サイバー犯罪などに使われるマルウェアには、実に様々な種類があります。ではマルウェアの定義とは何でしょうか。それは以下の3つの特性のうち、1つ以上を持つものだとされています。
この3つの特性でマルウェアであるか否かを判別する考え方は、通商産業省(現在の経済産業省)が1995年に「通商産業省告示第429号」の中で、「第三者のプログラムやデータベースに対して意図的に何らかの被害を及ぼすようにつくられたプログラム」として定義しています。当時は「コンピューターウィルス」と呼ばれていましたが、これはいわゆる「広義のウィルス」であり、以下の「狭義のウィルス」と区別するために「マルウェア」と呼ぶべきでしょう。
この特性のうち「自己伝染機能」に着目すると、マルウェアは大きく3種類に分けられます。
実はこれらのうち、最も多く発見されているのが「トロイの木馬」です。例えばWikipediaの「マルウェア」の項目を見ると、2011年3月に発見された種類別のマルウェアのうち、69.99%がトロイの木馬だったとされています。この傾向は現在も大きくは変わっていません。セキュリティソフトウェアベンダーであるKasperskyが2020年7月に公開したデータによれば、同社の「Kaspersky Threat Intelligence Portal」で分析されたマルウェアのうち、7割以上がトロイの木馬だということがわかっています。
その名称の由来は、ギリシア神話にあるトロイア戦争のエピソードです。ギリシア勢の攻撃が手詰まりになった際、ギリシア側が巨大な木馬を作ってその中に人を潜ませ、この木馬を残していったん撤退したと見せかけて、この木馬をトロイア人に市内に運ばせた、という話です。トロイア人はその後、勝利の宴会を行い、守衛までもが寝入ってしまいます。その時を見計らって木馬の中からギリシア勢が現れ、トロイアを滅亡させたのです。
マルウェアのトロイの木馬も、一見無害なソフトウェアを偽装してコンピューターシステムに侵入し、その後で悪さをするマルウェアです。侵入した後にどのような動作を行うかによって、さらにいくつかの種類に分類されます。その代表的なものは以下の通りです。
侵入経路は、メールの添付ファイルとして送付、攻撃者のWebサイトからのダウンロード、有益なソフトウェアに偽装した状態での配布などがあります。またWebサイトからのダウンロードを誘導するために、URL入りのメールやショートメッセージ(SMS)の送付、SNSへのURL掲載なども行われています。最近ではOSやブラウザーの脆弱性を悪用し、Webサイトを閲覧しただけでマルウェアに感染させる「ドライブバイダウンロード攻撃」と組み合わせた攻撃も増えているようです。
トロイの木馬の侵入を防ぐには、送られてきた添付ファイルやURLを不用意にクリックしない、安全であることが確認できないソフトウェアやファイルはダウンロードしない、といったことを徹底することが最も重要です。しかしドライブバイダウンロード攻撃では、ユーザーが意図せずダウンロードが行われる可能性もあります。これを回避するには、最新のセキュリティパッチの適用も重要になります。またアンチウイルス製品の導入やアップデートも欠かせません。
このような対策は基本中の基本ですが、実際には侵入を防ぎきることは困難です。ユーザーのちょっとした判断ミスでトロイの木馬を呼び込んでしまうことは、往々にして起こりうることだからです。つまり「侵入されることを前提にした対策」も不可欠なのです。
そのためのアプローチの1つが「VMware Carbon Black」のような次世代アンチウイルスとEDRを組み合わせたセキュリティ製品の活用です。このような製品を導入しておくことで、侵入後の不審な動きを素早く検知し、トロイの木馬が目的を十分に達成する前に、そのリスクを排除できるようになります。
トロイア人も、勝利の宴会を行って全員が寝入ってしまわなければ、滅亡を避けられたかもしれません。何が起きても迅速に対応できるよう、緊張感を持った監視を怠らないことは、コンピューターセキュリティの世界でも重要なのです。
VMware Carbon Black Cloud Endpoint Standard(旧CB Defense、以下Endpoint Standard)は、あらゆるサイバー攻撃からコンピューターを保護する次世代アンチウイルス+EDRソリューションです。マルウェア攻撃だけでなく、メモリやPowerShellなどスクリプト言語を悪用する非マルウェア(ファイルレス)攻撃などをブロックするとともに、万一の際にも侵入状況の把握やその対応を行うことができます。
詳しくはこちら