あなたは「マルウェア」についてどのくらい知っていますか?
スマートフォンやパソコンが普及し、ネットと繋がる環境が普通になった今、マルウェア対策を常に考える必要があります。
ここでは、マルウェアとは何か? ウイルスとの違いと種類について解説します。
マルウェアとは
「マルウェア」とは、「悪意のあるソフトウェア (Malicious Software)」を短縮した造語です。
経済産業省の「コンピューター・ウィルス対策基準」という告示で、マルウェアは「第三者のデータベースやプログラムへ意図的に被害を与えるプログラム=マルウェア」と規定されています。
基本的な概念として、他者のパソコンやシステムに意図的に害を及ぼすプログラムやコードのことですが、さらに以下の特徴3つのうち1つでも当てはまるものを指すとします。
- ほかのシステムに悪意あるプログラムが感染する「感染機能」
- 特定時刻や時間まで無症状な「潜伏機能」
- データやプログラムを破壊するなど、パソコン・システムユーザーの意図しない動作をおこなう「発病機能」
マルウェアとウイルスの違いとは?
企業からの情報流出事故が新聞などで報じられるとき、「ウイルス被害」などと書かれていたりします。しかし、そこで書かれている「ウイルス」=「広義のウイルス」である場合が多いです。
一般読者にわかりやすいよう「ウイルス」と書いているだけで、専門家や専門雑誌は、このような広義のウイルスを「マルウェア」と呼びます。
マルウェアの種類について
マルウェアにはいろいろな種類がありますが、被害の多い以下のマルウェアについてご説明します。
プログラムを改変する「ウイルス」
“不正プログラム”のことを”ウイルス”と呼んでいますが、正確に言えば不正プログラム全体のことを「マルウェア」と呼び、ウイルスもこのマルウェアの一種です。
ウイルスは、増殖がほかのファイルへの感染以外にないタイプのマルウェアです。それゆえ、「ファイル感染型ウイルス」とも言われます。
生物界のウイルスなどと同様に、感染先の宿主がないと自分を増やしたりできないのが特徴です。ウイルスに感染されたファイルはウイルスが内部に入り込むことで、内容を改変されてしまいます。
単体で増殖可能「ワーム」
ウイルス同様、ワームにも増殖機能があります。しかし、ファイルに感染しつつ増殖するウイルスに対し、ファイルに感染せず単体での増殖が可能です。
ネットワーク経由で入り込んでくることが多く、単独で動き出し不正を働くとともに自分自身を増殖させます。
正体を隠し侵入する「トロイの木馬」
トロイの木馬は、害のないファイルを偽ってコンピュータへ侵入し、データ消去やファイルの外部流出、他のコンピュータの攻撃などの破壊活動を行うプログラムです。
トロイの木馬の語源はギリシア神話のトロイア戦争に語られるトロイの木馬になぞらえて名前がつけられました。トロイア戦争の際に、ギリシアのオデュッセウス(オデッセイ)がトロイア攻略のために巨大な木馬を作らせてその中にギリシア兵を隠し、トロイ市内に運び込ませたという手法が似ているためです。
トロイの木馬については以下のページで詳しく解説しています。
犯罪の踏み台にされる「ボット」
第三者が外部からネットワーク経由で遠隔操作できるプログラムです。ボットに乗っ取られると、迷惑メールの大量配信やWebサイトの攻撃に勝手に利用されます。
パソコンの所有者がまったく気づかない間に犯罪者に仕立てられる可能性もあります。
データを抜かれ放題になる「バックドア」
バックドアとはプログラムの脆弱性を狙って不正侵入するための「裏口」のことです。裏口を開けておけば、すべてのプログラムが実行可能になるため、個人データの転送なども簡単にできてしまいます。
スパイのようにひっそりと活動する「スパイウェア」
ユーザーのキー入力やWebブラウザの履歴などの情報を勝手に収集し、その情報をユーザーの興味のありそうな広告を表示することが多いです。スパイウェアは、身近なWebサイトでも使われていて、利用条件を承諾すると違法とは言えなくなります。
それぞれマルウェアは名称がありますが、「〇〇の亜種」と呼ぶものもあります。亜種とは、元々あるマルウェアと同様のプログラム・コードを使用していたり、似たふるまいをしたりするものです。
ここで注意すべきなのが、同様のマルウェアでも、ウイルス対策ソフト・会社によって呼称が違う場合のあることです。統一名称のないマルウェアも多いですから、新聞報道などでは分かりにくいこともあります。
スパイウェアについては以下のページで詳しく解説しています。
マルウェアをつくる攻撃者の目的
ハッカーなどの攻撃者がマルウェアを作成するのは、つぎのような目的が考えられます。
金銭を手に入れる目的
トロイの木馬などのマルウェアは、種類によって個人情報を盗むことが可能です。盗んだ情報を使って、つぎのようなことをおこなう可能性があります。
- ネットバンキングのログイン情報を盗み、不正に金銭を引き出す
- メールアカウントを乗っ取り、迷惑メールの送信元にさせる
- 手に入れた個人情報を名簿業者などに売却する
- 手に入れた個人情報を見せて不安を煽り、金銭やソフトの購入を迫る
- パソコン内のファイルを読み込めなくし、復旧に身代金を要求する(ランサムウェア)
相手を驚かせるイタズラ目的
単純に、相手を驚かせる目的で作成されたマルウェアもあります。こういったマルウェアは、デスクトップに表示を出してくるなど、感染に気づきやすい動きをすることが多いです。そのため、比較的駆除しやすいといえるでしょう。
インターネットが普及しはじめた当初に登場したマルウェアは、驚かせるだけで悪質な機能を持たないものが多かったですが、最近のマルウェアは大半が悪質な機能を持ちます。
マルウェアは簡単につくれてしまう
新種のマルウェアは既存のマルウェアを少々細工したり、ツールを使ったりして比較的容易に作成することが可能です。いくつかのサイトでマルウェアの検体が配布されていますし、マルウェア作成ツールなども販売されているといいます。
これらのサイトやツールを使えば、それほどプログラミングに精通していなくても、マルウェアを用意できてしまいます。このため、1日に数万個以上の新種が発見されているのでしょう。もちろん、マルウェアの作成や配布は犯罪行為です。しかし、現に毎日数多くのマルウェアが作成され、拡散されています。
マルウェアの被害状況とは?
マルウェアの被害は世界中で後を絶ちません。では、どれだけの被害が出ているのでしょうか?最新のデータを見ていきましょう。
マルウェア数の推移(2014年上半期~2015年下半期)
マルウェアの数は1日数万個ずつ増加しているといわれます。ウイルス対策ソフト大手のマカフィー社がまとめた最新データによれば、2015年の第4四半期までに発見されたマルウェア数の合計は、4億5千万個以上(スマホのマルウェアなど、モバイル脅威も含む)。
まもなく5億個に達するという膨大な数になっています。ただし、報告されていない未知のマルウェアも存在するため、実際の数はさらに多いと思われます。
新しく発見されたマルウェア数(2014年上半期~2015年下半期)
こちらのデータは、新しく発見された新種のマルウェアの数です。2014年第1四半期~2015年第4四半期で見てみると、新種のマルウェアがもっとも多く見つかったのは、2014年第4四半期。じつに4千5百万個以上という数になりました。
過去、マルウェア数が膨大に増えた2013年には、1日におよそ315,000個もの新種ウイルスが生成されたといわれています。ウイルス対策ソフトは、データ更新することで新種も駆除できるように順次対応していますが、これだけの量の新種が現れると、すぐに全部を駆除できるわけではありません。
そのため、ウイルス対策ソフトで検出できないウイルスが日々増えているというわけです。検知できないため、知らないうちに感染して被害を受けている可能性もあります。
スマホを攻撃対象としたマルウェア数(2014年上半期~2015年下半期)
パソコンでのマルウェア被害が増えるなか、スマートフォンなどモバイルウェアを攻撃対象としたマルウェアも爆発的に増加しています。
スマホ利用者が増えたこともあり、スマホでのマルウェアの被害も大幅に増加しています。最新データの2015年第4四半期には、その数が1千2百万以上に達し、2014年第1四半期の3倍となりました。
スマホでもマルウェア感染に十分注意が必要ということが、お分かりいただけるのではないでしょうか。
感染拡大中の危険なマルウェアとは?
2016年6月ごろから、「Gozi」(別名:Ursnif、Snifula、Paprasなど)と呼ばれるマルウェアが国内で感染を拡大しており、日本サイバー犯罪対策センター(JC3)が注意喚起をおこなっています。
その特徴は、クレジットカードやオンラインバンキングの情報などを盗む機能を持つこと。地方銀行を含む約40件の金融機関に対応しており、感染すれば金銭的な被害を受ける危険があるといえるでしょう。
このマルウェアの感染経路は、なりすましメールの添付ファイルや、改ざんされたサイトからの感染が多く報告されています。メールの開封にはよく注意して、セキュリティソフトを最新版にアップデートすることが望ましいです。
企業でのマルウェア感染被害は深刻!
マルウェアは1日に数万~数十万の新種・亜種がつくられるといわれます。そんななか、最近発見された悪質なウイルスについて解説します。
社内パソコン・サーバーが感染するとどうなる?
社内でパソコンやサーバーがウイルス感染すると、非常に大きな被害に繋がりかねません。たとえば、つぎのような事象が考えられます。
- 社内で保有していた個人情報・機密情報が第三者へ送信される
- メールサーバーが乗っ取られ、ユーザーにスパムメールを大量送信、ウイルス拡散
- 自社サイトが改ざんされ、アクセスしたユーザーにウイルス感染させる
- IPがブラックリスト登録され、GoogleやYahooの検索結果から抹消される
- ドメインがブラックリスト登録され、メールの送受信が不可能になる
- 遠隔操作されて他社へ攻撃をおこなうなど犯罪行為に使われる
企業におけるマルウェアの感染事例
マルウェア感染が原因でサイバー事故を起こした企業・団体の事例をいくつかご紹介します。
2015年6月:日本年金機構
日本年金機構の福岡市内オフィスで職員がメールの添付ファイルを開封。その際にマルウェア感染し、約125万件にのぼる個人情報が流出しました。
2015年10月:東京大学
東京大学の管理する業務用パソコンがマルウェア感染。これにより不正アクセスが実行され、同パソコン・サーバーに保存されていた個人情報3万6300件が流出しました。
2016年11月:新生インベストメント&ファイナンス
新生銀行のグループ会社、新生インベストメント&ファイナンスの社内パソコンが「なりすましメール」を受信、ファイルをダウンロードしたことでマルウェアに感染。
結果、35件の債権関連情報が流出した可能性があると発表しました。なお、未知のマルウェアだったため、セキュリティソフトで対処できなかったとのことです。
社内で感染が疑われる際の対処方法
メールの添付ファイルを開いてからパソコンの様子がおかしい、サーバーに第三者から侵入の形跡があった・・・という場合、マルウェア感染やハッキングの被害が疑われます。
このような症状が出たら、一秒でも早い対処が必要です。多くの場合、フォレンジック(サイバー事故時の緊急対応)が必要になります。
まとめ
マルウェアとは何か、ウイルスとの違い種類について解説しました。
パソコンやスマートフォンなどネットワークを経由する機器はマルウェアに感染する危険性があります。大切な情報を漏えいされないためにもセキュリティ対策をしっかりとおこないましょう。
