セキュリティの基本 - 企業と個人のマルウェア対策ガイド

現代において、マルウェアは企業と個人のシステムを脅かす非常に深刻な問題である。マルウェアは、コンピューターやネットワークに悪影響を及ぼす悪意のあるソフトウェアやコードの総称であり、ウイルス、ワーム、トロイの木馬、ランサムウェアなど、いくつか種類がある。それぞれ独自の特長があり、情報漏えいやシステムダウンを引き起こす。

本稿では、それぞれの特徴を紹介したうえで、最低限とるべき対策などをご紹介する。

マルウェアとは

マルウェアとは、前述のとおり、悪意のあるソフトウェアやコードの総称であり、主にコンピューターやネットワークに損害を与えることを目的として開発される。

マルウェアの種類と目的

マルウェアの目的は多岐にわたる。例えば、機密情報の盗取、システムの破壊・乗っ取り、さらには身代金を要求するものまで存在する。

特に企業にとっては、情報漏えいやシステムダウンなどのリスクが大きいため、迅速かつ多層的な対策が求められる。マルウェア対策は企業の存続に直結する重要な課題であり、早急な対応と従業員教育が鍵となる。

マルウェアの基本的な定義

マルウェアは、英語の“malicious software”を略したもので、直訳すると「悪意のあるソフトウェア」となる。侵入を許すと、システムの機能が妨害され、情報漏えいやシステムダウンを引き起こすなど、企業活動において大きな損害を被るケースが多い。

以下、代表的なものを紹介するが、分類はこの限りではないことを頭に入れておいてほしい。マルウェアの種類を覚えるというよりも、マルウェアにどういったものであり、何をどう守るべきかを考えるヒントにしてほしい。

ウイルス

ウイルスとは、ドキュメントファイルやソフトウェアに対して悪意あるコードを組み込んだり、関連するデータを書き換えたりして、正常な動作を妨げるプログラムである。他のファイルに寄生して増殖していく様子からウイルスと呼ばれる。ユーザーが何もしなければ実行されない点が後述のワームと異なる。

ウイルスによる被害は多岐にわたり、システムのクラッシュやデータの削除、さらにはネットワーク全体の遅延や停止などを引き起こすことがある。

ウイルスは主にメールの添付ファイルや悪意のあるWebサイト、感染した外部メモリーなどから広がることが多い。なお、ここで紹介したウイルスは狭義の意味で使用されるものだが、マルウェアの中で特にウイルスという語が知られていることから、セキュリティが専門ではない一般的なユーザーがウイルスと言った場合、マルウェア全般を指すケースもある。

ワーム

ワームは自らの複製を作成し、ネットワークを通じて他のシステムに感染するマルウェアの一種である。人間の介入なしに自己複製し、広範囲に感染を拡大する点がウイルスと異なる。

典型的な例としては、電子メールの添付ファイルや、Windows等の脆弱性を悪用してネットワーク経由で拡散することが挙げられる。この特性により、企業内部のネットワークが一度ワームに感染すると、短期間で多くのシステムが影響を受けるリスクが高まる。

ワームによる被害は多岐にわたる。ネットワークの帯域幅を過剰に消費し、システムのパフォーマンスを低下させるほか、情報漏えいを引き起こす可能性もある。

トロイの木馬

トロイの木馬は、信頼できるソフトウェアや（プログラム実行機能のある）文書ファイルを装って自身をデバイスに取り込ませた後に、裏側で侵害する動作を行うマルウェアである。システムに潜入した後、バックドアと呼ばれる外部との通信経路を確保して情報の盗取や遠隔操作が行われることが多い。例えば、企業の機密情報や個人のID情報・クレジットカード情報が盗まれるケースなどが報告されている。

このマルウェアの特長は、ユーザーが自らの判断でインストールするため、感染に気付きにくい点である。企業環境では、全てのインストールや更新についてセキュリティポリシーを厳守し、定期的なシステムスキャンを実施することが重要だ。

ランサムウェア

ランサムウェアとは、被害者のデータを暗号化したり、情報を盗み取ったりした後、データを取り戻すための条件として金銭（身代金）を要求する悪意のあるソフトウェアだ。企業や個人のシステムに侵入し、重要なファイルを使用不能にすることで経済的な打撃を与える。このタイプのマルウェアは、特に企業にとって深刻なリスクとなる。

なお、これまで紹介したウイルス、ワーム、トロイの木馬が感染動作で分類されるマルウェアであるのに対し、ランサムウェアやこの後紹介するスパイウェアは、目的や感染後の動作によって分類されるマルウェアになる。そのため、ランサムウェア型トロイの木馬など、複数の分類に該当するかたちになる。著名なランサムウェア「WannaCry」は感染の形態としてはワームに分類される。

ランサムウェアの典型的な侵入経路は、メールの添付ファイルや悪意のあるWebサイトへのアクセスである。例えば、信頼できる企業名を装ったメールに添付されたファイルを開くことで感染する場合などがある。また、最近ではVPN装置の脆弱性などを利用してネットワーク内に侵入し、アクセスできたデバイスやサーバに対してランサムウェアを仕込んでいくケースもある。

一度感染すると、ランサムウェアはシステム内のファイルを迅速に暗号化し、画面やプリンタ出力によって身代金を要求するメッセージを表示する。身代金を支払うことで復号の方法や暗号鍵等が提示される案内があるが、必ずしも案内どおりになるとは限らない。また、復号しても時を置いて再度侵入されて同様の行為を受ける可能性もあるので、注意が必要だ。

【こちらもチェック】いかにセキュリティを強化するか? ランサムウェア対策の実践方法

スパイウェア

スパイウェアとは、ユーザーの活動や情報を密かに監視および収集する悪意のあるソフトウェアである。

スパイウェアはビジネスにおいて特に深刻な問題となり得る。企業の機密情報や顧客データの漏えいにより、研究・開発成果を流用されたり、顧客関係に損害を与えたりする可能性がある。

スパイウェアは主に無料ソフトウェアのダウンロードやメールの添付ファイルを通じてデバイスに侵入するケースが多い。ダウンロード時にユーザーが気付かないようにインストールされることが多く、特に注意が必要だ。

マルウェアの感染経路

各マルウェアの紹介でも触れたとおり、感染経路としては、メールやWebサイト、外部メモリー、あるいはネットワーク機器等の脆弱性を利用するケースが多い。

以下、簡単に補足する。

標的型メール攻撃

標的型メール攻撃とは特定の個人や企業を狙ったメール攻撃の一種である。この攻撃手法では、攻撃者がターゲットの情報を事前に収集し、その情報を基に信頼できるように見せかけたメールを送信する。メールにはマルウェアが仕込まれたファイルや悪意のあるリンクが含まれており、受信者がそれを開くことでマルウェアに感染する仕組みである。

具体的な例として、攻撃者が企業の顧客情報を盗み出し、その顧客になりすましたメールを送るケースがある。このメールは企業内部の情報や業界特有の用語を使用することで、信憑性を高める場合もある。標的型メール攻撃のメールに含まれる添付ファイルを開封したり、リンクをクリックしたりすると、受信者のデバイスにマルウェアがインストールされ、情報漏えいやシステムダウンなどの深刻な被害をもたらすことがある。

標的型メール攻撃を防ぐためには、メールに添付されたファイルやリンクを慎重に扱うことが重要である。さらに、従業員に対して定期的なセキュリティ教育を行い、不審なメールを疑う習慣を身に付けさせることが有効である。また、高度なメールフィルタリングシステムの導入や、送信元の信頼性を確認するツールの利用も推奨される。

悪意のあるWebサイト閲覧

悪意のあるWebサイトは、訪問者をマルウェアに感染させるための主要な手段である。この種のサイトでは、不正なコードやソフトウェアが意図的に埋め込まれており、利用者がサイトにアクセスするだけで自動的にダウンロードされる場合がある。

これらのサイトは、正規のWebサイトに似せたり、ポップアップ広告やリダイレクトを利用して訪問者を誘導したりすることが多い。特に、ソフトウェアのダウンロードリンクやセキュリティ警告を装ったポップアップはクリックしてしまう危険性が高い。企業のネットワークからこのようなサイトにアクセスされると、大規模な情報漏えいやシステムダウンのリスクが高まるため、従業員に対する教育が不可欠である。

各セキュリティベンダーにとって既知のサイトであれば、アンチウイルスソフトやブラウザのセキュリティ機能を最新版に更新することで、アクセスを遮断できるケースが多い。また、Webフィルタリング技術を導入して、危険とされるサイトへのアクセスを制限する対策も有効である。

外部メモリー接続

外部メモリー（SDカード、USBメモリー、外付けドライブなど）は、多くの企業でデータの持ち運びやバックアップに使用されているが、これがマルウェア感染の大きなリスクにつながる場合がある。外部メモリーを企業のデバイスに接続する際には、徹底したセキュリティ対策が必要だ。

まず、外部メモリーにはウイルスやトロイの木馬といったマルウェアが潜伏していることがあり、感染した１台のデバイスからネットワーク内に広がってシステム全体を危険にさらす可能性があるため、外部メモリーの取り扱いには細心の注意が求められる。

有効な対策としては、出所が明確でない外部メモリーを使わないようにセキュリティポリシーを策定して全従業員がそのポリシーに従うことである。また、可能であれば外部メモリーの使用を最小限に抑え、クラウドストレージの利用など、より安全なデータ伝送方法を検討することが推奨される。

ネットワーク機器等の脆弱性を利用した攻撃

最近では、放置されたネットワーク機器の脆弱性をついて、マルウェアをネットワーク内のデバイスに送り込むケースが増えている。

攻撃者は、ネットワーク機器におけるOS等のバージョンを調べて脆弱性の有無を調査。脆弱性があることがわかれば、それを利用して企業内ネットワークに侵入する。例えば、VPN機器やリモートデスクトッププロトコル（RDP）の脆弱性を突いた攻撃が一般的である。脆弱性の内容はさまざまだが、リモートでコードを実行したり、認証を回避したりして、ネットワーク内にマルウェアを送り込んでくる。

担当者は、自社で使用するネットワーク機器の脆弱性を把握するとともに、最新のセキュリティパッチを適用することが必要である。また、ネットワークの監視を強化し、異常な活動を早期に検知するための対策を講じることも重要だ。

【こちらもチェック】知っておきたいサイバー攻撃 - 動向と対策

マルウェア感染時のリスクと被害

企業や個人がマルウェアに感染すると、多様な被害が生じる。マルウェアの感染リスクを最小限に抑えるためには、事前の対策と迅速な対応が不可欠である。

情報漏えい

情報漏えいはマルウェア感染時に最も深刻なリスクの1つである。マルウェアに感染した結果、企業の機密情報や個人のプライバシー情報が不正に第三者に渡ってしまう可能性がある。これにより、企業は経済的損失だけでなく、顧客からの信用も失う恐れがある。

過去には、マルウェア感染により大量の顧客情報が流出した結果、大規模な企業イメージダウンを招いたうえに、多額の復旧費用と法的措置への対応を余儀なくされた例もある。情報漏えいのリスクを最小限に抑えるためには、予防策の実施とともに、疑わしいファイルやリンクをクリックしないなど、従業員の教育が不可欠だと言えるだろう。

システムダウン

マルウェアによるシステムダウンは企業にとって深刻な問題だ。システムダウンが発生すると、業務が停止し、甚大な経済的損失を招く可能性がある。例えば、金融機関やECサイトなどでは、システムの停止が長引くと大きな影響を受けるであろう。システムダウンは顧客の信頼を失う原因にもなるため、特に注意が必要である。

仮にシステムが被害を受けた場合、迅速な復旧策が求められる。事前にバックアップを取ることは極めて重要であり、災害復旧計画を策定しておくことが推奨される。また、システムダウンを防ぐためには、定期的なウイルススキャンとセキュリティパッチの適用も忘れてはならない。これによって、不正アクセスやマルウェアの侵入を未然に防ぐことが可能である。

最終的には、堅牢なセキュリティ対策や冗長化構成をとることがシステムダウンを防ぐ最大のポイントだ。従業員の教育や監視ツールの導入、アクセス制御の強化など、包括的な対策を講じることが求められている。

スパムメールの踏み台に

マルウェアに感染して外部から操作できる環境を作られた結果、さらに大きな攻撃をしかけるための「踏み台」として利用されるケースもある。

例えば、スパムメール発信である。感染したデバイスが不正利用され、ユーザー本人が気づかぬうちに大量のスパムメールを無差別に送信してしまっていた例がある。また、さらなる攻撃対象のWebサイト等にさまざまなデバイスから大量のリクエストを送り付けてシステムダウンに追い込むDDoS攻撃に利用されるケースもある。さらには、攻撃対象のWebサイトに脆弱性がないか、踏み台のデバイスからさまざまなリクエストを送って調査することもある。

踏み台として利用されると、外部の組織に害悪を与えるだけでなく、自社のシステムがブラックリストに登録されて各種アクセスを拒否されたり、自社システムのリソースが逼迫して動作が遅くなったりという問題が発生することがある。もちろん、企業の信用が失墜する恐れがあることは言うまでもない。

マルウェア感染を防ぐための予防策

以上のような被害をもたらすマルウェアに関して、簡単に感染を許すことのない対策を講じておく必要がある。ただし、これをしておけば完璧というものはなく、さまざまな対策を複合的に実施してリスクを軽減することが重要だ。代表的なものをいくつか紹介する。

アンチウイルスソフトの利用

アンチウイルスソフトの導入は、マルウェアからシステムを守るための不可欠な方法の1つである。アンチウイルスソフトにもいくつか種類があるが、多くはリアルタイムでシステムを監視し、疑わしいファイルや処理を検出次第、即座に警告・遮断する機能を持つ。

アンチウイルスソフトによる定期的なスキャンとリアルタイム保護を組み合わせることで、マルウェア感染のリスクを減少させることができる。多くの従業員により大量のデバイスが同時に使用されるビジネス環境において、最もリスクの高い侵入経路を守るために欠かせないソリューションである。なお、OSによっては標準搭載しているアンチウイルスソフトもあるのでそちらも検討しつつ、各社の環境に応じて適切なものを選択するとよいだろう。

OSやソフトウェアの更新をチェック

OSやソフトウェアの更新は、マルウェア感染を防ぐための基本的かつ非常に重要な手段である。既知のセキュリティホール（脆弱性）を狙って攻撃を試みるケースが多いため、これらの脆弱性を修正する更新プログラムを適用することが求められる。

更新プログラムがリリースされた際には速やかに適用することが重要である。更新の遅れが、大きなセキュリティリスクに繋がる可能性があるためだ。具体的な例として、2017年に発生した「WannaCry」ランサムウェア攻撃では、最新版ではないWindows OSが標的となり続け、多くの企業が甚大な被害を被った。

このようなリスクを未然に防ぐため、システム管理者はOSや主要なソフトウェアのアップデート状況を常に監視し、更新を欠かさずに行う必要がある。PCやモバイル端末に限らず、ネットワーク機器やサーバも含めて更新をチェックしていくことが企業全体の安全を守るための大切な責務である。

安全なパスワードの設定

どんなに堅固なシステムを作っても、アカウントが乗っ取られてしまったら意味がない。特に管理者権限のアカウント管理には万全を期したい。

そうした観点では、パスワードは重要なポイントの1つである。

パスワードで重要なのは、攻撃者による試行入力で当てはまらないこと。そのためには短いものやよく使われるもの（連続数字やキーボード配列）は避け、大文字・小文字アルファベット、記号など、なるべく多くの文字種を盛り込むのがよい。

次に、どこかのアカウントで使用したパスワードを他のアカウントで使いまわすことは避けるべきである。なぜなら、過去に漏洩したID・パスワードのリストを使って他のシステムでログインを試みる「パスワードリスト攻撃」という手口があり、パスワードを使いまわしていると、この攻撃で簡単にログインを許すことになるためだ。

最近では、Webブラウザにパスワード管理機能がついているものがあり、これを使用するのも有効とされている。複雑なパスワードを記憶せずとも、安全性の高いパスワードを都度自動生成し保管することが可能であるうえ、万一見た目が本物とそっくりなフィッシングサイトにアクセスしてしまったとしてもWebブラウザは別サイトと認識するため、ID・パスワードが自動入力されず、その時点でフィッシングサイトと気付ける可能性があるためだ。とはいえ、デバイスが乗っ取られてしまったら、各サイトへのログインを許すことになるなど、一長一短があるのでユーザーの権限やシステムの特性などを考慮して検討する必要がある。

従業員教育とセキュリティ意識向上

企業におけるセキュリティ対策の中で従業員教育とセキュリティ意識向上は極めて重要である。多くのサイバー攻撃は人間のミスを狙っているため、従業員が基本的なセキュリティ知識を持ち、セキュリティへの意識を高めることが求められる。

一般的な教育コンテンツとしては、危険なメールの見分け方、強力なパスワードの設定・管理方法、ネットワークアクセス時のリスク認識などがある。通常の業務の中でセキュリティについて考える機会が少ない従業員も多いので、オンライン講習などで知識を補完することが重要だ。

また、実際のサイバー攻撃シミュレーションを行うことも効果的である。シミュレーションを通じて、従業員は攻撃の具体例を体験し、迅速かつ適切な対応方法を学ぶことができる。

さらに、セキュリティ意識向上のためには、従業員全員がセキュリティポリシーを理解し、遵守することが必要である。企業内での情報交換や定期的なレビュー会議を行い、最新のセキュリティ脅威情報を共有することが推奨される。これにより、従業員一人一人がセキュリティ対策を自分事化し、企業全体の防御力が向上するのである。

アクセス制御の強化

アクセス制御の強化も重要なセキュリティ対策である。適切なアクセス権限設定を行うことで、不正なアクセスを防ぎ、企業の情報資産を守ることができる。

まず、役職や業務内容に応じてアクセス権限を限定することが基本である。例えば、経理部門の従業員には経理関連のデータベースへのアクセス権限を与え、営業部門の従業員には営業関連のデータベースへのアクセス権限を与える。また、最低限の権限のみを付与する「最小権限の原則」を徹底することが推奨される。

次に、多要素認証（Multi-Factor Authentication、MFA）の導入も効果的な手段である。従来のパスワード認証に加えて、認証コードの入力や指紋認証などの追加認証ステップを導入することで、容易に侵入を許す事態を回避し、マルウェアを設置されるリスクを減らすことができる。

さらに、定期的なアクセス権の見直しも欠かせない。従業員の異動や退職に伴い、不要なアクセス権限が残らぬよう、定期的に権限を見直すことも必要である。

データの定期的なバックアップ

マルウェアから企業のデータを守るために、定期的なバックアップは不可欠である。万が一の感染時でも、最新のバックアップが確保されていて、それを復旧させることができれば被害を最小限に抑えることができる。特に昨今話題になることが多いランサムウェアに対しては、唯一に近い備えになるのでしっかりと環境・運用を整えておきたい。

バックアップをとる際には「3-2-1ルール」というのが推奨されている。本番環境で使用するデータに加えて2つのバックアップデータを用意して計3つのコピーデータを用意したうえで、バックアップデータは2つ以上の異なる媒体に保存、うち1つはオフサイトと呼ばれる物理的に離れた場所に保管するというものだ。オフサイトでの保管は、なるべく離れた場所にすることで自然災害などが発生した際にも復旧できる可能性が高い。

バックアップをとる頻度はシステムの性質によって異なる。頻繁に更新されてかつ企業にとって重要なデータであれば、バックアップの頻度も高めるべきであり、そこまで更新されない、あるいはビジネス活動への影響が少ないデータであれば、月次取得程度で済むケースもあるだろう。

また、バックアップデータの復元を定期的にテストすることも重要である。入念にバックアップ環境を整えていたとしても、攻撃を受けていざ復元となった際に、だれも対応できない、あるいは必要なものが足りていなかったなどの事態に陥ってしまってはすべてが水泡に帰すことになる。正しく戻せないケースも少なからずあるので、普段からテストをしておくべきだろう。

マルウェアからIT環境を守るために定期的にチェックを

今やサイバーセキュリティの強化は、企業にとって重要な経営課題の1つである。なかでもマルウェア対策の強化は、ビジネスで利用するデバイスが増え続ける状況を鑑みると、避けて通れないものと言える。官公庁や業界団体、セキュリティベンダーらから情報が随時発信されているので、ぜひアンテナを広げて定期的にチェックしてほしい。