発見されたマルウェアの7割以上が「トロイの木馬」、
その特徴と主な種類
自己伝染機能は持たないものの圧倒的に多い「トロイの木馬」
サイバー犯罪などに使われるマルウェアには、実に様々な種類があります。ではマルウェアの定義とは何でしょうか。それは以下の3つの特性のうち、1つ以上を持つものだとされています。
- 自己伝染機能
自らの機能により他のプログラムに自らをコピーする又はシステム機能を利用して自らを他のシステムにコピーすることにより、他のシステムに伝染する機能 - 潜伏機能
発病するための特定時刻、一定時間、処理回数等の条件を記憶させて、条件が満たされるまで症状を出さない機能 - 発病機能
プログラムやデータ等のファイルの破壊を行ったり、コンピューターに異常な動作をさせる等の機能
この3つの特性でマルウェアであるか否かを判別する考え方は、通商産業省(現在の経済産業省)が1995年に「通商産業省告示第429号」の中で、「第三者のプログラムやデータベースに対して意図的に何らかの被害を及ぼすようにつくられたプログラム」として定義しています。当時は「コンピューターウィルス」と呼ばれていましたが、これはいわゆる「広義のウィルス」であり、以下の「狭義のウィルス」と区別するために「マルウェア」と呼ぶべきでしょう。
この特性のうち「自己伝染機能」に着目すると、マルウェアは大きく3種類に分けられます。
- (狭義の)ウィルス
自己伝染機能あり。他のプログラムやファイルの一部を書き換える(寄生する)ことで、自己複製を行う。 - ワーム
自己伝染機能あり。他のプログラムやファイルに寄生することなく、独自に自己複製を行う。 - トロイの木馬
自己伝染機能なし。
実はこれらのうち、最も多く発見されているのが「トロイの木馬」です。例えばWikipediaの「マルウェア」の項目を見ると、2011年3月に発見された種類別のマルウェアのうち、69.99%がトロイの木馬だったとされています。この傾向は現在も大きくは変わっていません。セキュリティソフトウェアベンダーであるKasperskyが2020年7月に公開したデータによれば、同社の「Kaspersky Threat Intelligence Portal」で分析されたマルウェアのうち、7割以上がトロイの木馬だということがわかっています。
その名称の由来は、ギリシア神話にあるトロイア戦争のエピソードです。ギリシア勢の攻撃が手詰まりになった際、ギリシア側が巨大な木馬を作ってその中に人を潜ませ、この木馬を残していったん撤退したと見せかけて、この木馬をトロイア人に市内に運ばせた、という話です。トロイア人はその後、勝利の宴会を行い、守衛までもが寝入ってしまいます。その時を見計らって木馬の中からギリシア勢が現れ、トロイアを滅亡させたのです。
侵入後の動作によってさらに複数の種類に分類
マルウェアのトロイの木馬も、一見無害なソフトウェアを偽装してコンピューターシステムに侵入し、その後で悪さをするマルウェアです。侵入した後にどのような動作を行うかによって、さらにいくつかの種類に分類されます。その代表的なものは以下の通りです。
- ドロッパー型
他のマルウェアを内部に持ち、自分自身がコンピューターシステムに侵入した後、内包したマルウェアに感染させます。ギリシア神話のトロイの木馬に、最もイメージが近いものだといえます。 - バックドア型
攻撃者が用意したサーバーと通信を行い、侵入したコンピューターを遠隔操作します。攻撃者はこれによって、外部からシェルコマンドを実行する、他のマルウェアをダウンロードする、画面撮影を行う、といったことを実行します。「RAT(Remote Administration Tool)」と呼ばれることもあります。 - スパイウェア型
侵入したコンピューターのIPアドレスといったシステム関連の情報や、ユーザーID/パスワードといった認証情報を盗み出します。バックドア型の機能を持つものが一般的で、盗み出した情報は攻撃者に送信されます。 - ボット型
侵入したコンピューター内部でボットとして活動します。攻撃者のサーバーと通信を行い、DDoS攻撃などを行うケースもあります。 - プロキシ型
侵入したコンピューターのDNS設定を変更し、不正なプロキシサーバーを構築します。攻撃者はここを踏み台にし、他のコンピューターへの攻撃を行います。
侵入経路は、メールの添付ファイルとして送付、攻撃者のWebサイトからのダウンロード、有益なソフトウェアに偽装した状態での配布などがあります。またWebサイトからのダウンロードを誘導するために、URL入りのメールやショートメッセージ(SMS)の送付、SNSへのURL掲載なども行われています。最近ではOSやブラウザーの脆弱性を悪用し、Webサイトを閲覧しただけでマルウェアに感染させる「ドライブバイダウンロード攻撃」と組み合わせた攻撃も増えているようです。
トロイの木馬の侵入を防ぐには、送られてきた添付ファイルやURLを不用意にクリックしない、安全であることが確認できないソフトウェアやファイルはダウンロードしない、といったことを徹底することが最も重要です。しかしドライブバイダウンロード攻撃では、ユーザーが意図せずダウンロードが行われる可能性もあります。これを回避するには、最新のセキュリティパッチの適用も重要になります。またアンチウイルス製品の導入やアップデートも欠かせません。
このような対策は基本中の基本ですが、実際には侵入を防ぎきることは困難です。ユーザーのちょっとした判断ミスでトロイの木馬を呼び込んでしまうことは、往々にして起こりうることだからです。つまり「侵入されることを前提にした対策」も不可欠なのです。
そのためのアプローチの1つが「VMware Carbon Black」のような次世代アンチウイルスとEDRを組み合わせたセキュリティ製品の活用です。このような製品を導入しておくことで、侵入後の不審な動きを素早く検知し、トロイの木馬が目的を十分に達成する前に、そのリスクを排除できるようになります。
トロイア人も、勝利の宴会を行って全員が寝入ってしまわなければ、滅亡を避けられたかもしれません。何が起きても迅速に対応できるよう、緊張感を持った監視を怠らないことは、コンピューターセキュリティの世界でも重要なのです。
VMware Carbon Black Cloud Endpoint Standardとは
VMware Carbon Black Cloud Endpoint Standard(旧CB Defense、以下Endpoint Standard)は、あらゆるサイバー攻撃からコンピューターを保護する次世代アンチウイルス+EDRソリューションです。マルウェア攻撃だけでなく、メモリやPowerShellなどスクリプト言語を悪用する非マルウェア(ファイルレス)攻撃などをブロックするとともに、万一の際にも侵入状況の把握やその対応を行うことができます。
詳しくはこちら
様々な企業が「VMware Carbon Black Cloud」を活用しています
株式会社ユーシン精機様
運用負荷をかけることなく、24時間365日エンドポイントセキュリティ強化を実現
スマートニュース株式会社様
脅威を分かりやすく可視化 運用も容易な次世代アンチウイルス+EDRを選択
HRBrain様
CB Defense導入の決め手になったのは、「Mac対応」と「EDR」が次世代アンチウイルスに統合されていた点
NTTスマイルエナジー様
CB Defenseの導入で「マルウェア等の最新の脅威から守られているという安心感」を得ることができた
サイバネットシステム株式会社 ITソリューション事業部 - カテゴリ別
- 製品別
- ソリューション別