マルウェアとは、エンドユーザーが気付かないうちにコンピュータ、サーバー、クライアント、またはコンピュータネットワークやインフラストラクチャに損害や危害を与えるように設計された、あらゆる種類の悪意のあるソフトウェアの総称です。
サイバーそのほとんどが、個人情報、財務情報、ビジネス情報を盗むために使用されています。サイバー攻撃者の動機はさまざまですが、ほとんどの場合、特権認証情報やアカウントにアクセスして犯罪を実行するための戦術、手段、手順(TTP)に特化しています。
マルウェアの分類
ほとんどのあらゆるマルウェアを次のいずれかタイプに分類できます::
- ウイルス:コンピュータウイルスは、他のプログラムを変更して悪意のあるコードを挿入することにより、ウイルス自体を複製します。他のファイルに「感染する」唯一のマルウェアであり、削除するのが最も困難なマルウェアのひとつです。
- ワーム:エンドユーザーの介入なしで自己複製を実行します。マシン間を移動することで、ネットワーク全体に瞬く間に感染する可能性があります。
- トロイの木馬:正当なプログラムを偽装するため、検出が最も困難なタイプのマルウェアのひとつです。このタイプのお金には、悪意のあるコードや命令が含まれていますており、気づかれずに実行される可能性があります。多くの場合、他のタイプの純正をシステムに侵入させるために使用されます。
- ハイブリッドマルウェア:最新のマルウェアは、多くの場合、悪意のあるソフトウェアタイプが組み合わされた「ハイブリッド」タイプです。例えば、「ボット」は見せかけはトロイの木馬タイプですが、実行されるとワームに変化します。これらは、ネットワーク全体を狙った大規模なサイバー攻撃の一部として、個々のユーザーを標的にするために頻繁に使用されます。
- アドウェア:エンドユーザーに望ましくないポップアップ広告などを表示します。
- マルバタイジング:正当な広告に見せかけて、エンドユーザーのマシンにマルウェアを侵入させます。
- スパイウェア:エンドユーザーの認証情報やパスワード、閲覧履歴などを収集します。
- ランサムウェア:マシンに感染してファイルを暗号化して保持します。企業や政府機関を標的とするランサムウェア攻撃が増加しており、重要なシステムを復元するための代償として攻撃者から数百万ドルもの支払いが要求される被害が発生しています。代表的なランサムウェアの一部として、Cyptolocker、Petya、Lokyがあります
マルウェアの例
機密データを標的とするサイバー攻撃者が使用している多数のマルウェアの一部を以下に示します:
- Ponyマルウェア パスワードと認証情報を盗むために最も一般的に使用されるマルウェアです。Pony Stealer、Pony Loader、FareIT と呼ばれることもあります。PonyマルウェアはWindowsマシンを標的にして、システムと接続しているユーザーの情報を収集します。他のマルウェアをダウンロードしたり、認証情報を盗み出してコマンド/制御サーバーに送信することもできます。
- Loki(Loki-Bot)一般的なブラウザ、メールクライアント、リモート制御プログラム、ファイル共有プログラムなどの約80のプログラムにわたって認証情報やパスワードを標的として盗み出すマルウェアです。認証情報を盗み、個人データにアクセスする一般的な方法として、2016年からサイバー攻撃者によって使用されています。
- Krypton Stealer2019年の初めからmalware-as-a-service(MaaS)として利用されており、わずか100ドルの暗号通貨で販売されています。Windowsバージョン7以降のマシンを標的にして、認証情報を管理者権限なしで盗み出します。また、このマルウェアは、ブラウザに保存されているクレジットカード番号やその他の機密データ(閲覧履歴、オートコンプリート、ダウンロードリスト、Cookie、検索履歴など)も標的となります。
- Tritonマルウェアこのマルウェア攻撃の最初の被害として、2017年に中東の重要なインフラストラクチャ施設が運営停止を余儀なくされました。このマルウェアの呼び名は、ターゲットとするシステムTriconex safety instrumented system (SIS)コントローラに基づいています。これらのシステムは、機器の故障、爆発、火災などの問題が発生した場合に、原子力施設、石油・ガスプラントの操業を停止するために使用されます。Tritonマルウェアは、これらのフェイルセーフメカニズムを無効にするように設計されています。これにより、重要なインフラストラクチャに対する物理的な攻撃や人体への危害が引き起こされる可能性があります。
マルウェアのリスクをどのように軽減する方法
ビジネスの生産性に悪影響を与えることなく、マルウェアからの保護およびその検出を強化するために、多くの場合、組織は次の手順を実行しています:
- ウイルス対策ツールを使用して、一般的な既知のマルウェアから保護。
- エンドポイント検出および応答技術を使用して、継続的にエンドユーザーのマシンでマルウェア攻撃やその他のサイバー脅威を監視して対応。
- アプリケーションおよびオペレーティングシステム(OS)のパッチ適用ベストプラクティスを順守。
- 最小特権の原則およびジャストインタイムアクセスにょり、特定の承認されたタスクのアカウント権限を昇格させ、不要な権限を与えずにユーザーの生産性を維持。
- 標準ユーザーアカウントからローカル管理者権限を削除して、攻撃対象領域を減らす。
- ユーザーのエンドポイントにアプリケーショングレーリストを適用して、新しいランサムウェアインスタンスなどの未知のアプリケーションがインターネットにアクセスし、ファイルの暗号化に必要な読み取り、書き込み、および変更権限を取得するのを防止。
- >サーバーにアプリケーションのホワイトリストを適用して、資産のセキュリティを最大限に高める。
- エンドポイントおよびサーバからデータを頻繁かつ自動的にバックアップして、効果的な災害復旧を可能にする。