悪意のあるソフトウェアを意味するマルウェアとは、ランサムウェア、トロイの木馬、スパイウェアなど、コンピューター・システムやそのユーザーに危害を加える目的で意図的に作成されたソフトウェア・コードまたはコンピューター・プログラムです。
最近のほぼすべての サイバー攻撃 には、何らかのマルウェアが関与しています。これらの悪意のあるプログラムは、サイバー犯罪者の目的に応じて、非常に損害が大きく高額なランサムウェアから単なる煩わしいアドウェアまで、さまざまな形をとる可能性があります。
サイバー犯罪者は、次の目的でマルウェアを開発および使用します。
- 多額の金銭を得るためにデバイス、データ、または企業ネットワーク全体を人質に取る
- 機密データまたはデジタル資産への不正アクセスを取得する
- ログイン資格情報、クレジット・カード番号、知的財産、その他の貴重な情報を盗む
- 企業や政府機関が依存する重要なシステムを混乱させる
毎年数十億件のマルウェア攻撃があり(ibm.com外部へのリンク)、マルウェア感染はどのデバイスやオペレーティング・システムでも発生する可能性があります。Windows、Mac、iOS、Androidシステムは、すべて被害を受ける可能性があります。
ハッカーは組織を狙うほうが儲かるということを学んだため、マルウェア攻撃は個人ユーザーではなく企業を標的にすることが増えています。企業は大量の個人情報を保有していることが多く、ハッカーはこの事実を利用して多額の金銭を脅し取っています。ハッカーはこの個人データを個人情報の盗難に使用したり、ダークウェブで販売したりする可能性があります。
IBM Security X-Force Threat Intelligence Indexを使用することで、より迅速かつ効果的にサイバー攻撃に備え、対応するためのインサイトを得ることができます。
データ侵害コスト・レポートに登録する
サイバー犯罪は巨大な産業です。ある試算(ibm.com外部へのリンク)によると、米国と中国に次ぐ世界第3位の経済大国となり、2025年までに10兆5000億ドルの費用がかかると予測されています。
ハッカーは、常に新しい特徴や機能を備えた新しいマルウェアを開発しています。個々のマルウェアの種は、セキュリティ・ソフトウェアをうまく回避するために、次々に新しい亜種を生み出します。1980年代以来、10億種類を超える異なるマルウェアの株と亜種が作成されていると推定されており(ibm.com外部へのリンク)、サイバーセキュリティーの専門家が追いつくのは困難になっています。
ハッカーは、コードをオープンソースにしたり、他の犯罪者に販売したりして、マルウェアを共有することがよくあります。ランサムウェア開発者の間では、マルウェア・アズ・ア・サービスの取り決めが普及しており、技術的な専門知識がほとんどない犯罪者でもサイバー犯罪の報酬を得ることができる。
状況は常に変化していますが、マルウェア株はいくつかの一般的なタイプに分類できます。
「マルウェア」と「コンピューター ウイルス」という用語は同義語としてよく使用されますが、ウイルスは技術的には特定の種類のマルウェアです。具体的には、ウイルスとは、正規のソフトウェアをハイジャックして損害を与え、それ自体のコピーを拡散させる悪意のあるコードです。
ウイルスは単独では作用できません。 代わりに、コードのスニペットを他の実行可能プログラムに隠します。ユーザーがプログラムを起動すると、ウイルスも実行を開始します。ウイルスは通常、重要なデータを削除し、通常の操作を妨害し、感染したコンピュータ上の他のプログラムに自分自身のコピーを拡散するように設計されています。
初期のマルウェアの脅威のほとんどはウイルスでした。 Elk Cloner は、おそらく公共のデバイスを通じて拡散した最初のマルウェアであり、Apple コンピュータを標的としたウイルスでした。
ボットネットは、ハッカーの制御下にある、インターネットに接続されたマルウェアに感染したデバイスのネットワークです。ボットネットには、PC、モバイル デバイス、モノのインターネット (IoT) デバイスなどが含まれます。被害者は、自分のデバイスがボットネットの一部であることに気づかないことがよくあります。ハッカーはボットネットを使用して DDoS 攻撃を開始することがよくあり、標的のネットワークに大量のトラフィックを送り込み、速度が大幅に低下するか完全にシャットダウンします。
最も有名なボットネットの1つであるMiraiは、2016年にドメイン・ネーム・システム・プロバイダーであるDyn に対して大規模な攻撃を引き起こし、米国とヨーロッパの数百万人のユーザーに対してTwitterやRedditのような人気ウェブサイトをダウンさせました(ibm.com外部へのリンク)。
クリプトジャッカーは、所有者の知らない間にデバイスを制御し、それを使用してビットコインなどの暗号通貨をマイニングするマルウェアです。基本的に、クリプトジャッカーはクリプトマイニング・ボットネットを作成します。
暗号通貨のマイニングは、非常に計算量が多く、コストがかかるタスクです。サイバー犯罪者は利益を得ますが、感染したコンピュータのユーザーはパフォーマンスの低下やクラッシュを経験します。クリプトジャッカーはエンタープライズ クラウド インフラストラクチャをターゲットにすることが多く、個々のコンピュータをターゲットにするよりも多くのリソースをクリプトマイニングのためにマーシャリングすることができます。
ファイルレス・マルウェアは、Webブラウザやワード・プロセッサーなどの正規のソフトウェア・プログラムの脆弱性を利用して、悪意のあるコードをコンピューターのメモリに直接挿入する攻撃の一種です。コードはメモリー内で実行されるため、ハード・ドライブに痕跡を残しません。正規のソフトウェアを使用しているため、検知を回避することがよくあります。
ファイルレス・マルウェア攻撃の多くは、Microsoft Windowsオペレーティング・システムに組み込まれているコマンド・ライン・インターフェースおよびスクリプト・ツールであるPowerShellを使用します。ハッカーはPowerShellスクリプトを実行して、構成を変更したり、パスワードを盗んだり、その他の損害を与えたりする可能性があります。
悪意のあるマクロは、ファイルレス攻撃のもう 1 つの一般的なベクトルです。Microsoft Word や Excel などのアプリを使用すると、ユーザーはテキストの書式設定や計算の実行などの単純なタスクを自動化する一連のコマンドであるマクロを定義できます。ハッカーはこれらのマクロに悪意のあるスクリプトを保存することができます。ユーザーがファイルを開くと、これらのスクリプトが自動的に実行されます。
ワームは自己複製する悪意のあるプログラムで、人間の介入なしにアプリとデバイス間で拡散する可能性があります。(ユーザーが侵害されたプログラムを実行した場合にのみ蔓延するウイルスと比較してください。)一部のワームは拡散するだけですが、多くはより深刻な結果をもたらします。たとえば、推定 40 億米ドルの損害を引き起こした WannaCry ランサムウェアは、接続されたデバイス間で自動的に拡散することでその影響を最大化するワームでした。
トロイの木馬は、ユーザーを騙してインストールさせるために、便利なプログラムであるかのように偽装したり、正規のソフトウェアの中に隠れたりします。リモート・アクセス・トロイの木馬または「RAT」は、感染したデバイス上に秘密のバックドアを作成します。また、「ドロッパー」と呼ばれるトロイの木馬の一種は、足がかりを得ると追加のマルウェアをインストールします。最近のランサムウェアの中で最も壊滅的な株の1つであるRyukは、デバイスを感染させるためにトロイの木馬の一種「Emotet」を使用していました。
ルートキットは、ハッカーがコンピューターのオペレーティング・システムやその他の資産に管理者レベルの特権アクセスを取得できるようにするマルウェア・パッケージです。ハッカーは、これらの昇格された権限を使用して、ユーザーの追加や削除、アプリの再構成など、事実上何でも実行できます。ハッカーは、悪意のあるプロセスを隠したり、悪意のあるプロセスを捕捉する可能性のあるセキュリティー・ソフトウェアを無効にしたりするために、ルートキットを使用することがよくあります。
スケアウェアは、ユーザーを脅してマルウェアをダウンロードさせたり、機密情報を詐欺師に渡させたりします。スケアウェアは、緊急メッセージを伴う突然のポップアップとして表示されることが多く、通常は、ユーザーが法律に違反したか、デバイスにウイルスが感染していると警告します。ポップアップは、ユーザーに「罰金」を支払うように指示するか、偽のセキュリティー・ソフトウェアをダウンロードするように指示しますが、実際にはこれはマルウェアです。
スパイウェアは感染したコンピューターに潜み、機密情報を密かに収集し、攻撃者に送信します。キーロガーと呼ばれる一般的なスパイウェアは、ユーザーのすべてのキー入力を記録し、ハッカーがユーザー名、パスワード、銀行口座番号、クレジットカード番号、社会保障番号、その他の機密データを収集することを可能にします。
アドウェアは、不要なポップアップ広告をデバイスに送りつけます。アドウェアは、ユーザーには知られずに無料ソフトウェアに含まれていることがよくあります。ユーザーがプログラムをインストールすると、知らないうちにアドウェアもインストールされます。ほとんどのアドウェアは迷惑なだけです。ただし、一部のアドウェアは個人データを収集したり、Webブラウザーを悪意のあるWebサイトにリダイレクトしたり、ポップアップの1つをクリックするとユーザーのデバイスにさらにマルウェアをダウンロードしたりします。
ランサムウェアは被害者のデバイスやデータをロックし、ロックを解除するために通常は暗号通貨の形で身代金の支払いを要求します。IBM のX-Force Threat Intelligence Indexによると、ランサムウェアはサイバー攻撃の 2 番目に一般的なタイプであり、攻撃の 17% を占めています。
最も基本的なランサムウェア攻撃では、身代金が支払われるまで資産が使用できなくなりますが、サイバー犯罪者は追加の戦術を使用して被害者への圧力を強める可能性があります。
二重恐喝攻撃では、サイバー犯罪者はデータを盗み、支払いがなければ漏洩すると脅迫します。三重恐喝攻撃では、ハッカーは被害者のデータを暗号化して盗み、分散型サービス拒否(DDoS) 攻撃によってシステムをオフラインにすると脅します。
要求される身代金は、数万米ドルから数百万米ドルに上ります。あるレポート(ibm.com外部へのリンク)によると、身代金の平均支払額は812,360米ドルだといいます。被害者が代金を支払わなかったとしても、ランサムウェアには大きなコストがかかります。IBMのデータ漏洩コスト・レポートによると、ランサムウェア攻撃にかかる平均的なコストは、身代金そのものを除いて454万米ドルでした。
ハッカーは、リモート・アクセス・マルウェアを使用して、バックドアを作成または悪用することで、コンピューター、サーバー、またはその他のデバイスにアクセスします。X-Force Threat Intelligence Indexによると、バックドアの設置はハッカーにとって最も一般的な目的であり、攻撃の21% を占めています。
バックドアにより、サイバー犯罪者はさまざまな行為を行うことができます。データや資格情報を盗んだり、デバイスを制御したり、ランサムウェアなどのさらに危険なマルウェアをインストールしたりする可能性があります。一部のハッカーは、リモート アクセス マルウェアを使用してバックドアを作成し、他のハッカーに販売し、1 つあたり数千米ドルで販売することがあります。
Back OrificeやCrossRATなどの一部のリモート・アクセス・マルウェアは、悪意のある目的のために意図的に作成されています。ハッカーは、正規のソフトウェアを変更または悪用して、デバイスにリモート・アクセスすることもできます。特に、サイバー犯罪者は、盗んだMicrosoftリモート・デスクトップ・プロトコル(RDP)の認証情報をバックドアとして使用します。
マルウェア攻撃には、マルウェア・ペイロードと攻撃経路という2つのコンポーネントがあります。ペイロードとは、ハッカーが仕掛ける悪意のあるコードのことで、攻撃経路とは、ペイロードをターゲットに届けるために使われる手法のことです。
最も一般的なマルウェア ベクターには次のようなものがあります。
ソーシャル・エンジニアリング攻撃は、人々を心理的に操作して、マルウェアのダウンロードなど、すべきではないことを実行させます。詐欺的な電子メールやテキスト・メッセージを使用してユーザーを騙すフィッシング攻撃が特に一般的です。X-Force Threat Intelligence Indexによると、マルウェア攻撃の41%でフィッシングが関連しています。
フィッシングメールやフィッシングメッセージは、信頼できるブランドや個人から送信されたように見えるように作成されることがよくあります。通常、恐怖(「あなたの携帯電話から9つのウイルスが見つかりました!」)、貪欲(「未請求の支払いが待っています!」 )、緊急性(「無料プレゼントを請求するには時間がありません!」)のような強い感情を呼び起こし、ユーザーに望ましい行動を取らせようとします。 通常、そのアクションは、悪意のある電子メールの添付ファイルを開いたり、デバイスにマルウェアを読み込む悪意のある Web サイトにアクセスしたりすることです。
サイバー犯罪者は、ターゲットのソフトウェアやファームウェアにマルウェアを注入できるようにする、ソフトウェア、デバイス、ネットワーク内のパッチが適用されていない脆弱性を常に探しています。IoTデバイス(その多くは最小限のセキュリティー、またはまったくセキュリティー対策が講じられていない状態で販売および導入されています)は、サイバー犯罪者がマルウェアをまき散らすのに特に適した土壌となっています。
ハッカーは、「ベイティング」と呼ばれる戦術を使用して、注意を引くラベルが貼られた、ウイルスに感染させたUSBドライブをコワーキングスペースやコーヒーショップなどの公共の場所に置く可能性があります。これらに誘惑されたユーザーは、何の疑いも持たずにドライブをデバイスに接続して、内容を確認する可能性があり、マルウェアがシステムに感染します。最近の調査では、既知のサイバー脅威の37%がリムーバブル・メディアを悪用するように設計されていることがわかっています(ibm.com外部へのリンク)。
トロイの木馬やアドウェアなど、多くのマルウェアは、有用なソフトウェアや映画や音楽の無料コピーを装います。皮肉なことに、それらは多くの場合、デバイスのパフォーマンスを向上させる無料のウイルス対策プログラムやアプリを装っています。ユーザーが海賊版メディアを共有するトレント・ネットワークはサイバー犯罪者の悪名高い遊び場ですが、隠れたマルウェアが正規の市場に侵入する可能性もあります。最近、 Goldosonマルウェア(ibm.com外部へのリンク)が、Google Play ストアから入手できるアプリに隠れることで、数百万台のデバイスに感染することができました。
マルバタイジングとは、ハッカーが正規の広告ネットワークに悪意のある広告を掲載したり、正規の広告を乗っ取って悪意のあるコードを配信したりすることです。例えば、Bumblebeeマルウェア(ibm.com外部へのリンク)は、Cisco AnyConnectを装った悪意のあるGoogle広告を通じて拡散しました。本物を探しているユーザーは、検索結果に広告が表示され、クリックしてしまい、知らず知らずのうちにマルウェアをダウンロードしてしまうことになります。
「ドライブ・バイ・ダウンロード」と呼ばれる関連技術により、ユーザーはクリックする必要さえなくなり、悪意あるWebサイトにアクセスすると、すぐにダウンロードが自動的に開始されます。
企業ネットワークでは、ユーザーの個人デバイスがマルウェアの主な媒介となる可能性があります。ユーザーのスマートフォンやラップトップは、プライベートな時間に、企業のセキュリティ ソリューションの恩恵を受けずに安全でないネットワークに接続しているときに感染する可能性があります。ユーザーがこれらのデバイスを職場に持ち込むと、マルウェアが企業ネットワークに拡散する可能性があります。
ベンダーのネットワークが侵害されると、そのベンダーの製品やサービスを使用している企業のネットワークにもマルウェアが拡散する可能性があります。例えば、サイバー犯罪者は、KaseyaのVSAプラットフォーム(ibm.com外部へのリンク)の欠陥を利用して、正規のソフトウェア・アップデートを装ってランサムウェアを顧客に拡散しました。
ランサムウェアなどの一部のマルウェア感染は、自らをアナウンスします。しかし、ほとんどは大混乱を引き起こすため、人目につかないよう努めています。それでも、マルウェア感染は、サイバーセキュリティー・チームがマルウェア感染を特定するために使用できる兆候を残すことがよくあります。例えば、次のようなものがあります。
パフォーマンスの低下: マルウェアのプログラムは、感染したコンピューターのリソースを使用して実行され、多くの場合、ストレージ領域を消費し、正規のプロセスを中断させます。ITサポート・チームは、デバイスが遅くなったり、クラッシュしたり、ポップアップで溢れたりするユーザーからのチケットが殺到していることに気づくかもしれません。
新しい予期せぬネットワーク・アクティビティ: 通常よりも多くの帯域幅を使用するプロセス、不明なサーバーと通信するデバイス、通常使用していない資産にアクセスするユーザー・アカウントなど、ITおよびセキュリティー・スタッフが奇妙なパターンに気づく可能性があります。
設定の変更: マルウェアの系統によっては、検知を回避するためにデバイスの設定を変更したり、セキュリティー・ソリューションを無効にしたりするものがあります。ITチームやセキュリティー・チームは、例えばファイアウォールのルールが変更されたり、アカウントの権限が昇格されたりしていることに気づくかもしれません。
セキュリティー・イベント・アラート:脅威検知ソリューションを導入している企業では、マルウェア感染の最初の兆候はセキュリティー・イベント・アラートである可能性が高くなっています。侵入検知システム(IDS)、セキュリティー情報およびイベント管理(SIEM)プラットフォーム、ウイルス対策ソフトウェアなどのソリューションは、インシデント対応チームが確認できるように、マルウェア感染の可能性を示すフラグを立てることができます。
マルウェア攻撃は避けられませんが、組織が防御を強化するために実行できる手順はあります。これらのステップには以下が含まれます。
セキュリティ意識向上トレーニング:マルウェア感染の多くは、ユーザーが偽のソフトウェアをダウンロードしたり、フィッシング詐欺に引っかかったりすることで発生します。セキュリティ意識向上トレーニングは、ユーザーがソーシャル エンジニアリング攻撃、悪意のある Web サイト、偽のアプリを発見するのに役立ちます。セキュリティ意識向上トレーニングでは、マルウェアの脅威が疑われる場合に何をすべきか、誰に連絡すればよいかをユーザーに教育することもできます。
セキュリティ ポリシー: 安全でない Wi-Fi 経由で機密資産にアクセスするときに強力なパスワード、多要素認証、および VPN を要求すると、ハッカーによるユーザー アカウントへのアクセスを制限できます。パッチ管理、脆弱性評価、侵入テストを定期的に実施することで、サイバー犯罪者に悪用される前にソフトウェアやデバイスの脆弱性を発見することもできる。 BYOD (Bring Your Own Device) デバイスを管理し、シャドー IT を防ぐためのポリシーは、ユーザーが無意識のうちにマルウェアを企業ネットワークに持ち込むのを防ぐのに役立ちます。
バックアップ:機密データやシステム・イメージの最新のバックアップを、理想的にはハードディスクやネットワークから切り離せるその他のデバイスに維持することで、マルウェア攻撃からの復旧が容易になります。
ゼロトラスト・ネットワーク・アーキテクチャー:ゼロトラストとは、ネットワーク・セキュリティーに対するアプローチで、ユーザーは信頼されず、常に検証が行われます。特に、ゼロトラストは、最小権限の原則、ネットワーク・マイクロセグメンテーション、および継続的な適応型認証制度を実装します。これにより、ユーザーやデバイスが機密データやアクセスすべきでない資産にアクセスできないようにすることができます。ネットワークがマルウェアに感染した場合、これらの制御措置によりマルウェアが横方向に移動するのを制限できます。
インシデント対応計画: マルウェアの種類に応じたインシデント対応計画を事前に作成しておくことで、サイバーセキュリティー・チームはマルウェア感染をより迅速に根絶することができます。
上記で概説した手動戦術に加えて、サイバーセキュリティ チームはセキュリティ ソリューションを使用して、マルウェアの削除、検出、防止の側面を自動化できます。一般的なツールには以下が含まれます。
ウイルス対策ソフトウェア: 「マルウェア対策」ソフトウェアとも呼ばれるウイルス対策プログラムは、システムをスキャンして感染の兆候がないか確認します。ユーザーに警告するだけでなく、多くのウイルス対策プログラムはマルウェアを検出すると自動的に隔離して削除できます。
ファイアウォール: ファイアウォールは、悪意のあるトラフィックがネットワークに到達するのをブロックすることができます。マルウェアがネットワーク・デバイスに侵入した場合、ファイアウォールは、キーロガーがキー入力を攻撃者に送り返すような、ハッカーへの送信通信を阻止するのに役立ちます。
セキュリティー情報・イベント管理(SIEM)プラットフォーム: SIEMは、 社内のセキュリティー・ツールから情報を収集し、一元的なログに集約して、異常のフラグを立てます。 SIEMは複数のソースからのアラートを一元管理するため、マルウェアの微妙な兆候を発見しやすくなります。
セキュリティー・オーケストレーション・オートメーション・レスポンス(SOAR)プラットフォーム: SOARは、 異種のセキュリティー・ツールを統合・調整し、セキュリティー・チームがマルウェアにリアルタイムで対応するための半自動化または完全自動化されたプレイブックを作成できるようにします。
EDR(Endpoint Detection and Response)プラットフォーム: EDRは、 スマートフォン、ノートPC、サーバーなどのエンドポイント・デバイスを監視し、不審な動作の兆候を検出し、検知されたマルウェアに自動的に対応します。
XDR(Extended Detection and Response)プラットフォーム: XDRは、ユーザー、エンドポイント、電子メール、アプリケーション、ネットワーク、クラウド・ワークロード、データなど、すべてのセキュリティー層にわたってセキュリティー・ツールと運用を統合します。 XDRは、複雑なマルウェアの防御、検知、調査、対応プロセスを自動化し、問題が発生する前の脅威の検知を支援します。
攻撃対象領域管理(ASM)ツール:ASMツールは、組織のネットワーク内のすべての資産を継続的に検出、分析、修復、監視します。 ASMは、マルウェアを運ぶ可能性のある未承認のシャドーITアプリやデバイスをサイバーセキュリティー・チームが発見する際に役立ちます。
統合エンドポイント管理(UEM):UEMソフトウェアは、デスクトップ、ノートPC、モバイル・デバイスなど、組織のすべてのエンドユーザー・デバイスを監視、管理、保護します。多くの組織がUEMソリューションを使用して、従業員のBYODデバイスが企業ネットワークにマルウェアを持ち込まないようにしています。
IBMは、最新のランサムウェアの脅威を防止し、これに対処するために、800TBの脅威活動データと、1700万件以上のスパムおよびフィッシング攻撃から得た情報からの洞察を利用しています。 また、2億7000万のエンドポイントのネットワークから収集された約100万の悪意のある IP アドレスのレピュテーションデータも分析します。
サイバー攻撃は、コンピューター システムへの不正アクセスを通じて情報を盗んだり、公開したり、変更したり、無効にしたり、破壊したりする望ましくない試みです。
ランサムウェアは、身代金が支払われるまで、被害者のデバイスとデータを人質に取ります。ランサムウェアの仕組み、ランサムウェアが近年急増した理由、組織がランサムウェアをどのように防御するかを学びましょう。
ゼロトラストは、複雑なネットワークのセキュリティが常に外部および内部の脅威の危険にさらされていると想定するフレームワークです。これらの脅威に対抗するための徹底的なアプローチを組織し、戦略を立てるのに役立ちます。
毎年、IBM Security X-Force (サイバーセキュリティーの専門家と修復者からなる社内チーム) は、数十億のデータポイントをマイニングして、今日の最も緊急なセキュリティー統計と傾向を明らかにします。