マルウェア | マルウェアとは / 常にマルウェア攻撃から防御するには
マルウェアとは
マルウェアは、コンピュータの正常機能を阻害するように設計されたソフトウェアであり、ウイルス、トロイの木馬、およびその他の破壊的なコンピュータ プログラムの総称です。脅威アクターが機密情報にアクセスするために、システムやネットワークの侵害に使用されます。
マルウェアの定義
マルウェア(悪意のあるソフトウェアの意)は、通常はネットワーク経由で送り込まれたファイルまたはコードです。感染、悪用、窃取、その他攻撃者が意図するほぼすべての動作を実行します。マルウェアには非常に多くの亜種があり、コンピュータ システムへの感染方法は多岐にわたります。種類や機能は多様ですが、マルウェアの目的は通常、以下のいずれかに当てはまります。
- 攻撃者が感染マシンを使用するためのリモート制御の提供。
- 感染マシンから警戒の緩い標的へのスパム メールの送信。
- 感染ユーザーのローカル ネットワークの調査。
- 機密データの窃取。
マルウェアの種類:
マルウェアは、あらゆる種類の悪意のあるソフトウェアの総称です。マルウェアの例、マルウェア攻撃の定義、マルウェアの拡散方法には、以下のものがあります。
アドウェア – 一部の形式のアドウェアは正規のものとみなされることがありますが、それ以外の場合は、コンピュータ システムへの不正アクセスを行い、ユーザーを大いに混乱させます。
ボットネット – 「ロボット ネットワーク」の略であり、感染コンピュータのネットワークです。単一の攻撃グループがコマンド&コントロール サービスを使用して制御します。ボットネットは非常に多目的で順応性が高く、冗長化サーバで回復性を維持し、感染コンピュータを使用してトラフィックをリレーできます。ボットネットは多くの場合、現在の 分散型サービス拒否(DDoS)攻撃を支える部隊となっています。
クリプトジャッキング – 不正な暗号通貨マイニング(演算処理能力を利用してブロックチェーン ネットワークの取引を検証し、そのサービスを提供して暗号通貨を稼ぐプロセス)を指し、サイバー犯罪者が業務用や個人用のコンピュータ、ノートPC、モバイル デバイスをハッキングしてソフトウェアをインストールすることで発生します。
マルバタイジング – マルバタイジングとは、「マルウェア+アドバタイジング(広告)」の造語であり、オンライン広告で拡散するマルウェアのことです。通常は、悪意のあるコードやマルウェアを含む広告を正規のオンライン広告のネットワークやWebページに挿入することを指します。
通常、上記の種類のマルウェアにはいずれも、モーフィング(内部のアルゴリズムを保持したままコードのパターンを変える機能)があります。ソフトウェアの表面的なパターンを変えることで、従来のウイルス シグネチャによる検出を回避します。
ランサムウェア – 犯罪ビジネス モデルを指すもので、悪意のあるソフトウェアを使用して、価値のあるファイル、データ、情報の身代金を要求します。ランサムウェア攻撃で被害を受けると、業務が深刻に悪化したり完全な停止に追い込まれることがあります。
リモート管理ツール(RAT) – システムをリモートで操作して制御できるソフトウェアです。これらのツールは本来、正規の用途で作成されたものですが、現在は脅威アクターが使用しています。RATでは管理者向けの制御機能を使用できるので、攻撃者は感染コンピュータに対してほぼあらゆることができます。通常、実行中のプログラムやタスクの一覧には表示されず、操作も正規のプログラムの操作と間違えられることが多いため、検出が困難です。
ルートキット – 特権(管理者権限レベル)アクセスをコンピュータに提供するプログラムです。ルートキットは多様で、オペレーティング システムで隠しファイルになります。
スパイウェア – 感染コンピュータの使用状況についての情報を収集し、その情報を攻撃者に送信するマルウェアです。スパイウェアには、ボットネット、アドウェア、バックドア動作、キーロガー、データ窃取、およびネットワームが含まれます。
トロイの木馬マルウェア – 正規のソフトウェアに見せかけたマルウェアです。マルウェアのトロイの木馬はアクティベートされるとプログラムされた何らかの操作を実行します。ウイルスやワームとは異なり、トロイの木馬は感染して複製または増殖することはありません。トロイの木馬とは、ギリシャの兵士が隠れた木馬が、敵対する街のトロイに贈られたという神話に由来します。
ウイルス マルウェア – コンピュータまたはネットワークの至る所で自身をコピーするプログラムです。マルウェアのウイルスは、既存のプログラムを巧みに利用し、ユーザーがそのプログラムを開いた場合のみ活動を開始します。最悪の場合、ウイルスは、データの破損や削除、ユーザーの電子メールを使用した拡散、またはハード ディスク上の全データの消去を行う可能性があります。
ワーム マルウェア – 自己複製するウイルスで、セキュリティの脆弱性を悪用して、コンピュータおよびネットワーク全体で、自動的に自己拡散を行います。多くのウイルスとは異なり、マルウェア ワームは既存プログラムへの添付やファイルの改変は行いません。通常は、複製が拡大してシステム リソースやネットワーク帯域を大幅に消費する規模に達するまで気づかれないまま進行します。
マルウェア攻撃の種類
マルウェアもまた、初期攻撃ベクトル以後、多様な方法で、他のコンピュータ システムに自身を拡散します。マルウェア攻撃の定義には、以下を含めることができます。
- 悪意のあるコードを含むメール添付ファイルは、不注意なユーザーが開いて実行する可能性があります。これらのメールが転送されると、マルウェアはさらにネットワークを侵害して、組織のさらに深部へと拡散していく可能性があります。
- 一般的なインターネット ファイル システム(SMB/CIFS)やネットワーク ファイル システム (NFS)をベースとするファイル サーバでは、ユーザーが感染ファイルにアクセスしダウンロードすると、マルウェアが素早く拡散する危険性があります。
- ファイル共有ソフトウェアでは、マルウェアがリムーバブル メディアに、さらにはコンピュータ システムやネットワークへと自己複製していくことができます。
- ピアツーピア型(P2P)ファイル共有では、音楽や写真のような無害に見えるファイルを共有することで、マルウェアを取り込む可能性があります。
- リモートで悪用可能な脆弱性を利用することで、ハッカーはコンピュータ ユーザーの関与をほとんどまたは全く必要とせずに、地理的な場所に関係なくシステムにアクセスできます。
パロアルトネットワークスの次世代の 脅威防御 機能と WildFire®クラウドベース脅威分析サービスを使用して、あらゆる種類の既知および未知のマルウェアからお客様のネットワークを保護する方法をご確認ください。
マルウェアからの防御方法:
マルウェアからの防御および検出には、多様なセキュリティ ソリューションが使用されています。これには、ファイアウォール、次世代ファイアウォール、ネットワーク侵入防御システム(IPS)、ディープ パケット インスペクション(DPI)機能、統合脅威管理システム、ウイルス対策およびスパム対策ゲートウェイ、仮想プライベート ネットワーク、コンテンツ フィルタリング、情報漏えい対策システムなどがあります。マルウェアから防御するためには、マルウェアベースの攻撃を幅広く使用して、すべてのセキュリティ ソリューションをテストし、適切に機能することを確認する必要があります。マルウェア シグネチャを十分に備えた最新ライブラリを使用して、最新の攻撃に対するテストを必ず完了しておくことが必須です。
Cortex XDRエージェントは、攻撃ライフサイクルの重大な段階で 複数の防御方法を組み合わせることで、オペレーティング システムをはじめ、エンドポイントのオンライン状態やオフライン状態、組織のネットワークに接続されているかローミングしているかに関係なく、悪意のあるプログラムの実行を停止し、正規のアプリケーションの悪用を阻止します。Cortex XDRエージェントはシグネチャに依存しないため、防御方法を組み合わせることで、ゼロデイ マルウェアや未知のエクスプロイトを防止できます。
マルウェア検出:
ファイアウォール、侵入防御システム(IPS)、サンドボックス ソリューションなど、高度なマルウェア分析・検出ツールは存在します。ファイル暗号化後すぐに自分の存在を知らせる ランサムウェアなど、マルウェアの種類によっては検出が比較的容易です。スパイウェアなどその他のマルウェアは、攻撃者がシステムへのアクセスを維持できるように、攻撃対象のシステムに静かに留まることがあります。マルウェアの種類や目的、検出しやすさ、展開する人物に関係なく、マルウェアを使用しようとすることに常に悪意があります。
エンドポイント セキュリティ ポリシーで振る舞いに基づく脅威防御を有効にすると、Cortex XDRエージェントでも、パロアルトネットワークスが特定した悪意のあるイベント チェーンのアクティビティをエンドポイントで継続的に監視できます。
マルウェアの除去:
ウイルス対策ソフトウェアで除去できるのは、最も標準的な感染タイプであり、画一的なソリューションの選択肢は多数存在します。Cortex XDRでは、アラート後にエンドポイントで修復や調査ができます。これにより、多様な対処手順を開始する選択肢が管理者にはあります。対処手順はエンドポイントの分離から始まり、侵害エンドポイントにおけるCortex XDRコンソールへのトラフィック以外の全ネットワーク アクセスの無効化、悪意のあるアクティビティを実行中のマルウェアがエンドポイントで実行し続けないようにするためのプロセス強制終了、Cortex XDRエージェントで実行していない場合に悪意のあるファイルを隔離して作業ディレクトリから削除するまでの間の追加実行のブロックを行います。
マルウェア防御:
組織をマルウェアから守るには、包括的なエンタープライズ規模のマルウェア防御戦略が必要です。コモディティ型脅威はそれほど巧妙ではなく、ウイルス対策、スパイウェア対策、および脆弱性防御の機能を、ファイアウォールのURLフィルタリングやアプリケーション識別の機能と組み合わせることで、比較的容易に検出と防御を行うことができます。
マルウェアとその亜種、およびそれらに対する組織の保護方法の詳細については、以下のリソースをダウンロードして参照してください。