マルウェアとは - 悪意あるソフトウェアの全体像
マルウェア (Malware) は「Malicious Software」の略で、コンピュータやネットワークに損害を与える目的で作成されたソフトウェアの総称です。ウイルス、ワーム、トロイの木馬、ランサムウェア、スパイウェアなど、さまざまな種類が存在し、それぞれ異なる手口と目的を持っています。
マルウェアの歴史は 1986 年の Brain ウイルスに遡ります。パキスタンのプログラマー兄弟が作成したこのウイルスは、フロッピーディスクのブートセクタに感染し、ディスクのボリュームラベルを「(c) Brain」に書き換えるものでした。当時は愉快犯的な動機が主でしたが、現在のマルウェアは金銭目的の組織犯罪が大半を占めています。
マルウェアの種類と特徴
マルウェアは感染方法、自己複製の有無、目的によって分類されます。
| 種類 | 自己複製 | 宿主の必要性 | 主な目的 |
|---|---|---|---|
| ウイルス | あり | 必要 (実行ファイルに寄生) | ファイル破壊、システム妨害 |
| ワーム | あり | 不要 (単独で動作) | ネットワーク経由の大量拡散、帯域消費 |
| トロイの木馬 | なし | 不要 (正規ソフトに偽装) | バックドア設置、情報窃取 |
| ランサムウェア | なし (一部あり) | 不要 | ファイル暗号化、身代金要求 |
| スパイウェア | なし | 不要 | キー入力記録、画面キャプチャ、認証情報窃取 |
| アドウェア | なし | 不要 | 不正な広告表示、ブラウザハイジャック |
| ルートキット | なし | 不要 | OS レベルでの隠蔽、管理者権限の奪取 |
ウイルスとワームの決定的な違い
ウイルスは生物のウイルスと同様に「宿主」が必要です。実行ファイル (.exe)、ドキュメント (マクロウイルス)、ブートセクタなどに寄生し、ユーザーがそのファイルを実行したときに活動を開始します。一方、ワームは宿主を必要とせず、ネットワークの脆弱性を突いて自律的に拡散します。2003 年の SQL Slammer ワームは、わずか 10 分で全世界に拡散し、インターネットの帯域を圧迫しました。
トロイの木馬の巧妙さ
トロイの木馬は自己複製しません。その代わり、正規のソフトウェアやファイルに偽装してユーザーに自らインストールさせます。無料のゲーム、海賊版ソフトウェア、偽のセキュリティツールなどが典型的な偽装手段です。一度インストールされると、バックドアを開いて攻撃者にリモートアクセスを許可したり、キーロガーで認証情報を窃取したりします。
感染経路 - マルウェアはどこから来るのか
マルウェアの感染経路は多岐にわたりますが、主要なものは以下の 5 つです。
フィッシングメール
最も一般的な感染経路です。正規の組織を装ったメールに悪意のある添付ファイル (Office マクロ、PDF、ZIP) やリンクが含まれています。フィッシング詐欺の見分け方を知っておくことが、マルウェア感染の予防に直結します。
ドライブバイダウンロード
改ざんされた Web サイトや悪意のある広告 (マルバタイジング) を閲覧しただけで、ブラウザやプラグインの脆弱性を突いてマルウェアが自動的にダウンロード・実行されます。ユーザーの操作を必要としないため、特に危険です。
ソフトウェアの脆弱性
OS やアプリケーションの未修正の脆弱性を悪用して侵入します。特にリモートデスクトップ (RDP) の脆弱性、VPN 機器のゼロデイ脆弱性、Web サーバーの設定不備が狙われます。2017 年の WannaCry ランサムウェアは、Windows の SMB プロトコルの脆弱性 (EternalBlue) を悪用し、150 か国以上で 20 万台以上のコンピュータに感染しました。
USB デバイスと物理メディア
感染した USB メモリをパソコンに接続するだけで、自動実行機能を通じてマルウェアが実行されるケースがあります。Stuxnet (2010 年) はイランの核施設を標的とし、USB メモリ経由で隔離されたネットワークに侵入しました。
サプライチェーン攻撃
正規のソフトウェアアップデートにマルウェアを混入させる手口です。2020 年の SolarWinds 事件では、IT 管理ツール Orion のアップデートにバックドアが仕込まれ、米国政府機関を含む 18,000 以上の組織に影響が及びました。
マルウェアの検出方法
セキュリティソフトがマルウェアを検出する手法は、大きく 3 つに分類されます。
| 検出手法 | 仕組み | 強み | 弱み |
|---|---|---|---|
| シグネチャベース | 既知のマルウェアのバイトパターン (シグネチャ) と照合 | 既知の脅威に対して高精度。誤検知が少ない | 未知のマルウェアやポリモーフィック型を検出できない |
| ヒューリスティック / 振る舞い検知 | プログラムの動作パターン (ファイル暗号化、レジストリ改変、ネットワーク通信) を監視 | 未知のマルウェアも検出可能 | 誤検知 (正規ソフトをマルウェアと判定) のリスクがある |
| サンドボックス解析 | 隔離された仮想環境でファイルを実行し、挙動を観察 | 実際の動作を確認できるため、高い検出精度 | 解析に時間がかかる。サンドボックス回避技術を持つマルウェアも存在 |
現代のセキュリティソフトは、これら 3 つの手法を組み合わせた多層防御を採用しています。さらに、クラウドベースの脅威インテリジェンスと連携し、世界中のユーザーから収集した脅威情報をリアルタイムで共有することで、新種のマルウェアへの対応速度を高めています。
マルウェアの検出技術と対策を体系的に学ぶには、ウイルス対策の専門書が参考になります。
マルウェアから身を守る実践的な対策
OS とソフトウェアを常に最新に保つ
セキュリティパッチが公開されたら速やかに適用してください。WannaCry の被害が拡大した最大の原因は、Microsoft が 2 か月前にリリースしていたパッチを適用していないシステムが多数存在したことです。Windows Update の自動更新を有効にし、ブラウザやプラグインも最新版を維持しましょう。
セキュリティソフトを導入し、リアルタイム保護を有効にする
Windows には Microsoft Defender が標準搭載されており、独立テスト機関 AV-TEST の評価でも商用製品と遜色ない検出率を記録しています。追加のセキュリティソフトを導入する場合は、リアルタイム保護が競合しないよう注意してください。
メールの添付ファイルとリンクに警戒する
知らない送信者からの添付ファイルは開かない。知人からのメールでも、予期しない添付ファイルやリンクは確認してから開く。Office ファイルの「マクロを有効にする」ボタンは、正当な理由がない限りクリックしない。
バックアップを定期的に取得する
ランサムウェア対策の要はバックアップです。3-2-1 ルール (3 つのコピー、2 種類のメディア、1 つはオフライン) を実践してください。クラウドストレージの同期機能だけではバックアップとして不十分です。ランサムウェアが暗号化したファイルがそのまま同期されてしまうためです。
不審なソフトウェアをインストールしない
公式サイトや公式アプリストア以外からのソフトウェアダウンロードは避けてください。「無料で有料ソフトが使える」と謳うサイトは、ほぼ確実にマルウェアが仕込まれています。ハッキングされていないか確認する方法も知っておくと安心です。
感染が疑われる場合の対処
以下の兆候が見られたら、マルウェア感染を疑ってください。
- パソコンの動作が急激に遅くなった
- 見覚えのないプログラムが起動している
- ブラウザのホームページや検索エンジンが勝手に変更された
- ポップアップ広告が頻繁に表示される
- ファイルが開けない、拡張子が変わっている (ランサムウェアの兆候)
- セキュリティソフトが無効化されている
感染が疑われる場合は、まずネットワークから切断してください。有線 LAN ケーブルを抜き、Wi-Fi をオフにします。これにより、マルウェアが外部のコマンド & コントロールサーバーと通信するのを遮断し、ネットワーク内の他のデバイスへの拡散を防ぎます。その後、セキュリティソフトでフルスキャンを実行し、検出されたマルウェアを駆除します。
デバイスの暗号化を事前に設定しておけば、マルウェアによるデータ窃取のリスクを軽減できます。IP 確認さんで通信状況を確認し、不審な接続先がないかチェックすることも有効です。