1.3.2. マルウェア・不正プログラム

1. 概要

 マルウェア(malware)とは、「悪意のあるソフトウェア」(malicious software)の略称であり、コンピュータシステムに害を及ぼすことを目的として作成された不正なプログラムの総称です。これらのプログラムは、ユーザーの同意なしにコンピュータにインストールされ、様々な悪影響を及ぼします。

 マルウェアは情報セキュリティにおいて重大な脅威となっており、個人情報の窃取、システムの破壊、不正アクセスの踏み台としての悪用など、深刻な被害をもたらす可能性があります。そのため、マルウェアの種類と振る舞いを理解することは非常に重要です。

2. 詳細説明

2.1. マルウェアの主な種類

2.1.1. コンピュータウイルス

 自己複製能力を持ち、他のプログラムやファイルに感染して拡散するマルウェアです。感染したプログラムが実行されるたびに、ウイルスも実行され、他のプログラムやシステムに感染を広げます。代表的な感染経路としては、メールの添付ファイルや不正なダウンロードが挙げられます。

2.1.2. マクロウイルス

 Microsoft Officeなどのアプリケーションのマクロ機能を悪用して作成されたウイルスです。文書ファイル(例:.doc、.xls)を介して感染し、ユーザーがマクロの実行を許可すると、ウイルスが活性化して他の文書にも感染します。

2.1.3. ワーム

 他のプログラムに寄生せずに自己複製・拡散する能力を持つマルウェアです。ネットワークを通じて拡散し、感染したシステムのリソースを消費することが多いです。主な感染経路は、インターネットやローカルネットワークの脆弱性を悪用するものです。

2.1.4. ボット

 遠隔操作により制御される不正プログラムです。ボットに感染したコンピュータは、C&Cサーバ(Command and Control Server)を通じて攻撃者からの指令を受け、DDoS攻撃やスパムメールの送信などを行います。多くのボットが連携して動作する場合は、ボットネットと呼ばれます。

2.1.5. トロイの木馬

 正規のソフトウェアを装ってシステムに侵入し、内部で不正な動作を行うマルウェアです。トロイの木馬は、ウイルスやワームのように自己複製することはありませんが、キーロガーやバックドアなどの他のマルウェアをインストールするために利用されることが多いです。

2.1.6. スパイウェア

 ユーザーの個人情報や行動を密かに収集し、外部に送信するマルウェアです。ブラウザ履歴やクレジットカード情報、パスワードなどの機密情報を収集するために使われます。

2.1.7. ランサムウェア

 ファイルを暗号化して使用不能にし、解除と引き換えに身代金を要求するマルウェアです。感染経路は、主にメールの添付ファイルや悪意のあるリンクです。

2.1.8. キーロガー

 キーボード入力を記録し、パスワードやクレジットカード番号などの機密情報を盗み取るマルウェアです。トロイの木馬として感染することが多いです。

2.1.9. ルートキット

 システムの深部に潜伏し、自身の存在を隠蔽しつつ不正な動作を行うマルウェアです。検出が非常に難しく、システムの管理者権限を取得して、他のマルウェアのインストールを助けることがあります。

2.1.10. バックドア

 正規の認証を回避してシステムに侵入するための不正なプログラムです。攻撃者が後からシステムに再アクセスするために設置されることが多いです。

2.1.11. 偽セキュリティ対策ソフト

 セキュリティソフトを装いながら、実際にはマルウェアとして動作するプログラムです。ユーザーに誤った警告を出して金銭を要求することがあります。

2.2. マルウェアの一般的な振る舞い

2.2.1. 感染

 様々な経路でシステムに侵入し、自身をインストールします。一般的な経路には、メールの添付ファイル、ダウンロードしたファイル、ネットワークの脆弱性の悪用などがあります。

2.2.2. 潜伏

 検出を回避するため、しばらくの間動作を抑制することがあります。多くのマルウェアは、システム内に潜伏し、アンチウイルスソフトの検出を逃れるために特定の条件が満たされるまで活動を停止します。

2.2.3. 活動

 本来の悪意のある動作を開始します。例えば、情報窃取、システムの破壊、不正アクセスの実行などが含まれます。

2.2.4. 拡散

 他のシステムやファイルに感染を広げます。ワームやウイルスは、自己複製することで感染を拡大し、ボットは他のシステムを攻撃するために使用されます。

3. 応用例

3.1. サイバー攻撃での利用

 マルウェアは、標的型攻撃やランサムウェア攻撃など、様々なサイバー攻撃で利用されています。例えば、2017年に世界中で猛威を振るった「WannaCry」は、Windowsの脆弱性を突いたランサムウェアの一種で、感染したシステムのファイルを暗号化し、身代金を要求しました。この攻撃では、エクスプロイトキット「EternalBlue」を使用して、ネットワーク全体に急速に拡散しました。

3.2. 情報窃取

 企業や政府機関を標的とした高度な持続的脅威(APT)攻撃では、スパイウェアやキーロガーが使用され、機密情報の窃取が行われることがあります。これにより、長期間にわたり重要なデータが流出するリスクが生じます。

3.3. ボットネットの構築

 DDoS攻撃やスパムメールの大量送信などに使用するため、攻撃者はボットネットを構築します。これには、多数のコンピュータにボットを感染させ、C&Cサーバを介して指令を送る必要があります。

4. 例題

例題1

 以下のマルウェアのうち、主に文書ファイルを介して感染するものはどれか。

a) ワーム
b) マクロウイルス
c) ルートキット
d) キーロガー

【解答例】
 正解は b) マクロウイルスです。
 マクロウイルスは、Microsoft Officeなどの文書ファイルに埋め込まれたマクロを利用して感染します。ユーザーがマクロの実行を許可すると、ウイルスが活性化します。

例題2

 ある組織のシステム管理者が、社内のPCが外部のサーバと不審な通信を行っていることを発見しました。調査の結果、PCが遠隔操作されている可能性が高いことが判明

しました。この状況から推測される最も可能性の高いマルウェアは何か。

a) スパイウェア
b) ランサムウェア
c) ボット
d) トロイの木馬

【解答例】
 正解は c) ボットです。
 ボットは、攻撃者が遠隔から制御できるマルウェアであり、C&Cサーバと呼ばれる外部のサーバと通信を行います。この状況は、PCがボットに感染し、ボットネットの一部になっている可能性を示唆しています。

5. まとめ

 マルウェア・不正プログラムは、情報セキュリティにおいて重大な脅威です。その種類は多岐にわたり、コンピュータウイルス、ワーム、トロイの木馬、ボット、スパイウェア、ランサムウェアなど、様々な形態があります。これらは、感染、潜伏、活動、拡散といった一般的な振る舞いを示しますが、それぞれ特有の動作や目的を持っています。

 これらのマルウェアの特徴と振る舞いを理解し、適切な対策を講じることが求められます。また、常に新しい脅威に関する情報を収集し、セキュリティ対策を更新していく必要があります。マルウェアに関する知識は、システムの防御だけでなく、インシデント発生時の適切な対応にも不可欠です。