウェアが仕込まれているものもあります。正規のアイコンに似せたり、偽のダウンロードサイトを用意したりと手口が巧妙なので、注意が必要です。ソフト・アプリをインストールする際は、信頼できるサイトを利用しましょう。
マルウェア対策
マルウェア対策を考える上で重要なのが、「エンドポイントセキュリティ」です。エンドポイント(End Point)とは、末端・終点を意味します。セキュリティ用語では、PCやサーバ、スマートフォン、タブレットなど、ネットワークに接続されている末端機器を指します。これらのエンドポイントや、その中に保存されているデータをマルウェアから守ることを、エンドポイントセキュリティと言います。
IoT技術の発展によりあらゆる物がインターネットに接続されるようになった結果、会社が管理する端末の種類・数は日々増加しています。さらに働き方の多様化によって自宅や外出先でも業務を行うようになり、端末を利用する環境も大きく変化しています。外部のネットワークと接続する機会が増え、マルウェア感染のリスクが増大していることから、個々の端末(エンドポイント)を守る発想が重要になっています。
エンドポイントセキュリティには、マルウェアの感染を防ぐ「EPP(Endpoint Protection Platform、エンドポイント保護プラットフォーム)」「NGEPP(Next Generation Endpoint Protection Platform、次世代型EPP)」と、マルウェア感染後の被害を抑える「EDR(Endpoint Detection and Response)」があります。
マルウェアの感染を防ぐ「EPP」「NGEPP」
EPPはエンドポイントがマルウェアに感染しないように保護するツールです。従来のアンチウイルスソフトもこれに含まれます。
EPPはデータベースに登録されているマルウェア情報をもとにマルウェアを検知・駆除するため、未登録のマルウェアに弱いことが課題でした。そこで開発されたのが、NGEPPです。NGEPPはマルウェアの行動パターンに着目した振る舞い検知や、機械学習などの技術を用いており、未知のマルウェアも検知することができます。
マルウェア感染後の被害を最小限に抑える「EDR」
EDRは、マルウェア感染後の被害を最小限に抑えることを目的にしたソフトウェアです。エンドポイントの操作を記録・監視し、感染を検知すると対応します。EPPやNGEPPとは違い、EDRはマルウェアの侵入を前提とした製品・サービスです。
サイバー攻撃のパターンが多様化・巧妙化する中、マルウェアの感染を100%防ぐことは難しくなっています。マルウェアの侵入に気が付かずに被害が拡大するケースも多いため、最近は「侵入後にいかに被害を抑えるか」が重視されるようになってきました。
EPP・NGEPPがマルウェアの脅威の検知と駆除に重点を置いているのに対し、EDRは感染の検知・調査・復旧支援という一連の対策を行います。EDRがあればマルウェアを検知した後、影響範囲の特定からエンドポイントの復旧支援までを迅速に実施できます。さらに、マルウェアの感染経路や漏えいした情報を正確に把握できるため、より的確なセキュリティ対策につながります。
EDRについて詳しくは「EDRとは|従来のEPPとの違いとその必要性」をご覧ください。
