マルウェアの脅威は年々増大しており、企業・組織への影響は計り知れません。本記事では、マルウェアの具体的な被害事例を紹介し、感染時の症状や対処法について解説します。そして、セキュリティ対策の基本とマルウェア対策の基本的な考え方を押さえ、日々進化するサイバー脅威から自組織を守るために必要な知識を、わかりやすく解説していきます。
マルウェア被害事例
ウイルスの事例
マルウェア「Emotet」による感染被害
マルウェア「Emotet」は主にメールを介して広がり、その被害が深刻化しています。感染経路は、悪意のあるメールの添付ファイルやリンクを開くことにより、ユーザのPCに感染します。Emotetは巧妙な手口で、正規のメールを装うことで信頼性を高め、受信者に警戒させないようにします。感染後、企業や個人のPC内の情報が盗まれ、さらに他のマルウェアをダウンロードさせることもあります。関連企業では、業務停止やデータ流出による経済的損失が報告されています。特に日本国内の企業においても影響が広がり、国内通信事業者を含む複数の企業が注意喚起を行っています。
ワームの事例
ランサムウェアWannaCryによる感染被害
2017年に大規模な被害をもたらしたランサムウェア「WannaCry」は、Microsoft Windowsの未修正の脆弱性を悪用することで、世界中のコンピュータに急速に拡散しました。この脆弱性は、アメリカ国家安全保障局(NSA)が開発したとされるハッキングツールから漏洩したもので、WannaCryはこれを利用して無差別にシステムに侵入しました。攻撃の手口は、感染したコンピュータのファイルを暗号化し、被害者に身代金の支払いを要求するものでした。支払いはビットコインで行われることが多く、支払われない場合、ファイルは復号されずに失われると脅迫されました。社会への影響は甚大で、病院、学校、企業、政府機関など、世界中の数十万台のコンピュータが影響を受けました。特に医療機関では、患者の記録へのアクセスが妨げられ、治療に支障を来たす事態も発生しました。WannaCryは、サイバーセキュリティの重要性と、ソフトウェアの更新の必要性を広く認識させる契機となりました。
トロイの木馬の事例
GooglePlayのAndoroidアプリからマルウェア感染
2021年11月、Google Playに登録されたアプリにバンキング型トロイの木馬が含まれていることが判明しました。このマルウェアは認証情報や金融情報を盗むことを目的とし、30万台以上の端末に影響を与えました。攻撃者は、最小限のフットプリント(アプリ稼働時に要するメモリ容量)でアプリを登録し、ドロッパー(マルウェアを感染させるプログラム)の存在を隠蔽、ダウンロード後のアップデートでマルウェアを展開するという手口を用いていました。感染経路は公式ストアからのダウンロード後のアップデートであり、完全な防御は困難とされています。影響を受けたアプリはすでに削除されています。
PCがマルウェアに感染したら
マルウェアに感染したときの症状には以下のようなものがあります。
感染したときの症状
パソコンの動作が遅い
マルウェアに感染すると、システムリソースを過剰に消費するため、通常のタスクでもパソコンの動作が遅くなることがあります。これにより、プログラムの起動やファイルの読み込みが時間を要し、全体的なパフォーマンスが低下します。
予期しないフリーズやクラッシュ
マルウェアはシステムファイルを破壊したり、重要なプロセスを妨害したりすることで、突然のフリーズやクラッシュを引き起こします。これにより、作業中のデータが失われるリスクが高まります。
原因不明のストレージ容量の減少
マルウェアが悪意のあるプログラムをインストールし、大量のファイルをダウンロードするなど、ストレージ容量を消費します。突然、ストレージ容量が急激に減少する場合は感染が疑われます。
迷惑なポップアップ
アドウェアやスパイウェアなどのマルウェアは、感染後、ブラウザやデスクトップに不審なポップアップ広告を頻繁に表示させます。さらにブラウザを使用していない時でも突然表示されるため、ユーザの作業を妨げます。多くの場合、これらの広告は不適切な内容や詐欺的なオファーを含んでおり、クリックすると別のマルウェアに感染するリスクがあります。正規のウェブサイトを装った偽のポップアップにも注意が必要です。
ポップアップによるエラーメッセージ
マルウェアは偽のエラーメッセージを表示し、ユーザを混乱させることがあります。これらのメッセージは、実際のシステムエラーのように見えますが、偽のソフトウェアのダウンロードや個人情報の入力を促す悪意のあるプログラムを含むものです。正規のエラーメッセージとの区別が難しいため、ユーザが誤ってクリックしてしまい、別のマルウェアへの感染や情報漏洩のリスクが高まります。
偽のウイルス警告が出力される
突然、偽のウイルス警告が表示されることがあります。これらの警告は、ユーザを騙して不正なウイルス対策ソフトを購入させたり、さらなるマルウェアをインストールさせたりする目的で行われます。
セキュリティ設定が変更される
マルウェアは、システムのセキュリティ設定を無断で変更することがあります。これにより、ファイアウォールが無効化されたり、ウイルス対策ソフトが停止されたりすることで、さらに感染が拡大する恐れがあります。
不審なソーシャルメディア投稿がされる
感染した場合、マルウェアはユーザのアカウントにアクセスし、不審な投稿を自動的に行うことがあります。これにより、友人やフォロワーにウイルスが拡散されるリスクがあります。
プログラムが同意なしに実行、終了される
マルウェアは、ユーザの許可なくプログラムを起動したり、逆に正常なプログラムを強制終了させたりすることがあります。これにより、システムの安定性が損なわれます。
不審なアプリケーションが表示される
デスクトップやアプリケーションリストに見覚えのないソフトウェアが突然現れることがあります。これらはマルウェアによって密かにインストールされたものである可能性が高いです。
ファイルがランダムに消える
マルウェアはシステム内のファイルを破壊または削除することがあります。特に重要なファイルが意図せず消失する場合は、感染が疑われます。
インターネット使用量の原因不明の増加
突然のインターネット使用量の増加は、バックグラウンドでマルウェアが不正な通信を行っているサインかもしれません。これにより、インターネット速度が低下することもあります。
スマホがマルウェアに感染したら
スマホがマルウェアに感染したときの症状には以下のようなものがあります。
バッテリー消費が激しい
スマートフォンにマルウェアが感染すると、バックグラウンドで悪意のあるプロセスが常時稼働し続けるため、バッテリーの消耗が通常よりも急激に進むことがあります。頻繁な充電が必要になる場合、感染を疑うべきです。
広告や警告のポップアップ表示
感染後、ブラウザやアプリ内で不審な広告や偽の警告が頻繁に表示されることがあります。これらのポップアップは、別のマルウェアのインストールや詐欺サイトへの誘導を目的としています。
アプリが頻繁に落ちる
マルウェアは、システムリソースを過度に使用したり、アプリに悪影響を与えたりすることで、アプリが頻繁にクラッシュする原因となります。通常なら安定して動作するアプリが急に不安定になる場合、感染が疑われます。
動作が重くなる
マルウェアによるシステムリソースの過剰な消費やバックグラウンドでの不正な活動により、スマホ全体の動作が遅くなることがあります。アプリの起動や画面の切り替えが遅延する場合、注意が必要です。
データ使用量の増加
マルウェアは、不正なデータ通信をバックグラウンドで行うことがあり、その結果としてデータ使用量が急増することがあります。特にWi-Fiではなくモバイルデータを使用している場合、この症状は顕著です。
カメラが勝手に起動
スマホに感染したマルウェアは、ユーザが意図しないうちに勝手にカメラを起動し、写真や動画を撮影することがあります。この不審な動作は、プライバシーの侵害につながる重大なリスクです。
身に覚えのない支払い請求が届く
マルウェアは、ユーザの意図しないうちに高額なアプリやサービスを購入させることがあります。その結果、身に覚えのない請求が発生し、金銭的な被害が発生することがあります。
感染した場合の対処法
もしマルウェア感染したことが明らかであるならば、どのような対処をすればよいのでしょうか。速やかに対処すべきこととして以下のようなものがあげられます。
マルウェアの検出
マルウェア感染が疑われる場合、まずはウイルス対策ソフトを使用してシステム全体をスキャンし、マルウェアの存在を検出します。このスキャンは、感染の早期発見に繋がり、被害の拡大を防ぐために非常に重要です。定期的なスキャンとリアルタイムの監視が、予防と早期対応に不可欠です。
ネットワークの遮断
感染が確認された場合、まずネットワークから切り離すことが重要です。これは、マルウェアが他のデバイスに感染を広げ、外部に情報を送信したりするのを防ぐためです。ネットワークからの切断は、さらなる被害の拡大を防ぐための第一歩となります。
感染源の特定
メールの添付ファイル、ダウンロードしたアプリ、怪しいリンクなど、感染経路を突き止めることで、今後の再発を防ぐことが可能です。このプロセスは、同じ手口による再感染を防ぐために非常に重要です。
マルウェア検出ツールによる削除
検出されたマルウェアを専門の削除ツールで完全に除去します。ウイルス対策ソフトや専用のマルウェア削除ツールを使用することで、安全かつ確実にマルウェアを駆除し、システムを正常な状態に戻します。
セキュリティ対策の基本
セキュリティ対策の取り組みには、基本的なセキュリティ対策こそが効果的であるという前提に立って、今一度自組織のセキュリティを見直すことが重要です。
セキュリティ基本10項目
• 標的型攻撃メール訓練の実施
標的型攻撃メール訓練は、従業員のセキュリティ意識向上と実践的なスキル習得に効果的です。訓練では、攻撃メールを模倣したシナリオを用いて、従業員が疑わしいメールを識別し、適切に対応するスキルを養います。定期的な訓練実施により、従業員のセキュリティ意識が継続的に高まり、実際の攻撃に対する組織の耐性が強化されます。また、訓練後のフィードバックやセキュリティ教育との組み合わせにより、より効果的な対策が可能になります。
• 定期的なバックアップの実施と安全な保管(別場所での保管推奨)
ランサムウェアによる被害からデータを保護するために、オフラインバックアップ(データだけを独立して磁気テープ・ストレートなどで物理的に隔離しておくこと)をサーバに行うことがおすすめです。バックアップの頻度や保管場所を見直し、最新の情報が常に保存されるようにすることが重要です。
• バックアップ等から復旧可能であることの定期的な確認
バックアップが確実に復旧可能であることを確認するため、定期的にリカバリーテストを実施します。これにより、実際の復旧作業時に問題が発生しないことを保証し、緊急時に迅速かつ確実なデータ復旧が可能となります。また、テスト結果を文書化し、必要に応じて復旧手順の改善を図ります。このような確認作業を怠ると、いざという時にデータ復旧が困難になるリスクが高まります。
• OS、各種コンポーネントのバージョン管理、パッチ適用
システムの脆弱性を悪用する攻撃を防ぐためには、OSやソフトウェアコンポーネントの最新バージョンへの更新・パッチ適用の実施をすることが必要不可欠です。定期的なパッチ適用とバージョン管理により、サイバー攻撃のリスクを大幅に軽減できます。特にゼロデイ攻撃のリスクを軽減するためには、普段からの脆弱性関連情報収集やバージョン更新が求められます。
• 認証機構の強化(14文字以上といった長いパスフレーズの強制や、適切な多要素認証の導入など)
認証の強化は、サイバー攻撃から組織を守るための基本的な対策です。単純なパスワードではなく、長く複雑なパスワードにし、さらに多要素認証(MFA)を導入することを推奨します。多要素認証はパスワードに加え、物理トークンや生体認証などの認証要素を用いることで、不正アクセスされるリスクを低減します。これにより、アカウントのセキュリティが飛躍的に向上します。
• 適切なアクセス制御および監視、ログの取得・分析
システム内の情報やリソースへのアクセスを厳格に管理し、適切なアクセス制御を行うことは、内部からの不正行為を防ぐために重要です。また、システムの稼働状況やアクセスログを定期的に取得し分析することで、異常な挙動を早期に検知できます。
• シャドーIT(管理者が許可しない端末やソフトウェア)の有無の確認
シャドーITは、組織のセキュリティポリシーに反する可能性があり、脆弱性やデータ漏洩の原因となることがあります。定期的な監査や従業員への教育を通じて、シャドーITの存在を確認し、適切な対策を講じることが重要です。
• 攻撃を受けた場合に想定される影響範囲の把握
サイバー攻撃を受けた際に、どのような影響が組織に及ぶかを事前に把握しておくことは重要です。影響範囲を明確にすることで、インシデント発生時の対応計画を具体化し、迅速な対策を講じることが可能になります。システム全体の依存関係や業務の優先度を考慮し、被害を最小限に抑えましょう。
• システムのセキュリティ状態、および実装済みセキュリティ対策の有効性の確認
定期的にシステムのセキュリティ状態を確認し、現在のセキュリティ対策が有効に機能しているかを確認することが効果的です。脆弱性診断やペネトレーションテストを実施することで、システムの弱点を特定し、自組織の状況に適した対応の実施が可能になります。
• CSIRTの整備(全社的なインシデントレスポンス体制の構築と維持)
CSIRT(Computer Security Incident Response Team)は、サイバー攻撃やインシデント発生時に迅速かつ適切な対応を行うための専門チームです。CSIRTの整備は、全社的なセキュリティ体制を強化し、インシデント発生時の被害を最小限に抑えるために不可欠です。定期的な訓練とシミュレーションを通じて、CSIRTの対応力を維持し、常に最新の脅威に対応できる体制を整えます。
インシデント対応計画の策定
インシデント対応計画の策定は、企業がサイバー攻撃や情報漏洩などの緊急事態に迅速かつ効果的に対応するために不可欠です。計画には、インシデント発生時の対応手順、責任者の明確化、コミュニケーション手段の確保、影響評価、そして復旧手順が含まれます。計画は定期的に見直し、訓練を行うことで、実際のインシデント時にスムーズに対応できる体制を整えることが重要です。
マルウェア対策の基本的な考え方
不意に襲い来るマルウェアの被害を防御、あるいは最小限にとどめるためには、普段から基本的なマルウェア対策を講じることが重要です。以下のような例が挙げられます。
あらゆるマルウェアからシステムを守るために、組織内で汎用的な対策を確認しておきましょう。
まとめ
マルウェアは、Emotet、WannaCry、トロイの木馬など様々な形態で存在し、主にメールやウェブサイトを介して感染します。これらは個人情報や金融データの窃取、システムの暗号化、身代金要求などを目的としています。感染の症状には、パソコンの動作遅延、予期せぬフリーズ、ストレージ容量の減少、不審なポップアップの表示などがあります。スマートフォンでは、バッテリー消費の増加、アプリのクラッシュ、データ使用量の急増などが見られます。セキュリティ対策としてあげている基本的な10項目を組み合わせ、定期的な見直しと訓練を行うことで、セキュリティ対策の効果を高めることができます。またインシデント対応計画を策定や、マルウェア対策の基本的な取り組みを普段から実施し、サイバー攻撃のリスクに備えることが、組織全体のセキュリティを強化するために不可欠です。
Security Report TOPに戻る
TOP-更新情報に戻る
![開発環境に係るセキュリティインシデント[事例1]の画像](https://www.sqat.jp/wp-content/uploads/2023/09/kawaraban_vol.24_image3.jpg)
![開発環境に係るセキュリティインシデント[事例2]の画像](https://www.sqat.jp/wp-content/uploads/2023/09/kawaraban_vol.24_image4.jpg)
