「マルウェア」の意味
「マルウェア」は、「malicious software(悪意のあるソフトウェア)」の略称です。マルウェアは、PCやコンピュータシステムに損害を与えるよう意図的に設計された侵入型ソフトウェアです。これに対し、意図しない損害を与えるソフトウェアは、ソフトウェアのバグと呼ばれます。
ウイルスとマルウェアの違いは何かと尋ねられることがあります。違いは、マルウェアが、ウイルスやスパイウェア、アドウェアやランサムウェアなどの有害なソフトウェアを含む、さまざまなオンライン脅威の総称であるのに対し、コンピュータウイルスはマルウェアの一種だという点です。
マルウェアは、フィッシングや悪意のある添付ファイル、悪意のあるダウンロード、ソーシャルエンジニアリング、フラッシュドライブによってネットワークに入り込む可能性があります。この記事では、よく見られるマルウェアの種類について解説します。
マルウェアの種類
不正侵入から身を守るには、さまざまなマルウェア攻撃の種類を理解することが重要です。(名前だけは)よく知られているマルウェアもあれば、あまり知られていないものもあります。
アドウェア
アドウェア(「advertising-supported software(広告付きソフトウェア)」の略称)は、PCの画面やモバイルデバイスに、望まない、ときに悪意ある広告を表示したり、検索結果を広告ウェブサイトにリダイレクトしたり、ユーザーの同意なく広告主に売ることができるユーザーデータを取り込んだりします。すべてのアドウェアがマルウェアというわけではなく、合法的で安全に利用できるものもあります。
ユーザーは、多くの場合、使用するインターネットブラウザのポップアップコントロールやプリファレンスを設定して、アドウェアの頻度や許可するダウンロードの種類を変更できます。また、広告ブロッカーを使用することもできます。
アドウェアの具体例:
- Fireball –2017年に、世界中で2億5千万台のPCとネットワークの5分の1がこのウイルスに感染していることがイスラエルのソフトウェア企業によって明らかになり、大きく報道されました。PCがFireballに感染すると、Fireballがブラウザを乗っ取ります。ホームページを偽の検索エンジンTrotusに変更し、アクセスするウェブページに目障りな広告を表示します。また、ブラウザ設定を変更されないよう阻止します。
- Appearch – Appearchも、ブラウザを乗っ取る、別のタイプのよくあるアドウェアです。無料のソフトウェアにバンドルされていることが多く、ウェブの閲覧ができないほど大量の広告でブラウザを埋め尽くします。ウェブサイトにアクセスしようとすると、Appearch.infoに誘導されます。何とかウェブページにたどり着くと、Appearchがランダムなテキストブロックをリンクに変換し、そのテキストを選択すると、ポップアップが表示されて、ソフトウェアの更新をダウンロードするよう促すようにします。
スパイウェア
スパイウェアは、デバイスに潜んで活動を監視し、財務データやアカウント情報、ログインといった機密情報を盗みます。スパイウェアは、ソフトウェアの脆弱性を利用して広がります。他にも、正規のソフトウェアにバンドルされていたり、トロイの木馬と一体になっていたりすることもあります。
スパイウェアの具体例:
- CoolWebSearch – このプログラムは、Internet Explorerの脆弱性を利用して、ブラウザを乗っ取ったり、設定を変更したり、閲覧データをプログラムの作成者に送信したりします。
- Gator – Kazaaなどのファイル共有ソフトにバンドルされていることが多いこのプログラムは、被害者のネットサーフィン習慣を監視して、その情報を基に特定の広告を表示するようにします。
ランサムウェアと暗号化マルウェア
ランサムウェアは、身代金が支払われるまでユーザーをシステムから締め出したり、データを利用できないようにしたりするよう設計されたマルウェアです。暗号化マルウェアはランサムウェアの一種で、ユーザーのファイルを暗号化し、所定の期日までの支払い(ビットコインなどのデジタル通貨を指定する場合が多い)を求めるものです。ランサムウェアは、今や、業界を問わず、企業にとって長年にわたる持続的脅威となっています。より多くの企業がデジタルトランスフォーメーションを導入するようになるにつれ、ランサム攻撃の標的にされる可能性が著しく高まっています。
ランサムウェアの具体例:
- CryptoLockerは、2013~2014年に流行したマルウェアの一種で、これによって、サイバー犯罪者はシステムのファイルにアクセスし、ファイルを暗号化しました。サイバー犯罪者は、ソーシャルエンジニアリングの手法を使って従業員をだまし、PCにランサムウェアをダウンロードさせ、ネットワークを感染させました。ダウンロードされたCryptoLockerは、決められた期日までに現金またはビットコインで支払いをすれば、データを復号すると提案するメッセージを表示します。その後、CryptoLockerは駆除されたものの、CryptoLockerを操った者は、無防備な組織からおよそ300万ドルを巻き上げたと考えられています。
- Phobosマルウェア – 2019年に登場した、ランサムウェアの一種です。すでに知られているDharma (aka CrySis)ファミリーを基にしたものです。
トロイの木馬
トロイの木馬 は、正規のソフトウェアを装ってユーザーをだまし、悪意のあるソフトウェアをPCで実行させます。信頼できるソフトウェアであるかのように見えるため、ユーザーはうっかりダウンロードして、マルウェアのデバイスへの侵入を許してしまいます。トロイの木馬そのものは入り口です。ワームとは異なり、トロイの木馬は、動作するための宿主を必要とします。デバイスにインストールされると、ハッカーは、そのトロイの木馬によってデータの削除や変更、取り込みを行えるようになります。また、デバイスをボットネットに組み込んだり、デバイスを監視したり、ネットワークに侵入したりすることもできるようになります。
トロイの木馬の実例:
- Qbot (別名「Qakbot」または「Pinkslipbot」)マルウェアは、ユーザーデータや銀行取引の認証情報の窃盗を専門にする、2007年から暗躍するバンキング型トロイの木馬です。このトロイの木馬は、新たな配信メカニズムや指令手法、分析防止機能を組み込んで進化を遂げています。
- 2016年に初めて確認されたTrickBotマルウェアは、巧妙なサイバー犯罪者グループが開発・操作するトロイの木馬です。元々は、財務データを盗むバンキング型トロイの木馬として開発されたTrickBotは、完全なツール一式を備えた操作者が違法なサイバー行為を実行できるようにする、モジュラー式マルチステージマルウェアへと進化しました。
ワーム
最もよく知られたマルウェアの一種であるワームは、オペレーティングシステムの脆弱性を利用してコンピュータネットワークに広がります。ワームは増殖し、第三者による行為を必要とせずに他のPCに感染を広げるスタンドアロンプログラムです。急激に広がることから、ワームは、しばしば、ペイロード(システムに損害を与えるよう作成されたコード)の実行に利用されます。ペイロードは、ホストシステムのファイルを削除したり、ランサム攻撃を目的にデータを暗号化したり、情報を盗んだり、ファイルを削除したり、ボットネットを構築したりすることができます。
ワームの具体例:
- SQLスラマーは、従来の配信方法を使用しない、広く知られたワームです。代わりに、ランダムなIPアドレスを生成して自らをそこへ送信し、ウイルス対策ソフトで保護されていないIPアドレスを探します。2003年に攻撃が開始されてすぐ、7万5千台以上の感染したPCが、複数の主要ウェブサイトで、知らないうちにDDoS攻撃に関与させられていました。これまで長年にわたり、関連するセキュリティパッチが適用されていてもなお、 SQLスラマーは、2016年と2017年に復活しています。
ウイルス
ウイルスは、自身をアプリケーションに送り込んで、アプリケーションが起動すると実行するコードです。ネットワークに入り込んだウイルスは、機密データの窃盗やDDoS攻撃の開始、ランサム攻撃の実行に使われる可能性があります。一般的に、感染したウェブサイトやファイル共有、メールの添付ファイルのダウンロードを介して広がるウイルスは、感染したホストファイルまたはプログラムが動作するまで休止状態にあります。これらが動作すると、ウイルスは増殖してシステムに広がります。
ウイルスの具体例:
- Stuxnet – Stuxnetは2010年に登場し、イランの核開発計画を妨害するために米国とイスラエルの両政府が開発したと広く信じられています。USBメモリを介して広がってシーメンスの産業用制御機器を標的にすると、記録的な速さで、遠心分離機を故障・自爆させました。Stuxnetは、2万台を超えるPCに感染し、イランの核燃料用遠心分離機の5分の1を破壊しました。これにより、核開発は数年の後退を余儀なくされました。
キーロガー
キーロガーはスパイウェアの一種で、ユーザーの活動を監視します。キーロガーは正当な目的 にも利用されます。家庭では、子どものオンライン活動の監視に、企業では、従業員 の活動の監視にキーロガーが使われています。しかし、悪意ある目的でインストール されると、パスワードデータや銀行の取引情報などの機密情報の窃盗に利用されます。また、キーロガーは、フィッシングやソーシャルエンジニアリング、悪意のあるダウンロードを介してシステムに侵入します。
キーロガーの実例:
- 2017年に、アイオワ大学の学生が、大学職員のPCにキーロガーをインストールしてログイン認証情報を盗み、成績評価を変更したとして逮捕されました。この学生は、懲役4年の有罪判決を受けました。
ボットとボットネット
ボットは、ハッカーがリモートでコントロールできるようマルウェアに感染させられたPCです。ゾンビコンピュータとも呼ばれるボットは、さらに、より多くの攻撃を行うために利用されたり、ボットネットと呼ばれるボットの集合体に組み入れられたりします。ボットネットは、検出されることなく広がるため、数百万台のデバイスを取り込んでいる可能性があります。ボットネットは、DDoS攻撃、スパムやフィッシングメッセージの送信、他の種類のマルウェアの拡散といった数多くの悪意ある活動を行ってハッカーに加担しています。
ボットネットの実例:
- アンドロメダマルウェア – アンドロメダボットネットは、80種類のマルウェアファミリーと結び付いていました。1つの感染ポイントで月に100万台のPCを新たに感染させられるほど巨大化し、ソーシャルメディアやインスタントメッセージ、スパムメールやキットの利用によって自らを配信していました。このボットネット活動は、FBIや欧州警察機構の欧州サイバー犯罪センターなどの機関によって2017年に停止されましたが、多くのPCが、依然、感染したままです。
- Mirai – 2016年に、大規模なDDoS攻撃によって、米国東海岸の大部分がインターネットにつながらない状態に陥りました。当局が、当初、敵対国の仕業ではと懸念したこの攻撃は、Miraiボットネットによるものでした。Miraiは自動でIoT(Internet of Things)デバイスを検出して感染し、IoTデバイスを兵士としてボットネットに取り込むマルウェアの一種です。そこから、IoTデバイス兵士は、ジャンクトラフィックのファイアーホースが悪意あるトラフィックで標的のサーバーをあふれさせるDDoS攻撃に利用されます。Miraiは今なお問題を引き起こし続けています。
PUPマルウェア
「potentially unwanted programs(望ましくない可能性のあるプログラム)」の略であるPUPは、ダウンロードしたソフトウェアとは無関係の広告やツールバー、ポップアップが含まれている可能性のあるプログラムです。厳密に言えば、PUPは必ずしもマルウェアであるとは限りません。PUPの開発者は、開発したPUPは、マルウェアとは異なり、ユーザーの同意を得てダウンロードされていると指摘しています。しかし、多くの人が、ダウンロードに同意したとは気付かずにダウンロードしていることは周知の事実です。
PUPは、多くの場合、正規のソフトウェアにバンドルされています。ほとんどの人が、新たなプログラムをインストールして、その際に小さい文字で書かれた部分を読まなかった、つまりは、何の役にも立たない追加のプログラムを選択したことに気付かなかったために、PUPをダウンロードする事態に陥っています。
PUPマルウェアの実例:
- Mindsparkマルウェア – ユーザーに気付かれないようダウンロードさせてユーザーのPCに入り込む、インストールが容易なPUPです。Mindsparkは、ユーザーが知らないうちに設定を変更したり、デバイスで特定の行動を引き起こしたりします。駆除が難しいことで有名です。
ハイブリッド
現在、ほとんどのマルウェアが、異なる種類の悪意あるソフトウェアを組み合わせたものになっています。トロイの木馬やワームの一部、時にはウイルスを含んでいることも少なくありません。一般的に、マルウェアプログラムはトロイの木馬としてエンドユーザーの下にやってきますが、実行すると、ワームのようにネットワークを介して被害者を攻撃します。
ハイブリッドマルウェアの実例:
- 2001年に、「ライオン」と名乗るマルウェア開発者が、ワームとルートキットを組み合わせたハイブリッドマルウェアを公開しました。ルートキットはオペレーティングファイルをハッカーがコントロールできるようにするもので、ワームはコードを急速に広げる強力な媒介者です。この悪意ある組み合わせは、大損害をもたらしました。1万台以上のLinuxシステムが損害を受けたのです。ワームとルートキットを組み合わせたマルウェアは、Linuxシステムの脆弱性を確実に利用するよう設計されていました。
ファイルレスマルウェア
ファイルレスマルウェアは悪意あるソフトウェアの一種で、正規のプログラムを使ってPCに感染します。ファイルに頼らず、痕跡も残さないことから、検出や駆除が難しくなっています。ファイルレスマルウェアは、2017年に登場して攻撃の主流派となりましたが、その手口の多くはその後も健在です。
ファイルへの保存やPCへのインストールを介さないファイルレス感染は、まっすぐメモリへ入り、悪意のある内容はハードドライブに残りません。サイバー犯罪者が、攻撃の効果的な代替手法であるファイルレスマルウェアにますます頼るようになり、痕跡が少なく、スキャンするファイルもないことから、従来のウイルス対策での検出がより一層難しくなっています。
ファイルレスマルウェアの実例:
- FrodoやNumber of the Beast、The Dark Avengerはどれも、初期に登場したファイルレスマルウェアの一種です。
ロジックボム
ロジックボムは、特定の日付やアカウントへの20回目のログインなど、特定の条件が満たされた場合にのみ動作するマルウェアの一種です。ウイルスやワームには、多くの場合、事前に設定した時間や何らかの条件が満たされた場合にペイロード(悪意のあるコード)を配信できるよう、ロジックボムが含まれています。ロジックボムによる被害は、データのバイトの変更からハードドライブが読み込めなくなるなど、多岐にわたります。
ロジックボムの実例:
- 2016年に、あるプログラマーが、シーメンス社のある支店で数年ごとにスプレッドシートが正常に機能しなくなるようにしました。そうすれば、その問題の解決のため、再雇用し続けてもらえるからでした。この事件では、ある偶然によってその悪意あるコードが明るみに出るまで、誰も何の疑いも持っていませんでした。
マルウェアの拡散方法
マルウェア脅威が広がる最もよくある方法には、次のようなものがあります。
- Eメール:Eメールがハッキングされると、感染した添付ファイルや悪意あるウェブサイトのリンク付きのメールが、マルウェアによってPCから送信させられます。受信者が添付ファイルを開いたり、リンクをクリックしたりすると、受信者のPCにマルウェアがインストールされ、このサイクルが繰り返されます。
- 物理媒体:ハッカーは、USBメモリにマルウェアをロードし、何も知らない犠牲者がコンピュータにそれを差し込むのを待っています。この手口は、企業スパイ活動でもよく使われます。
- ポップアップアラート:これには、ユーザーをだまして偽のセキュリティソフト(場合によっては、さらにマルウェアを)をダウンロードさせる偽のセキュリティアラートも含まれます。
- 脆弱性:ソフトウェアの欠陥によって、マルウェアに、PCやハードウェア、ネットワークへのアクセスを許してしまう可能性があります。
- バックドア:ソフトウェアやハードウェア、ネットワークやシステムセキュリティの意図的または非意図的な入口です。
- ドライブバイダウンロード:エンドユーザーが自覚しているか否かにかかわらず、予期せぬソフトウェアをダウンロードさせます。
- 権限昇格:攻撃者が、高い権限でPCまたはネットワークにアクセスし、それを攻撃に利用する状況を指します。
- 均一性:複数のシステムが同じオペレーティングシステムで動作し、同じネットワークに接続されている場合、ワームの拡散が成功するリスクは高まります。
- 混合型脅威:複数種のマルウェアの特徴を兼ね備えたマルウェアパッケージで、さまざまな脆弱性を利用することから、検知と阻止が難しくなっています。
マルウェア感染の兆候
以下に気付いたら、お使いのデバイスがマルウェアに感染しているかもしれません。
- PCの動作が遅く、クラッシュしたり、フリーズしたりする
- 悪名高い「死のブルースクリーン」になる
- プログラムが自動で開いたり閉じたりし、勝手に変更されていたりする
- 記憶容量が少なくなっている
- ポップアップやツールバーなど、望まないプログラムが増えている
- 送った覚えのないメールやメッセージが送信されている
ウイルス対策ソフトを使用して、マルウェア脅威から身を守る
マルウェア攻撃や迷惑プログラムから身を守る最善の方法は、包括的なウイルス対策ソフトを使用することです。カスペルスキー プレミアムは、24時間年中無休でハッカーやウイルス、マルウェアから保護し、データやデバイスの安全を保ちます。
関連製品:
関連記事:
