マルウェア検出後に行うべきこととは

使用している端末がマルウェアに感染すると、どういった被害が発生するのでしょうか？

1. 個人情報の流出
2. 端末がロックされる
3. 社内ネットワークへ侵入される
4. 重要データが破壊される
5. Webサイトやサービスが改ざんされる
6. ネットバンキングを乗っ取られる
7. クレジットカードの不正利用
8. サイバー攻撃の踏み台にされる
9. 企業としての信頼が崩れる
10. セキュリティソフトを停止させられる

ざっと考えただけでもこれだけの被害が想定できます。では、そのマルウェアはどういった経路で感染するのでしょうか？

一般的にはインターネット経由でやり取りされるファイルやダウンロードするソフトウェア、あるいはメールを介して端末にマルウェアが侵入、感染します。こうした経路からの感染はユーザーのセキュリティ意識を高めることで防げるものも多くありますが、100％防ぐことは難しいのが現実です。ちょっとした不注意や操作ミスによって端末がマルウェアに感染する可能性は常にあるのです。

さらに、ユーザーのセキュリティ意識だけでは防ぐことのできない方法でマルウェアに感染することもあるため、企業には様々な角度からマルウェア感染を防ぐための取り組みが必要です。そこで今回は、セキュリティ対策において重要な「マルウェア検出後に行うべきこと」についてご紹介します。

マルウェアにはどんなものがある？

マルウェアとはコンピューターに悪影響を及ぼす不正プログラムの総称です。「コンピューターウイルス(以下、ウイルス)」といった方が馴染みがあるかもしれません。ただし、ウイルスも特定の性質を持ったマルウェアの一種です。まずは、マルウェアにはどんな種類があるのかを確認していきましょう。

ウイルス

ソフトウェアプログラムのコードを書き換えて不正なプログラムを潜り込ませるマルウェアです。特定の形を持たずあらゆるソフトウェアで見られます。ウイルスは単独でプログラムを実行することはできず、ソフトウェアが実行されることで不正プログラムが働きます。ウイルスに感染したソフトウェアによって、端末に様々な影響があります。
※狭義のウイルスの説明です。

ダウンローダー

メールの添付ファイルや不正に細工された画像などに介入し、端末へと密かに侵入します。ダウンローダーそのものに悪質な影響を及ぼす力はありませんが、さらなる不正プログラムを秘密裏にダウンロードさせることで甚大な被害を招くマルウェアです。

トロイの木馬

正規プログラムのフリをしつつ有害なプログラムを実行するマルウェアです。トロイの木馬自体に自己複製の力はありませんが、インターネットやネットワークが整備された現代では簡単に感染拡大します。

バックドア

マルウェアに感染すると、端末内にバックドアが作られることがあります。バックドアが作られると、ユーザーはそれに気づかず様々なマルウェアの侵入や、攻撃者によるハッキング行為を許してしまいます。まさに勝手口(バックドア)のようなプログラムで、継続して攻撃者の侵入を許してしまうため注意が必要です。

ランサムウェア

近年特に危険視されているマルウェアがランサムウェアです。これに感染するとパソコンは強制的にロックされてしまい、解除キーを入手するには攻撃者が要求する金銭を支払わなければなりません。2017年5月に「WannaCry」というランサムウェアが大流行し、世界で40億ドル(約4,400億円)もの被害が発生しています。

参照：MONEYWATCH TECH "WannaCry" ransomware attack losses could reach $4 billion

ルートキット

パソコンOSの深い部分に潜り込み、ユーザーに気付かれないように不正プログラムを実行するマルウェアです。一度感染してしまうと排除が難しいマルウェアでもあり、パソコンの権限奪取など危険性が高いものです。

ワーム

自己複製するタイプのマルウェアであり、ネットワークを介して次々と感染していきます。ワームはウイルスと違ってソフトウェアに不正なコードを介入するのではなく、自立したコードとして感染先にインストールされます。パソコンのメモリだけに常駐するワームなど様々な種類があります。

[RELATED_POSTS]

マルウェアに感染したらどうする？

企業で使用している端末がマルウェアに感染した場合、次のような対処を行なっている企業が多いのではないでしょうか。

1. サーバーのアクセス履歴から感染源を突き止める
2. ファイアウォールやIDSのログに不正通信の痕跡がないかを確認する
3. マルウェアに感染したパソコンをオフライン化して隔離する
4. マルウェア感染がどこまで広まっているか確認する
5. マルウェア対策ソフトを使って隔離や除去を行う
6. デスクトップ環境をクリーンインストールする

この手順でマルウェア感染に対処すれば大方は被害を阻止できます。ただし、次のような事例もあります。

ある時、従業員が、使用している端末の動作速度が異常に遅くなり、覚えのないソフトウェアが稼働していることに気づいた。従業員が情報システムに連絡し、確認したところ端末がマルウェアに感染。当該端末をすぐに隔離して感染が拡大していないか確認した。感染したのが当該端末だけだったので、マルウェア対策ソフトでマルウェアの除去を行った後でデスクトップ環境をクリーンインストールした。しかし、後日また同じ端末からマルウェアが検出され、その時は複数の端末に感染が拡大していた。

マルウェア感染後の手順として正しいのになぜまた発生したのだろうと不思議ですね。これは、端末が複数のバックドアに感染していたことが原因です。昨今のサイバー攻撃は、マルウェアに感染した端末に対して複数種のバックドアを仕掛けます。

攻撃者からすれば一つでもバックドアが残っていれば再攻撃でき、「マルウェアを駆除した」と安心しているところを再度攻撃できるため、社内ネットワークへ容易に侵入できてしまいます。

このように、マルウェア感染後の対処を適切に行っても防ぎきれない可能性は大いにあり、昨今のサイバー攻撃の怖さを物語っています。

マルウェア感染後の対処を強化する次世代エンドポイントセキュリティ

エンドポイントセキュリティとはあらゆるサイバー攻撃から端末を守るためのセキュリティ対策です。既に多くの企業で導入されているマルウェア対策ソフトも含まれます。

その中で「次世代のエンドポイントセキュリティ」として注目されている機能の１つがEDR(Endpoint Detection and Response)です。EDRは従来のセキュリティ対策のような「マルウェア感染を未然に防ぐ」ものではなく、「マルウェア感染後の検知と対応を迅速化する」ためのエンドポイントセキュリティです。

前述のようにマルウェアを100％防ぐことは不可能です。攻撃は受け続ける限り感染する可能性は常にあるのです。この時、いかにして迅速に対処するかでどれくらいの被害に発展するかが大きく違います。

EDRは端末のアクティビティ情報を収集、それを解析します。その結果不審な行動があれば管理者に通知し、さらにその後の調査、対応、復旧を支援する様々な機能が提供されます。 端末のネットワーク隔離や、調査のために収集しているログの検索機能の提供、アクティビティの可視化など、製品による機能差はありますが、多くの機能が提供されます。

先の事例のようにマルウェア感染が再発したとしても、EDRによる検知と、即自再隔離を行うことが可能なため、管理者はマルウェア感染についてじっくりと分析して、再発防止のための対策を立てることができます。そもそも、最初の問題発生時に、このようなバックドアの見逃し、といったリスクを下げることができる製品です。

マルウェア感染への対処は、ウイルス対策ソフトと手動での対応だけではもはや不可能な領域まできています。社内の個人情報や機密情報を守り、サイバー攻撃の前に屈服しないためにもぜひEDRの導入をご検討ください。