マルウェア「EMOTET」が日本で再流行しているというニュースを目にしたことがありませんか?
現在、このようなサイバー攻撃は激化していて、だれもが1度は身に覚えのないメールを受け取り、取引先からのメールだからと安心して開こうとしてしまったなんてことがあるのではないでしょうか。
以前と比較してもかなり進化しており、巧妙化しているメールなど、一見すると怪しく見えずに開いてしまいマルウェアに感染してしまったというケースが跡を絶ちません。
個人はもちろんのこと、企業のパソコンが感染してしまうと甚大な被害が出てしまうことにもなりかねません。
被害の拡大を防ぐためにも、マルウェア感染の見極めはもちろん、感染してしまった場合の迅速で適切な対処をすることで被害を抑えることができるのです。
この記事では、マルウェアに感染してしまったかを判断する方法、感染してしまった場合の適切な対処方法について解説いたします。
IT業務のお悩みやお困りごと、コスト削減をお考えなら、まずはITのことならなんでも無料で相談できるITボランチへご相談ください。お問い合わせはこちらから
Contents
マルウェアとは?
そもそもマルウェアとは何を意味するものでしょうか?マルウェアという言葉は、Malicious Software(悪意のあるソフトウェア)をMalwareと略した造語です。その名の通り、悪意のあるソフトウェアの総称です。
マルウェアは意図的に何らかの被害を及ぼすように作られたプログラムで、「自己伝染機能」、「潜伏機能」、「発症機能」の三つの機能のうち一つ以上の機能を持つものと定義されています。
他のプログラムに感染することでデータ窃取やデータ改ざんを行う「コンピューターウイルス」、自己増殖を繰り返す「ワーム」、自らを正常なプログラムを装い侵入する「トロイの木馬」、ユーザーに関する情報を不正に収集する「スパイウェア」、広告を装い情報を収集する「アドウェア」などが、マルウェアとしての機能を持ちマルウェアとして定義されます。
近年流行している「ランサムウェア」は「発症機能」、「EMOTET」は「潜伏機能」を持ったマルウェアです。
EMOTETについては下記参考記事をご参照ください。
マルウェアの感染経路
このようなマルウェアにどのような経路で感染してしまうのでしょうか?代表的な感染経路について紹介します。
Eメールの本文、添付ファイルを経由して感染
マルウェアの主な感染経路としてEメールを経由した感染が最も多いと言われています。これはEメールそのものではありません。添付されたファイルを開いたり、メール本文に記載されたURLリンクを表示することでマルウェアに感染するという経路です。
このようなEメールはフィッシングメール、詐欺メールなどと呼ばれ、近年では社会的な問題となっています。また最近ではEメールのみならず、携帯電話のショートメッセージや、SNSのダイレクトメッセージなどが同様の手口で悪用されることがあります。
Webサイトの閲覧、アプリケーションの利用で感染
普段よく利用するWebサイトの閲覧や、アプリケーションを経由した感染経路も存在します。これらは正規のWebサイト装いコンテンツやアドオン機能をダウンロードさせたり、アプリケーションのアップデートを装いユーザーにダウンロードさせる手口です。またExcelのマクロ機能のようにデータの中身に仕込まれるケースもあり大変巧妙です。
このようなWebサイトは元々悪意がなくとも、Webサイトの脆弱性から侵入、改ざんされることで攻撃者に操られボット化するケースもあります。ボット化したWebサイトはマルウェアを仕込まれバラ撒きに利用され、不正アクセスの踏み台など犯罪に利用される状態にあり危険な感染経路になりえます。
記憶媒体を通じた感染
インターネット経由だけではありません。近年では利用も減りましたが、USBメモリ、CD、DVD、ポータブルHDD、SDカードなどのリムーバブルディスク経由で感染するケースもあります。
感染すると起こる症状
ではマルウェアに感染するとどのような症状が起こるのでしょうか?感染したパソコンの特徴として、不正なプログラムがバックグランドで動作することで、CPUを占有するケースが多くみられます。その為、過多なデータ通信やCPUの稼働により、筐体が熱を持ち全体の処理速度が低下する傾向が見られます。
またランサムウェアのように身代金を目的とするマルウェアや愉快犯、政治的な主張を持つ攻撃者はユーザーに感染したことを見せびらかすために意図的にポップアップを表示させるものもあります。
しかし、大半のマルウェアは利用者に気づかれないようにパソコンに侵入します。諜報的に情報を収集し外部から任意に遠隔操作できる裏口の侵入経路(バックドア)を設け、攻撃者が遠隔操作できるようにしたり、気付けれないように長期的に情報を抜き取ったほうが攻撃者にとってはメリットがあるでしょう。
またパソコンを組織化しボットネットを形成することで、DDoS(Distributed Denial of Service attack/分散型サービス拒否攻撃)攻撃を行うなどの標的型攻撃においては気づかれないサイレント型のマルウェアが殆んどです。
どのような被害が想定されるのか
マルウェアに感染することでどのような被害、影響があるのでしょうか?マルウェア感染はさまざまな問題が引き起こされます。
最も大きな影響として機密情報の漏えいがあげられます。マルウェアによって金融機関の口座情報、クレジットカード情報、重要なWebサイトのパスワード情報などが盗取され、個人の生命や資産を脅威に晒す可能性があります。また企業にとっても機密情報が盗取され流出することで世間の信頼が失墜し、多額の賠償問題に発展する可能性があります。
さらにマルウェアはパソコン単体のみならず同一ネットワークにつながったファイルサーバーなどのデータにも影響を与える可能性があります。特にランサムウェアはファイルが強制的に暗号化され、解除にも多額の身代金を要求されるケースがあるため事業継続に大きな支障をきたすでしょう。
それだけではありません。マルウェアに感染したパソコンは、バックドアを経由して、攻撃者に不正な遠隔操作されることで攻撃の踏み台として利用されることで、場合によっては「被害者」から「加害者」になりえるのです。
感染しているか確認する方法とは
マルウェアに感染している兆候が見られた場合、感染しているかどうかを確認する方法として一番確実なのはセキュリティソフトによるウィルススキャンです。パソコン内部のすべてのファイルやアプリケーションをスキャンし、怪しいファイルやアプリケーションを検出してくれます。
しかし既に感染の兆候があった場合や、怪しい振る舞いが発見された場合は、既に感染している可能性が高いと言えるでしょう。なぜならセキュリティソフトのスキャン機能は、シグネチャと呼ばれる定義ファイルに基いて行われます。このシグネチャは常に最新である必要がありますが、ベンダーから提供されるシグネチャのアップデートはタイムラグがあり、最新のマルウェア情報が反映されていないケースがあります。
このようなタイムラグを狙った攻撃をゼロデイ攻撃と呼びます。ゼロデイ攻撃は、最新のマルウェア情報、脆弱性情報が発見されてから、その情報公開や対策が講じられる前に、そのセキュリティホールを狙う攻撃です。
ゼロデイ攻撃ではこのようにセキュリティホールに対し無防備な状態を狙うため、このように日々、亜種のウィルスが発見される昨今においてウィルススキャンのリアルタイムイな感染確認も完璧ではありません。
ですので、感染が発見された際には、一定期間の潜伏期間や感染被害があったと考えて対処すべきです。次の章では対処方法をご紹介します。
感染している場合の適切な対処方法
それではもし感染していた場合、どのように対処するべきでしょうか?
パソコンの隔離
まずは感染したパソコンをネットワークから切り離し隔離する事です。LANケーブルを抜線する、Wi-Fiを切るなどの対処をしましょう。感染した状態のパソコンはマルウェアの侵入経路や、影響範囲を見極める必要があります。つまり状態を保全し可能な範囲でパソコンの細かい動作を解析する必要があります。
あせって強制的に電源を切ってしまったり、再起動などをしてしまうと大切なログが消失してしまう場合もあるため、まずは何よりも先にパソコンを隔離しましょう。
感染経路、被害範囲の確認
マルウェアがどのような感染経路で侵入したのか、またどのような種類なのかを確認します。感染経路が判明すれば企業内で情報を共有することができます。
また被害範囲として企業のネットワーク内においても、同一セグメントのパソコンやサーバーに影響がないか確認する必要があります。特に業務データが集中するファイルサーバーやDBサーバーに不正アクセスの形跡がないかなど業務に影響がないかを確認します。
ウィルスソフトによる駆除
先述した通り、ウィルスソフトのスキャンでも検出し駆除することは可能です。シグネチャで検出できる既知のマルウェアはセキュリティソフトで駆除しましょう。
バックアップからのリストア
感染したタイミングがわかれば、感染前の状態にリストアすることも検討しましょう。セキュリティソフトは完璧ではないことは先述した通りです。駆除したものの不安が残る場合、バックアップがあればリストアし、もしバックアップが無い場合パソコンの初期化も検討しましょう。
感染しないための予防策とは
マルウェア感染を防止するための対策を紹介します。
OS、アプリケーションの状態を常に最新に保つ
まず何よりも大前提として利用しているパソコンやデバイスのOSやアプリケーション、セキュリティソフトの状態を常に最新にしておくことが重要です。大抵のマルウェアはOS やアプリケーションの脆弱性を悪用し攻撃を仕掛けます。古いOSやメーカーのサポートサービスが切れたアプリケーションはリスクが高く標的になりやすい状態です。某セキュリティベンダーの調査報告によると世界中で猛威を振るったランサムウェア「WannaCry」に感染したPCの98%は「Windows 7」搭載だったというデータもあります。
参考:ITmedia「WannaCry」感染の98%は「Windows 7」で「XP」はほぼゼロ
疑わしいEメールからリンクや添付ファイルを開かない
感染経路として最も多いEメールを警戒するのも有効な対策です。多くの場合、攻撃者はユーザーにマルウェアをダウンロードさせようとするため、Eメールを使って悪意のあるWebサイトに誘導しようとします。少しでも不審な場合は、メール本文のリンクや添付ファイルなど開かないようにしましょう。
不正なコンテンツを使用しない
映画、音楽、動画、アプリケーションなど、オーソライズされたコンテンツでないものは利用を避けましょう。不正なWebサイトや海賊版のアプリケーションはアドウェア、スパイウェアが仕込まれている可能性が非常に高く、情報漏洩にかなり高い確率でつながります。
無料だから、安いから、と言って手に入れるコンテンツは、それ以上のものを失うことを認識し利用しないようにしましょう。
セキュリティソフトを導入する
市場には様々なウィルス対策ソフトがあります。それぞれに特徴があり、個々の利用状況によって導入メリットは異なりますが、近年では優秀な無償セキュリティソフトもリリースされており、動作も軽量です。ゼロデイ攻撃に対応したものもありますが、ウィルススキャンの機能などまずは必要最低限の機能として実装しておくべきでしょう。
まとめ
マルウェアの被害は企業規模に関係なく、国内外で被害にあったというニュースが多数起きています。
ましてや、貴方の日々マルウェアが添付されたメールが届くほど流行しているのです。
一度でも感染してしまうと、大きな被害を受けてしまう可能性がある危険なソフトウェアです。
また、マルウェアが怖いのは、被害が自分自身にとどまらず、知らず知らずのうちに他者にマルウェアを感染させてしまい被害が拡大するといった点です。
企業としての予防策はもちろんなのですが、何より大切なのは従業員1人1人がきちんと意識することなのです。
従業員のITリテラシーが低いからといって、1度のミスが大きな被害を招きかねません。
企業としての従業員のセキュリティ教育にも力をいれることを検討してみましょう。
中小企業の社内SEや情シスが「マルウェアに注意しましょう」という警告を出すことは有効な予防には繋がりません。どのような危険があって、感染したらどうすればいいのか、具体的な対処方法を通知することが大切です。
また、マルウェアなどのサイバー攻撃に対して適切なツールやソフトウェアのノウハウがあるようなサービスベンダー(外注先)にアウトソースするというのも有効な手段です。
自社だけでは蓄積することができないナレッジをもっているような企業であれば、何が適切な予防策なのかアドバイスまたは提案をしてくれます。
日々進化しているサイバー攻撃に対処するために自社で対応できることには限界があります。専門家にアウトソースすることで自社にノウハウを蓄積していきましょう。
