Red Hat Summit
概要
マルウェアとは悪意のあるソフトウェアのことで、ユーザーの利益に反して動作するあらゆるソフトウェアを指します。マルウェアは、感染したコンピュータやデバイスだけでなく、感染したデバイスと通信可能な他のデバイスに影響を及ぼす可能性があります。
最も単純なコンピュータワームやトロイの木馬から、最も複雑なコンピュータウイルスまで、さまざまなタイプのものが含まれます。マルウェア、ウイルス、悪意のあるコードは同類ではありますが、まったく同じものではありません。したがって、1 種類のウイルス対策ソフトやマルウェア対策ソフトだけですべての脅威を防ぐことはできません。マルウェアはデスクトップコンピュータ、ノートパソコン、モバイルデバイスに存在する可能性があり、デバイスが使用するオペレーティングシステム (Windows、Android、iOS、または Apple MacOS) によって攻撃や症状が異なる場合もあります。マルウェアの影響を絶対に受けないデバイスはありません。ほとんどのデバイス (プロ用であろうと個人用であろうと) にとって、マルウェア対策は有益です。
効果的な IT セキュリティ を活用することで、組織がマルウェア攻撃を受ける危険を減らすことができます。システムの脆弱性をなくすためのパッチ管理や、マルウェアによる損害を制限するためのアクセス制御が一般的なサイバーセキュリティの方法です。さらに、データを頻繁にバックアップしてメインの運用システムから隔離しておくことで、マルウェア感染から迅速かつ安全に復旧することができます。
サイバーセキュリティにおいてマルウェアはなぜ重要か
ごく普通のオフィスに勤めていたとしましょう。ある朝、あなたは出社し、コーヒーを置いて、コンピュータの電源を入れます。すると、何もかもがおかしくなっていきます。
いつものデスクトップではなく、血のような赤色の画面に南京錠とカウントダウンクロックが現れ、「あなたのファイルは暗号化された」と書かれています。「7 日以内に支払いがなければ、ファイルは復元できない。」周囲を見回してみると、同僚たちのコンピュータにも、次々に同じメッセージが表示されていきます。オフィスのコンピュータ、全部です。
このような状況は、2017 年 5 月に世界中のオフィスで起こりました。WannaCry マルウェアは、企業、政府機関、さらには病院などの重要な公共サービスまで攻撃しました。
すべてのマルウェアが劇的な形で登場するわけではありません。その存在に気づかないまま、悪意のあるプログラムを実行していることがあり、そのためにシステムが遅くなったり、プライバシーが侵害されたりします。サイバー犯罪者は多くの場合、検出を回避し、正確な条件下でのみ目立った活動をするようにこれらのプログラムを設計しています。
マルウェアを止めることはできないかもしれませんが、十分な情報を得て、適切なセキュリティプラクティスを維持することにより、マルウェアが運用を混乱させる確率を下げることができます。
マルウェアの種類
マルウェアにできることやリスクの軽減方法をより理解するために、一般的なマルウェアの種類をカテゴリごとに分類します。これらのマルウェアは、Android のモバイルデバイスから Apple のノートパソコンに至るまで、あらゆるものに侵入する可能性があるため、注意が必要です。
マルウェアには、意図した目標に到達するためのコードだけでなく、拡散する方法が必要です。これは、デリバリーシステムやペイロードと考えることができます。その構造に関する要旨と詳しい説明は以下のとおりです。
デリバリーシステム
トロイの木馬: ユーザーをだましてインストールさせる
ワーム:自分自身をコピーする
次のようなものとの組み合わせになっている場合があります。
エクスプロイト:ソフトウェアの脆弱性を利用してシステムと機密データにアクセスする
フィッシング:ユーザーをだましてアクセスに使用できる情報を提供させる
ルートキット、ブートキット:検出を回避し、制御を拡大するために、管理アクセスを取得する
ペイロード
アドウェア:不要な広告を表示する
ボットネット:デバイスを外部の制御下に置く
暗号通貨マイナー:コンピューティングパワーを使用して暗号通貨作業を行う
ランサムウェア:金銭を要求する
スパイウェア: キーロガーまたはその他の手段を介して密かにデータを収集する
その他の損害:データ破壊、破壊行為、妨害行為
トロイの木馬
一般にトロイと呼ばれるトロイの木馬は、ソーシャルエンジニアリングを通じて増殖する実行可能ファイルです。自分自身を別のもののように見せるので、ユーザーはトロイの木馬だと気付かずにその実行可能ファイルを開いて、起動してしまいます。よくある戦略は、攻撃者がユーザーにマルウェアをインストールするファイルや Web リンクを開くよう誘導することですたとえば、スケアウェアのようなトロイの木馬は、実際はそうではないのに、特定のプログラムがコンピュータの保護に役立つものだとユーザーに思い込ませようとします。
他には、気の利いたブラウザーツールバーや楽しい絵文字キーボードのような、役立つように見えて実はマルウェアも含むアプリケーションを、ユーザーがインストールするケースがあります。また、マルウェアの自動インストーラーが書き込まれている USB メモリースティック (USB ドライブ) を、何も知らないユーザーに渡すなどの手法もあります。リモートアクセス型トロイの木馬 (RAT) マルウェアは、サイバー犯罪者が侵入後にデバイスをリモートで制御できるようにします。
ワーム
ワームは望まない場所に入り込んできます。最初の実験的なコンピュータワームは、単純に自分自身のコピーを作成したもので、1970 年代に登場しました。1980 年代にはより多くの有害な自己複製ワームが出現し、初めて世に広く知られたコンピュータウイルスとなりました。フロッピーディスク上の感染ファイルを介して PC から PC へと拡散し、アクセスしたファイルを破損しました。インターネットが広く普及するにつれて、ネットワークをまたいで自身をコピーするワームをマルウェア開発者やハッカーが設計するようになり、これがインターネットを使用する組織やユーザーにとって最初の脅威となりました。
エクスプロイト
エクスプロイトはソフトウェアの脆弱性を不正利用することによって、ソフトウェアが意図したものとは異なる動作をするように仕向けるものです。マルウェアの一部は、エクスプロイトを使用してシステムに侵入したり、システムのある部分から別の部分に移動したりすることがあります。多くのエクスプロイトは、既知の脆弱性 (CVE とも呼ばれる) に依存しており、すべてのユーザーがセキュリティパッチを適用してシステムを最新に保っているとは限らないという現状を利用しています。あまり一般的ではありませんが、ゼロデイは、ソフトウェアメインテナーが修正していない重大な脆弱性を利用します。
フィッシング
フィッシングは、攻撃者が誰かをだまし、なりすましメールや詐欺の申し出などの不正なリクエストによって機密情報や個人データを提供させようとするソーシャルエンジニアリングの一種です。フィッシングによる攻撃は、パスワードとログイン資格情報を取得したり、個人情報を盗んだりするための戦略として、マルウェア攻撃の前兆となる場合があります。
ルートキット、ブートキット
ルートキットは、システムを完全に制御し、そのトラックを追跡するように設計された一連のソフトウェアツールで、システムの通常の管理制御を効果的に置き換えます。ブートキットは、カーネルレベルでシステムに感染する高度なルートキットで、より多くの制御を取得し、検出がさらに困難です。
アドウェア、スパイウェア
アドウェアは、Web ブラウザーで大量のポップアップを表示させるなど、デバイスを不要な広告でいっぱいにします。それと密接な関係にあるスパイウェアは、ユーザーの情報を収集して他の場所に送信します。スパイウェアは、インターネットアクティビティを監視するトラッカーから高度なスパイツールまで多岐にわたります。ユーザーが入力した内容を記録するキーストロークロガーやキーロガーもスパイウェアです。スパイウェアとアドウェアは、プライバシーの侵害に加えて、システムの速度を低下させ、ネットワークの動きを妨げることがあります。これまで、Windows を搭載したコンピュータがマルウェアの標的とされてきましたが、macOS ユーザも同様に、ポップアップ広告や、正当なソフトウェアを装った潜在的に迷惑なプログラム (PUP) の標的となりやすくなっています。
ボットネット
ボットネットマルウェアは、デバイスの制御を外部の第三者に委ね、そのデバイスを、感染デバイスの大規模ネットワークに取り込みます。ボットネットは、分散型サービス拒否 (DDoS) 攻撃の実行、スパム送信、暗号通貨マイニングによく使用されます。セキュリティ保護されていないネットワーク上のデバイスは、感染に対して脆弱な場合があります。ボットネットは通常、デバイスのネットワークを拡大する手段を持っており、その仕組みは非常に複雑で、複数の悪意のあるアクティビティを同時に、または順番通りに実行できます。例えば、2016 年の Mirai マルウェア攻撃では、インターネットに接続したカメラとホームルーターを介して、大規模な DDoS ボットネットが形成されました。
ランサムウェア
ランサムウェアは、金銭を要求するマルウェアです。一般的なランサムウェアの多くは、ユーザーのシステム上のファイルを暗号化し、復号キーと引き換えにビットコインでの身代金を要求します。ランサムウェアは 2000 年代半ばに顕著になりました。以来、ランサムウェア攻撃は、コンピュータセキュリティに対する最も深刻で広範囲にわたる脅威の 1 つになっています。
スミッシング
スミッシング (SMS フィッシング) は比較的新しい形態のマルウェアで、詐欺師が SMS テキストメッセージを通じてマルウェアへのリンクを送ってユーザーにリンクをクリックさせ、アプリに見せかけたマルウェアをダウンロードさせようとするものです。スミッシングの送り手は、金融機関や政府機関、カスタマーサポートなどを装い、ユーザーを騙してパスワードやクレジットカードなどの個人情報を入力させようとします。
その他の損害
マルウェア開発者や運用者の目的が、データを破壊することや何かを壊すことである場合があります。ランサムウェアが問題になるずっと前に、マスメディアの注目を集めた最初のマルウェアプログラムの 1 つは、1992 年の Michelangelo ウイルスでした。Michelangelo ウイルスは、3 月 6 日という特定の日に、感染した PC のディスクドライブを上書きするものでした。その後の 2000 年に登場した ILOVEYOU ウイルスは、電子メールの添付ファイルとして送信される Visual Basic スクリプトの形式でユーザーからユーザーへと拡散しました。実行されると、さまざまなファイルを消去し、自分のコピーをユーザーのアドレス帳の全員にメールで送信しました。
これらは、現代のマルウェアと比較すると、古風なウイルスと言えるでしょう。Stuxnet の例について考えてみましょう。2010 年、セキュリティコミュニティは、特定の種類の産業機器を改ざんするように設計された不可解で高度なワームを発見しました。多くのセキュリティ専門家は、米国とイスラエル政府が、イランの核兵器プログラムを妨害するために Stuxnet を開発したと考えています(米国もイスラエルもそれを公式に認めていません)。もしそうなら、それは、国が支援するサイバー攻撃という新種のマルウェアの一例だと言えます。
マルウェアから身を守るには
マルウェアから身を守る最善の方法は、まず第一に感染しないことです。ウイルス対策ソフトウェアやマルウェア対策ソフトウェアが役立ちますが、レジリエンスを向上させるために今すぐ実装できるセキュリティ・ソリューションは他にもあります。
ゼロトラスト・セキュリティ・アーキテクチャを導入する
何十年もの間、組織は、信頼できるネットワークまたは内部ネットワークをファイアウォールなどのセキュリティ防御の境界によって外界から分離するように設計してきました。境界の内側にある、または VPN などのリモートメソッドを介して接続される個人やエンドポイントは、境界外の個人やエンドポイントよりも高いレベルの信頼を与えられていました。その結果、「硬い殻」と「柔らかい中身」の状態が作られ、悪意ある攻撃者は一旦殻を破って (アクセスして) しまえば簡単にやりたい放題できるようになってしまいました。脆弱性を管理するために、組織は、アクセスをセグメント化し、特定のアプリケーションやサービスへのユーザー権限を制限する、より粒度が小さいゼロトラスト・ネットワーク・アクセス (ZTNA) を導入しています。
攻撃対象を減らす
インターネットに公開されるシステム、アプリケーション、ポートを最小限にします。
ユーザー教育
ユーザーは、メールのリンクや添付ファイルが信頼できるように思えても、まず疑ってかかることが必要です。この学習により、内部脅威 (Insider Threat) がマルウェア攻撃を引き起こす可能性があることも理解できます。
検出
マルウェア感染の検出が早いほど、感染したシステムを早く修復できます。一部のマルウェアは、その存在を気付かれないような設計になっていることに留意しましょう。ウイルス対策ツールやマルウェア対策ツールでは、新しいバリアントを監視するための検出シグネチャを定期的に更新する必要があります。また、複数のマルウェア検出方法を使うことをお勧めします。
パッチ管理
ソフトウェアメインテナーは、可能な限り早くセキュリティホールにパッチを適用するようにしているため、最新のセキュリティソフトウェアを実行する (そしてシステム全体を最新の状態に保つ) ことでマルウェア感染のリスクが軽減されます。効果的なパッチ管理とは、組織全体のすべてのシステムがセキュリティパッチをタイムリーに取得することです。更新を頻繁に確認し、それらを適用して既知のエクスプロイトから保護します。
アクセス制御
管理制御は、信頼できるアプリケーションと、それを本当に必要とするユーザーに限定すべきです。そうすれば、マルウェアがコンピュータを攻撃した場合、システムのコア機能に感染するのが難しくなります。定期的に管理制御を確認しましょう。そして、可能な場所では多要素認証を使用してアクセスを保護しましょう。
データのバックアップと暗号化
マルウェア攻撃を受けた場合、適切なデータセキュリティが実装されているかどうかで大きな違いが生まれます。最悪の状況が発生してマルウェアがシステムに侵入した場合も、感染前に作成したクリーンなバックアップにフェールオーバーすることができます。つまり、バックアップデータが隔離されているので、マルウェアはデータを損傷したり、消去したりすることができません。また、データを暗号化しておけば、マルウェアが流出するデータは事実上役に立ちません。実際には、組織の規模や複雑さによって複数の異なる戦略を組み合わせることが必要になるでしょう。大規模な組織の場合は、ハイブリッドクラウド環境のソフトウェア・デファインド・ストレージ・ソリューションによって、バックアップや暗号化のオプションに広範な柔軟性がもたらされます。
すべてのコンピュータシステムには脆弱性があり、マルウェア開発者はそれらを見つけて悪用することに執着しています。そのため、マルウェアのセキュリティは、決して進化を止めないテーマになっているのです。
IT セキュリティに関する Red Hat のテクノロジーガイドでは、セキュリティポリシー、プロセス、手順の確立方法の詳細を説明しています。
