本ブログは、英語版ブログ「https://www.proofpoint.com/us/corporate-blog/post/how-get-rid-malware-and-keep-it-out」の翻訳です。
マルウェアを検出して駆除する方法
マルウェアには多くの変種や亜種があり、私たちの自宅や職場でのデジタルライフに驚くべき速さで侵入しています。
広義では、マルウェアとは電子メールまたはWebサイト経由で配信され、システムやサーバーにインストールされ、これらのコンピューティングデバイスを停止、無効化、または操る目的を持つ、悪意のあるプログラムを指します。ずる賢いサイバー犯罪者は検出を回避するために、ファイル内のマルウェアを隠して正当なアプリケーションのように見せかけたり、他の難読化技術を使用してセキュリティソリューションを回避しようとしたりします。そしてほとんどすべての人は、これらの高度に洗練された回避的で潜行的な脅威に対して非常に脆弱です。
AV-TEST Instituteによると、毎日350,000を超えるマルウェアと、望ましくない可能性のあるアプリケーション(PUA:Potentially Unwanted Applications)が新たな脅威として現れています。過去9年間でマルウェアの増加速度がどれだけ速くなったかの一例を示すと、2010年にマルウェアサンプルは4700万件でしたが、2019年にはその数は9億200万に急増しています。
マルウェアの種類
今日の複雑な形態のマルウェアの脅威は、多くの場合、以下のような一般的なマルウェアの機能を組み合わせています:
- バックドア:暗号化のようなセキュリティメカニズムを迂回して、システムまたは暗号化されたデータにリモートアクセスします。
- バンキング型トロイの木馬:銀行のクレデンシャル情報を表示または盗んでアカウントにアクセスします。
- ボットネット:コンピューターを乗っ取り、他のハイジャックされたシステムのネットワークに追加して、大規模なスパムキャンペーンを送信します。
- クレデンシャルスティラー:連絡先、ブラウザーのパスワード、その他の貴重な情報などのデータを盗みます。
- 暗号通貨マイナー:コンピューターを乗っ取り、ビットコインのような暗号通貨のマイニングを行います。
- ダウンローダー:インストールされると、他のマルウェアを自動的にダウンロードします。
- キーロガー:ユーザーが入力しているキーストロークをキャプチャし、ユーザー名やパスワードなどのクレデンシャルを盗むために使用されます
- POS:クレジットカードやデビットカードの番号、PIN、取引履歴などを盗むためにPOS端末を侵害します。
- ランサムウェア:ユーザーがロックされたシステムを解除するために身代金を支払うまで、ファイルを暗号化またはロックしてアクセスを妨害します。
- リモートアクセスツール(RAT):広範なリモートコントロール機能のためのリモートアクセスツールを有効にします。
- ルートキット:権限を持たないユーザーが、検出されずにシステムを制御できるようにします。
- スパイウェア:バックグラウンドに隠れ、Webサーフィンの目的地、パスワード、クレジットカード番号などのオンラインアクティビティに関するデータを記録します。
- ウイルス:自身をクリーンなファイルに添付し、他のファイルに感染します。その結果、システムの機能が破損したり、ファイルが破損したり削除されたりします。
- ワーム:インターネットまたは企業ネットワークを介してデバイスのネットワークに感染します。
マルウェアの検知と検出
システムがマルウェアに感染したことをどのようにして検知すれば良いでしょうか? 以下にいくつかの警告サインを示します:
- アプリケーションまたはコンピューターが頻繁にクラッシュする。
- 画面にポップアップが表示され始める。
- 通常のタスクを実行しているときに、異常なまたは恐ろしいエラーメッセージが表示される。
- コンピューターの動作が遅くなる。
- ハードディスクドライブのスペースが不足する。
- あなたがオンラインではない場合でも、高い頻度で奇妙で疑わしいネットワークアクティビティが起こる。
- あなたの知り合いが、あなたが送信した覚えのないスパムメールを受信する。
- 身代金の支払い要求がある。
マルウェアの駆除方法
マルウェアの存在が疑われる場合でも、慌てないで下さい。コンピューターからマルウェアを駆除するための基本的な手順は次のとおりです:
- オンラインでのショッピングや銀行取引などリスクの高い行動を停止し、インターネットから切断します。
- マルウェアが自動的にロードされるのを防ぐため、マシンをセーフモードで再起動します。
- マルウェア対策プログラムが最新であり、適切に動作していることを確認してください。
- 完全なマルウェアスキャンを実行します。
- 専用のランサムウェアまたはマルウェアの回復ツールを実行します。
マルウェア対策
これまでに説明したマルウェアの駆除手順は有効ですが、さらに重要なのはマルウェアを予防することです。従来、ユーザーは主要なセキュリティ防御としてウイルス対策ソフトに依存していました。しかし、検出の回避と拡散の両方で複数の方法を使用する新しいマルウェアが急増しているため、ウイルス対策だけではそれらを防御できません。最近の調査によると、著名な情報セキュリティ会議であるBlack Hatの出席者の73%は、旧式のウイルス対策は無意味であり、時代遅れにさえなっていると考えています。
より良い防御技術が必要とされていることは明らかです。セキュリティベンダーは、マルウェアを検出し、無効化し、根絶するためのさまざまなマルウェア対策ソリューションを提供しています。人工知能の一種である高度な機械学習を活用して検出を高速化し、精度を向上させるものもあります。以下は、さまざまな方法で問題を解決するマルウェア防止技術です。
- ネットワークアクセス制御は、管理されていないシステムを監視し、侵害されたデバイスがネットワークにマルウェアを拡散するのを防ぎます。
- Webアプリケーションファイアウォール(WAF)は、サイバー犯罪者がWebサイトからマルウェア攻撃を仕掛けることを防ぎます。
- データベーススキャンは、最も重要な情報資産を保存しているデータベース内の脆弱性(コンフィグレーションの問題、脆弱なパスワード、未適用のパッチなど)を発見します。
- 情報漏洩対策(DLP)は、マルウェアが侵入した後に機密情報が特定され、悪意のある人の手に渡るのを防ぎます。
- アンチランサムウェアは、ランサムウェアを検出、ブロックし、暗号化されたファイルのロックを解除します。
- エンドポイント検出・対応ツールは、エンドポイントで発生するシステムアクティビティとイベントを継続的に記録して、高度な脅威を検出します。
マルウェアとメールセキュリティ
これらの対策はすべて有効であり、非常に重要です。しかし結局のところマルウェアは、人々が毎日使っているコミュニケーションツール、つまり電子メールを起点としているのです。実際、攻撃の90%以上はメールから始まっています。サイバー犯罪者はソーシャルエンジニアリング手法を通じて人間の心理を悪用し、マルウェアを満載した添付ファイルを開かせたり、悪意のあるリンクをクリックさせたり、クレデンシャルを入力させたりします。クレデンシャルフィッシングは、2017年第3四半期から2018年第3四半期の間に4倍になり、偽のオンラインフォームで騙してパスワードを入力させようとします。
マルウェア攻撃を防ぐ最良の方法の1つは、継続したトレーニングを行うことです。これは、全員にリスクを理解させる効果的で実践的な方法です。最良のプログラムは、現実に存在する攻撃手法を使用して、ユーザーにどのようにして悪意のあるメッセージを認識し、それらに負けないようにするかの方法を教えます。
さらに、強力で多階層な電子メールセキュリティソリューションは、マルウェアを追跡するのに役立ちます。適切なソリューションを選択するのは必ずしも簡単ではありません。さまざまなオプションを評価する際には、次のような重要な機能に留意してください:
- Microsoft Office 365やG Suiteなどのクラウドベースの電子メールアプリケーション、およびオンプレミスの電子メールプログラムをカバーする電子メール保護。
- 電子メールトラフィックを自動的にスキャンし、侵害された電子メールアカウントを介して送信されるスパム、マルウェア、またはフィッシング攻撃を検出。
- スパムなどの電子メールコンテンツを詳細に分析して悪意があるかどうかを判断するための機械学習。
- 悪意のあるURLと悪意のある添付ファイルがユーザーの受信トレイに到達するのをブロックする技術。
- クリックしたユーザーおよび/またはリンクのリスクに基づいて電子メール内でのクリックを隔離する機能。
- 現在の攻撃と将来の攻撃を検出および防止するために、マルウェアがどのように機能するかの詳細な説明を提供する脅威インテリジェンス。
マルウェア防御を強化するためにできることを知りたい場合は、Email Protectionに関するリソースをご覧ください。