マルウェア - マルウェア
ウイルス、ワーム、トロイの木馬、スパイウェアなど悪意あるソフトウェアの総称。感染経路と対策を解説。
概念図
攻撃シナリオ
Emotet の典型的な感染フロー
bash
Emotet(マクロ付き Word):
1. 取引先を装ったメール + パスワード付き zip
2. zip 内の .docm を開く → マクロ有効化
3. PowerShell で追加ペイロードをダウンロード
4. 認証情報窃取 + メール本文・アドレス帳の窃取
5. 取引先になりすまして更に拡散マルウェアの種類
マルウェア(Malware = Malicious Software)は、意図的に害を与えるソフトウェアの総称です。
動作と目的によって大きく分類されます。
| 種類 | 特徴 | 代表例 |
|---|---|---|
| ウイルス | 他のファイルに寄生して増殖。実行で発動 | Elk Cloner (1982), CIH (1998) |
| ワーム | 自己複製しネットワーク経由で自動伝播。ユーザー操作不要 | Morris Worm (1988), Conficker (2008), WannaCry (2017) |
| トロイの木馬 | 正規ソフトを装い、実行されると裏で悪意ある動作 | Zeus, Emotet, IcedID |
| ルートキット | OS のカーネルレベルに潜伏し、検出を困難にする | Stuxnet, TDL-4 |
| スパイウェア / キーロガー | 入力情報・画面・マイク音声を盗む | Pegasus(NSO Group) |
| アドウェア | 広告を強制表示。個人情報も抜かれることがある | Fireball (2017, 2.5 億感染) |
| ボットネット | 侵害端末を C2 サーバーから遠隔操作、DDoS・スパム配信 | Mirai (2016), Emotet, TrickBot |
| 情報窃取型(InfoStealer) | ブラウザ保存のパスワード・Cookie・暗号通貨ウォレットを窃取 | RedLine, Vidar, Raccoon |
| RAT(Remote Access Trojan) | 攻撃者が遠隔で端末を完全制御 | DarkComet, njRAT, AsyncRAT |
| ファイルレスマルウェア | PowerShell や WMI のメモリ上のみで動作し、ファイルを残さない | PowerGhost, Astaroth |
主な感染経路
| 経路 | 仕組み | 実例 |
|---|---|---|
| フィッシングメール | マクロ付き Office 文書、ショートカット (.lnk)、パスワード付き zip | Emotet、IcedID、Qakbot |
| 脆弱性の悪用(Drive-by Download) | Web サイト閲覧だけでブラウザ / プラグインの脆弱性を突かれて感染 | 2016 Angler EK、2024 年以降はブラウザ脆弱性(CVE-2024-xxxx)経由が継続 |
| ソフトウェアの海賊版・偽インストーラー | クラック版、KMS ツール、偽の OSS インストーラー | RedLine、SmokeLoader |
| USB メモリ経由 | autorun / LNK 脆弱性、物理的な放置 | Stuxnet (2010), agent.btz (2008) |
| サプライチェーン攻撃 | 正規ソフトのアップデート経路にマルウェアが混入 | SolarWinds (2020), 3CX (2023) |
| 脆弱なサービスのネットワーク侵入 | RDP ブルートフォース、VPN 脆弱性、脆弱な公開 API | 2020 年以降のランサムウェア初期侵入の主流 |
| マルバタイジング | 検索結果や広告ネットワークからの偽インストーラー配布 | 2024 年の偽 ChatGPT / Midjourney 広告 |
| 悪意ある拡張機能 / スマホアプリ | ブラウザ拡張、Play Store / App Store の偽アプリ | Joker (Android), Cloud9 (Chrome 拡張) |
検知と防御の階層
現代のマルウェア対策は、単一のアンチウイルスではなく多層防御を前提にします。
- 境界防御: メールゲートウェイ(Proofpoint、Mimecast)、URL フィルタ、DNS セキュリティ(Cisco Umbrella、Quad9)で侵入経路を狭める
- エンドポイント保護(EPP): 従来型アンチウイルスと次世代型(機械学習ベース検知)。Microsoft Defender、CrowdStrike、SentinelOne など
- EDR(Endpoint Detection and Response): 実行後のプロセス・コマンドライン・ネットワーク通信を記録し、疑わしい振る舞いを検知。ファイルレス / 新種マルウェアに有効
- ネットワーク監視(NDR): 内部通信の異常(横展開、C2 通信)を検知
- アプリケーション制御(AppLocker / WDAC): 許可された実行ファイルのみ動作を許可。最も強力だが運用負荷は高い
- サンドボックス: 受信した添付ファイルや URL を隔離環境で実行して挙動を観察
- SIEM / SOC: ログを集約し、全体像から脅威を検知する。24 時間の MDR サービスと組み合わせる
- バックアップ: 最後のセーフティネット。ランサムウェア被害時の復旧の鍵
原則: 「感染を完全に防ぐ」よりも「侵入されても早期検知・早期封じ込め」を前提に設計する。