マルウェアには多くの種類があり、感染経路や発生被害もさまざまです。しかし、セキュリティソフトの導入だけで対策を完了させている企業も少なくありません。
本記事では、マルウェアの対策方法を予防法と対処法に分けて詳しく解説しています。被害を最小限に抑えるためにも、入念な予防や迅速に動ける環境を整えておきましょう。
マルウェアとは?
マルウェア(Malware)とは、ユーザーに対して意図的にトラブルを起こしたり、迷惑をかけたりするように作られている悪質なソフトウェアの総称です。マルウェアという用語は、「悪意のある(malicious)」と「ソフトウェア(software)」の2つを組み合わせて作られました。感染すると、個人情報の抜き取りやユーザーが使用するデバイスへの不正な侵入、ファイルデータの改ざんなど多くの被害が発生します。感染被害は個人や一般家庭のみならず、企業や公的・政府機関など大規模な組織で発生することも珍しくありません。
また、種類や手法・感染経路が日々複雑に進化しているのもマルウェアの特徴です。
参考記事:サイバー攻撃の目的とは何?どんな攻撃の種類があるのか
参考記事:マルウェアとは?ランサムウェアとの違いは?種類・症状・原因とあわせて解説
マルウェアの種類と感染経路
マルウェアには多くの種類があり、それぞれ特徴も異なります。予防・対策法を確認する前に、まずはどのような種類があるのかを把握しましょう。
ウイルス
ウイルスは、文書ファイルやWebサイト・アプリを開いたり、実行したりすることで感染するマルウェアです。感染するとファイル破損や情報の抜き取り、デバイスの動作停止などの被害が発生します。また、ウイルスは自己増殖も可能なため、感染後は被害が拡大します。
ランサムウェア
ランサムウェアは、デバイスやソフトウェアを不正に乗っ取り、暗号化して被害者が使えないようにするものです。身代金要求を目的としており、「データを復元する代わりに◯円払え」といった内容で脅迫されます。なお、お金を払っても元通りに直してもらえる保証はありません。
スケアウェア
スケアウェアは、マルウェアの感染を装って警告メッセージなどをデバイス上に表示させる手法を使い、ユーザーに恐怖心を与えます。焦ったユーザーをメッセージに応答させ、その先にある別の商材を購入するよう誘導する手口が一般的です。
ワーム
ワームは添付ファイルやURL・メッセージなどを通してデバイスに侵入し、システム全体を乗っ取ります。また、ネットワーク上の別デバイスやソフトウェアにも勝手に拡散するため、一度入り込むと企業全体に被害が及ぶこともあるでしょう。
スパイウェア
スパイウェアは、知らない間にソフトウェアやアプリがデバイスにインストールされてしまうものです。感染後は個人情報やデバイスの操作履歴などを取得され、第三者に送信されます。ただし、企業や公的機関が公に実行する場合もあり、必ずしも悪質とは言い切れません。
トロイの木馬
トロイの木馬は、見慣れたWebサイトやファイルに偽装して、ユーザーのシステムに入り込むものです。ファイルのマクロなどをユーザーが気づかずに実行することで感染し、デバイスの破壊や情報の取得・ほかのマルウェアに感染するなどの被害を引き起こします。
アドウェア
アドウェアは、広告やポップアップメッセージなどを強制的に画面表示させるマルウェアです。広告のボタンをクリックさせて、別のソフトウェアの購入を促します。いたずら目的の場合も多いですが、ブラウザの設定を勝手に変更するなど悪質なタイプもあります。
ファイルレスマルウェア
ファイルレスマルウェアは、ファイル保存やソフトのインストールをせずとも、デバイス内に侵入してプログラムを不正に操作するものです。対策ソフトでスキャンしても発見できず、被害を止めるのが難しいケースも多いため、大変危険なマルウェアといえるでしょう。
マルウェア対策 予防編
マルウェアへの感染を防ぐためにも、予防対策は入念に行いましょう。有効な予防策としては以下があります。
- ログインや認証システムの強化
- システムの監視やログの取得
- マニュアルの見直しと共有
- データの適切な受け渡し
- 関係部署との連携や人材育成の見直し
システムやファイルのログイン認証強化
まずは、社内で使用するファイルやシステムのログイン認証について、2段階以上にするなどの強化を行います。本人や関係者以外が利用できないよう、自動ログインを禁止したり、パスワードを定期的に変更したり、本人認証システムを導入したりするのも有効です。
また、ログイン時だけでなく、操作から一時的に離れるときや別のファイルやソフトに移動するときなど、複数のタイミングで認証を行うのがよいでしょう。
脆弱性の検知や操作ログの監視
本人認証を強化するだけでは足りません。システムの脆弱性や社員の不適切な操作によって、マルウェアが侵入するかもしれません。システムの脆弱性情報を業界団体や関連企業・有識者から収集し、早めに検知するのが重要です。
脆弱性に関する情報は、ベンダーの公式サイトやSNSなどからも調査できます。併せて社内メンバーの操作ログやWebサイトの閲覧履歴、メールの送受信などを監視できるシステムも導入し、イレギュラーな動作がないかをチェックしましょう。
参考記事:脆弱性管理とは?セキュリティ担当者が抑えておきたい対応ポイントと課題
復旧手順やマニュアルの共有
万が一マルウェアに感染した場合の復旧手順やマニュアルを見直し、すぐに対応できるよう体制を整えておくことも必要です。復旧時の優先順位を明確にし、バックアップデータからデバイスを元に戻す手順を、誰でも理解できるよう作成して社内共有します。
また、日頃の業務にも予防対策を組み込めるよう、社内ルールを決めておくとよいでしょう。たとえば、不要なファイルやソフトウェアを削除する際のルールや、バックアップの頻度・タイミングなどです。
暗号化やクラウドサービスによるデータ取引
マルウェアの感染経路はさまざまですが、メールのファイル添付やWebサイトからの資料ダウンロードによる事例が最も多く見られます。そのため、社内外でやり取りするデータはメールやWebサイト経由ではなく、クラウドサービスを利用して実施するなどの手段が有効です。
あるいは、ファイルを暗号化し、不適切に開封しようとした場合はロックするなどの機能を実装する方法もあります。データの送受信を減らして、クラウド完結型にする仕組みに変えてみるのもよいでしょう。
IT・セキュリテイ部門担当者との連携や社内の意識づけ向上
マルウェアに感染した際に社内のセキュリティ部署とすぐにやり取りできるよう、日頃から連携を図っておきます。
しかし、セキュリティ対策部門に対応を集中させるのではなく、各部署で知識を持った人を増やせるよう、人材配置の見直しや育成も強化しましょう。また、社内システムを新しくする際には、それに伴いセキュリティ対策知識も常にアップデートできるようにします。
マルウェアは、社内の関連部署にも被害が拡大していく可能性があるため、関連部署と連携して対応できるように関係を良好に保つ工夫も必要です。
マルウェア対策 対処編
マルウェアに感染した場合の対処法としては、以下5つの手順が有効です。
社内の状況に応じて迅速に対応できるよう、流れを把握しましょう。
- 現状把握と応急処置
- 原因・感染経路の分析
- 状況の公表
- マルウェアの駆除と復旧
- 再発防止対策の実行
1.担当者への迅速な報告とデバイスのオフライン化などの応急処置
マルウェアへの感染に気づいたら、まずはすぐにセキュリティ担当者へ報告します。現状起きているトラブルや異変の内容、感染規模などをまとめて伝えると、相手も状況を把握しやすくなるでしょう。マルウェアの感染が確認されていなくても、おかしいと感じたら小さなことでも報告するのがよいです。
その後、感染が疑われるデバイスはオフライン状態にします。LANケーブルやWi-Fiの接続を解除するほか、リモートワーク先で使用しているデバイスも接続を停止するよう指示を出しておきましょう。
2.原因や感染経路の分析
応急処置が完了したら、感染経路の特定や原因の調査を行います。調査方法はセキュリティ対策ソフトによるスキャンや、メールの送受信履歴・添付ファイルの確認、ネットワーク接続履歴のチェックなどが代表的です。VPN接続を利用している場合は、外部ネットワークを経由する可能性があり、なりすましによる二次被害も懸念されます。
そのため、より丁寧に調べていく必要があるでしょう。また、調査を進める際は、証拠となる情報を適宜まとめながら、経緯や経路を特定していきます。
3.顧客や関連組織への公表
感染被害の状況が社内のみならず、顧客や取引先など広い範囲に及ぶ場合は、事実を関係者や警察・マスコミなどへ公表することも必要です。原因不明のトラブルに不安を抱くユーザーも多数いるため、被害状況や今後のスケジュールを公表することで、混乱による問い合わせやアクセスの集中も軽減できます。
また、ユーザーが対処できる応急処置や対策法についても共有しておきましょう。問い合わせ対応については、伝える内容を明確にして、曖昧な返答をしないよう注意します。
4.マルウェアの駆除とシステムの復旧
原因の特定や事実公表をした後は、担当者や専門業者の指示に従ってマルウェアの駆除を行います。マルウェアの駆除が不可能な場合は、デバイスの初期化も検討します。
駆除後は、システムのセキュリティスキャンや再インストールを全デバイスで実行して、少しずつ通常業務に戻していきましょう。復旧時にバックアップデータを利用する場合は、バックアップにも感染していないかチェックします。また、復旧後はユーザー向けのサポート窓口設置や情報公開も行うのが一般的です。
5.再発防止策の立案とPDCAの実施
事態が収束したら、今回の事例における対処や予防策を振り返ります。セキュリティ対策や復旧までのフローは適切であったかを確認し、必要に応じてセキュリティソフトの強化や新規導入、人材の再配置などを行いましょう。同じ失敗や被害を再発させないためにも、対策法の立案と合わせてPDCAで改善を継続できる環境を整えるのが重要です。
マルウェアに限らず、社内のインシデント対応では冷静な判断と迅速な対応を心がけ、問題発生後は改善と再発防止に務めましょう。
参考記事:インシデント対応とは?インシデント発生時の対応計画から対策の策定までを解説
(まとめ)あらゆる種類のマルウェアに備えて適切に守る
時代の変化に合わせて、マルウェアも複雑かつ巧妙な手法に変わってきています。また、以前から知られているタイプのマルウェアであっても、感染経路や原因の特定が難しいケースもあるでしょう。
そのため、企業が行う対策方法も、マルウェアの変化に合わせて柔軟にアップデートしていく必要があります。セキュリティ担当者だけでなく、社内全体でマルウェアに対するセキュリティや予防意識を高めていくことが、機密情報やデバイスを守ることにもつながるでしょう。
[PR]提供:セキュアワークス
