マルウェア対策とは? 感染経路や事前対策、感染時の対処法を解説
テレワークが普及し、様々なクラウドサービスが導入され、企業におけるIT活用が広がる中で、マルウェア感染のリスクも増大しています。セキュリティ上の深刻な被害を受けないためにも、マルウェア対策はどの企業にとっても欠かせません。
本記事では、マルウェアの種類や生じる被害、よくある感染経路、事前対策、感染時の対処法について解説します。
マルウェアとは、不正・有害な動作を行うプログラムやコードなどの総称
マルウェアとは、パソコンやスマートフォンなどの端末でインストール・起動すると、不正・有害な動作を行うプログラムやコードなどの総称です。感染例が増えているEmotet(エモテット)も、主にメールを介して情報の窃取やスパム送信などの被害をもたらすマルウェアの一種です。
一言でマルウェアといっても種類や発生する被害は多岐にわたり、様々な視点から対策を検討する必要があります。
数あるマルウェアの種類の中でも代表的なものは、「ウイルス」「ワーム」「トロイの木馬」「スパイウェア」「ランサムウェア」の5種類です。それぞれ、下記のような特徴があります。
ウイルス
ウイルスは、感染や自己増殖といった特徴を持つマルウェアです。感染によってほかのプログラムに自身のコピーを作成してシステム内で増殖し、データ破壊などの悪意のある動作を行います。必ず何らかのプログラムへの寄生が必要となり、ウイルス単体では存在することができません。
ワーム
ワームも、システム内で自己増殖して悪意のある動作を行うマルウェアです。しかし、ウイルスとは異なり、ほかのプログラムに寄生しなくても単体で存在できるという特徴があります。
トロイの木馬
トロイの木馬は、一見すると無害なソフトウェアのようでありながら、インストールすると被害をもたらすマルウェアです。ウイルスやワームと異なり、自己増殖はしません。感染後は、すぐにユーザーに被害がわかるような破壊活動を行うのではなく、システム内へ管理者に検知されずに不正侵入するための入り口であるバックドアを設け、悪質のある第三者が不正にアクセスできる経路を作ります。
スパイウェア
スパイウェアは、情報を盗み出すための活動を行うマルウェアです。感染してもすぐにわかりやすい被害が発生するわけではないため、対処が遅れて大きな被害に発展してしまう恐れがあります。
ランサムウェア
ランサムウェアは、感染した端末のファイルを暗号化したり、端末自体をロックしたりすることで、その解除・復元のための身代金を要求するマルウェアです。大手自動車メーカーの工場の操業を停止させるような、大きな被害をもたらしたこともあります。
マルウェアにより生じる被害
マルウェアに感染すると、情報漏洩・消失・改ざんをはじめ、様々な被害が生じるため注意が必要です。感染した端末に保存されているメールアドレスの情報からほかの端末・システムにマルウェアを拡散させたり、SNSへのスパム投稿の踏み台にされたりするケースも発生しています。また、クレジットカード情報やオンラインバンキングのアカウント情報が盗まれ、金銭的な被害が生じるケースも少なくありません。
企業でのIT活用は年々増え続けており、どの企業も常にマルウェア感染のリスクにさらされている状態といえるため、企業のマルウェア対策は必須です。
マルウェアの感染経路
マルウェア感染への適切な対策を講じるためには、その感染経路を把握することが重要です。マルウェアの感染経路は、大きく下記の4パターンに分けられます。
メールの添付ファイル
マルウェア感染の典型例として、メールの添付ファイルを開いたことで感染が引き起こされてしまうケースが挙げられます。特に、ターゲットを特定の企業に絞り込んで送信されてくる標的型攻撃メールでは、業務に関係があると勘違いしそうな件名・ファイル名が設定されたファイル付きメールが届くため、感染が起きやすいという特徴があります。
Webサイト
メールに記載されたURLをクリックして、遷移先のWebサイトでマルウェアに感染してしまうケースもあります。いわゆる、フィッシング攻撃の一種です。
2019年頃からは、スマートフォンのカレンダーへの予定招待機能を悪用し、予定への招待に記載されたリンクのクリックを促してマルウェアの潜むWebサイトへ誘導するケースも発生しており、手口がより巧妙化しています。
USBメモリなどのメディア
USBメモリやCD-ROM、DVDなどのメディアも、代表的なマルウェアの感染経路です。メディアが端末に挿入されると自動的にプログラムが実行される仕組みを悪用したケースもあれば、ユーザーがメディア内の偽造されたデータファイルを開いてマルウェアに感染してしまうケースもあります。
マルウェアに感染した端末に別のメディアを挿入すると、そのメディアにもマルウェアが感染して、感染が拡大してしまう可能性もあります。
アプリケーション・ソフトウェアのインストール
不正なアプリケーション・ソフトウェアのインストールも、マルウェアの感染経路の代表的な例です。例えば、有名なソフトウェアの不正コピーを無料でダウンロード・インストールしたらマルウェアが仕込まれていたといったケースがあります。信頼のできないWebサイトなどからは、絶対にアプリケーション・ソフトウェアをインストールしないようにすることが重要です。
マルウェアに対する事前対策
マルウェア感染を防ぐためには、企業内で事前対策を強化する必要があります。マルウェア対策には、下記の9つの対策が有効です。
従業員教育・注意喚起
従業員の情報セキュリティに関する意識を研修などによって日頃から向上させておくことは、マルウェア対策として非常に重要です。マルウェア対策に詳しい外部機関による教育や研修を実施すると、効果的でしょう。また、オンライン講座やeラーニングの活用もお勧めです。
加えて、不審なアプリケーションやソフトウェアをインストールしない、不審なポップアップやWeb広告、メールなどは開かないというルールを設けて徹底させることも重要です。
これらのような情報セキュリティの教育や注意喚起は一度行っただけで満足せず、定期的に実施しなければなりません。マルウェアに感染させようとする手口も日々多様化・巧妙化しているため、常に最新の情報を入手し、社内に注意喚起する習慣が必要になります。
セキュリティソフトの導入
ウイルス対策ソフトや不正アクセス監視ツールを導入することも、有効なマルウェア対策です。スパイウェア検出ソフトやファイアウォールなど、複数のソフトウェアやツールを組み合わせることで、より高いレベルでマルウェア被害を防止できます。
また、マルウェアの感染を検知した際にいち早く管理者に知らせるツールを導入すれば、通知を受けた管理者は迅速かつ適切にネットワークの切断・隔離などの対処が可能になります。マルウェアによる攻撃は日々巧妙化していて、感染経路を完全に遮断することは困難であるため、感染した後の対処を支援するような仕組みも組み合わせると良いでしょう。
OS・ソフトウェアの定期的なアップデート
マルウェア対策のためには、すべての従業員が使用するOSやソフトウェアを定期的にアップデートすることも必要です。OSやソフトウェアのアップデートには、不具合の解消やセキュリティの脆弱性を改善させる修正プログラムが含まれることもあるためです。
OSやソフトウェアの中には自動的にアップデートを行う機能が付いている場合もあるため、状況に応じて活用してください。
メールの内容・添付ファイルに関する自動チェック機能の活用とルール策定
メールやWebサイト経由のマルウェア感染を防ぐためには、メールの内容・添付ファイルの自動チェックを導入するのも有効です。不審なメールは自動的に迷惑メールフォルダーに振り分けられるようにして、添付ファイルはマルウェアが仕込まれていないことをスキャン機能で確認できる仕組みを導入しましょう。
また、並行してメールやWebサイトの閲覧に関するルールを設けるのも効果的です。「不審なメールが届いた場合は管理者に連絡すること」「不審な添付ファイルやURLは開かないようにすること」といったルールを決めて、全従業員がマルウェア感染リスクの高い操作を行わないようにルールを浸透させてください。
アカウント情報管理の強化
万が一マルウェア感染によって情報漏洩が発生した際の被害を最小限に抑えるために、事前に端末やシステム、外部サービスなどにログインする際のアカウント情報の管理を強化することも効果的なマルウェア対策です。
具体的な対策としては、パスワードを複雑にする、利用するサービスごとにパスワードを変える、アカウント情報は必要な範囲でしか共有しない、多要素認証を導入する、といった方法があります。
危険なWebサイトにアクセスできない仕組みの導入
Webフィルタリングは、業務に必要のないWebサイトや悪意のあるサイトへのアクセスを制限できるため、Webサイト経由のマルウェア対策に有効です。
ただし、Webフィルタリングによって仕事で必要なサイトまで閲覧できなくなってしまう可能性もあるため、業務に支障が出ないように慎重に設定する必要があります。
- 併せて読みたい
USBメモリの接続制限
USBメモリはマルウェアの代表的な感染経路であるため、端末への接続制限を設けることも重要です。自社が管理していないUSBメモリは業務用パソコンに接続させないようにしたり、企業が管理するUSBメモリは許可された端末以外には接続させないようにしたりする仕組みを導入すると良いでしょう。
ログ監視
PC操作ログやメールの送信履歴といった各種ログの取得・監視を実施することも、効果的なマルウェア対策です。普段とは違う不審な操作やメール送信があった際にすぐに検知できるようにしておけば、マルウェアの感染防止と迅速な対処につながります。
- 併せて読みたい
安全なクラウドサービスを介したデータ送受信の導入
マルウェアの感染は、メールの添付ファイルやWebサイトからのダウンロード、USBメモリの接続など、ファイルの移動に伴って発生します。そのため、自社で選定した安全なクラウドサービスだけをファイルの移動方法として指定して、それ以外の方法でのファイル送受信をさせないようなルールにしておくことも、マルウェア対策の一環となります。
マルウェアに感染した場合の対処法
万が一マルウェアに感染してしまった場合は、社内外向けに様々な対処をしなければなりません。一般的には、下記の7つのステップで対応を進めていきます。
1.感染した端末の隔離
不審な挙動やセキュリティソフトの警告でマルウェア感染が疑われる場合は、その端末の社内ネットワークからの隔離を最初に対応しなければなりません。有線でネットワークに接続している場合はLANケーブルを抜き、無線接続(Wi-Fi)の場合は接続機能をオフにします。
マルウェア感染時にまず警戒しなければならないのは、ネットワーク経由でほかの端末にも被害が拡大することです。そのため、感染端末のネットワークからの除外は最初に対応しましょう。ネットワークからの隔離後は、マルウェアによって再びネットワークに接続されないよう、感染端末の使用を中止して電源を切って保管してください。
なお、マルウェアの影響を受けたすべての端末を隔離したとしても、その段階ではまだ安心はできません。マルウェアの中にはファイルの改ざん・消去やシステムの改変を行うものがあるため、マルウェアの感染発覚後は、復旧段階に入るまでデータのバックアップなどはできるだけ行わないようにします。
2.情報セキュリティ担当者への報告
端末の隔離が完了したら、速やかな情報セキュリティ担当者への報告が必要です。メールなどのネットワークを介した連絡方法は、マルウェアによる影響を受けている可能性が否定できないため、電話や対面という手段で連絡することをお勧めします。
3.マルウェアの種類・感染経路・原因の特定と二次感染の調査
情報セキュリティ担当者は、マルウェア感染の報告を受けたら、マルウェアの種類・感染経路・原因を特定し、二次感染によって被害が広がっていないかを調査しなければなりません。セキュリティソフトのログやメールの送受信履歴を確認し、ほかの端末の感染の有無や被害端末からの不審な添付ファイル送信がないかなどをチェックします。感染経路や原因の特定は、再度の被害を防ぐためにも重要です。
4.セキュリティソフトによる駆除
マルウェアの被害範囲の特定と同時に、感染が発覚したすべての端末からマルウェアを駆除する必要があります。マルウェアは、セキュリティソフトで端末をスキャンすれば駆除することが可能です。セキュリティソフトに最新のアップデートが適用されていることを確認した上で対応してください。
5.社内外への公表
自社内でマルウェアを検知したこと、あるいは被害が出たことは、必要に応じて社内外へ公表します。顧客情報の流出があった場合や、顧客への二次被害の可能性がある場合は、適切に情報公開しなければ信頼を失ってしまう可能性があります。
また、社内で感染に関する情報を共有し、次のマルウェア感染が起こらないように注意喚起することも大切です。
6.復旧
マルウェアの駆除と社内外への公表が終わり、被害の拡大が抑えられ、安全といえる状態になったら、業務態勢を通常の状態に復旧する段階に入ります。念のため、セキュリティソフトでのスキャンを行い、感染している端末が残っていないか、安全性を確認してから復旧を進めましょう。
ランサムウェアなどで端末がロックされている、またはファイルが暗号化されていてアクセスできないといった状況になっている場合は、セキュリティソフトでの対応は難しいため、端末を初期化しなければなりません。初期化することで端末は使用前の状態となり、マルウェアも消去されます。初期化すると端末に保存していたデータも消えてしまうため、普段からバックアップを取る習慣が重要です。
7.再発防止策の検討・実施
業務態勢の復旧が完了したら、感染から復旧までの経緯をまとめ、再発防止策を検討しなければなりません。
再発防止策としては、感染を招いた行動を今後従業員全員が回避できるようにするための従業員教育の実施や、ルールの改正、セキュリティソフトの更新・見直しなどが考えられます。
マルウェアは、セキュリティソフトの導入や日頃の情報資産管理体制の整備で対策しよう
マルウェア対策には、日頃からの従業員教育とセキュリティソフトの導入のほか、ログ監視やアクセス制限といった情報漏洩対策・IT資産管理ツールの導入が有効です。マルウェアの種類や手口は日々多様化・巧妙化しているため、対策を見直して、感染リスクや感染時の被害を最小限にとどめられるよう努めましょう。
インターコムの「MaLion」シリーズは、ログ監視やWebアクセスの監視・制限といったマルウェア対策に有効な機能を搭載していて、セキュリティリスクの高い操作に対するアラート表示機能も備えているため、従業員の情報リテラシー向上効果も期待できます。
マルウェア対策の強化の一環として、ぜひ「MaLion」シリーズの導入をご検討ください。