マルウェアとは - 基本的な理解
マルウェアの定義
マルウェア(Malware)は、「Malicious Software(悪意あるソフトウェア)」を略した造語です。コンピュータやネットワークに害を及ぼすことを目的として作成されたソフトウェアの総称であり、ウイルス、ワーム、トロイの木馬、ランサムウェアなど、様々な種類が含まれます。
マルウェアの歴史は、コンピュータの歴史とともにあります。
| 年代 | 主な出来事 | 特徴 |
|---|---|---|
| 1970年代 | Creeper(最初の自己複製プログラム) | 実験・研究目的 |
| 1980年代 | Brain(最初のPCウイルス) | フロッピーディスク経由で拡散 |
| 1990年代 | マクロウイルス、メール添付型ワーム | インターネット経由の大規模感染 |
| 2000年代 | ボットネット、スパイウェアの台頭 | 金銭目的の組織的犯罪 |
| 2010年代 | ランサムウェアの爆発的増加 | 暗号化による身代金要求 |
| 2020年代 | RaaS、多重恐喝、AI悪用 | サービス化、高度化 |
現代のマルウェアは、単純な破壊や愉快犯的な目的から、金銭的利益や国家レベルのサイバー作戦を目的とした高度なものへと進化しています。マルウェア最新トレンドも併せて参照してください。
分類の考え方
マルウェアを分類する方法はいくつかあります。本記事では、主に以下の2つの軸で分類します。
- 感染・拡散方法による分類
- マルウェアがどのようにシステムに侵入し、どのように拡散するかに基づく分類です。ウイルス、ワーム、トロイの木馬などがこの軸で区別されます。
- 目的・機能による分類
- マルウェアが何を目的として設計されているか、どのような機能を持つかに基づく分類です。ランサムウェア、スパイウェア、アドウェアなどがこの軸で区別されます。
- 複合型の増加
- 現代のマルウェアの多くは、複数の特性を組み合わせています。例えば、トロイの木馬として侵入し、ランサムウェアとして動作するマルウェアは珍しくありません。そのため、単一のカテゴリに分類することが困難なケースが増えています。
感染・拡散方法による分類
ウイルス(Virus)
コンピュータウイルスは、他のファイルやプログラムに「寄生」し、そのファイルが実行されることで活動を開始するマルウェアです。生物学のウイルスが宿主細胞に寄生して増殖するように、コンピュータウイルスも宿主となるプログラムが必要です。
| ウイルスの種類 | 寄生対象 | 特徴 |
|---|---|---|
| ファイル感染型 | 実行ファイル(.exe, .com等) | 感染ファイル実行時に活動 |
| ブートセクタ感染型 | ディスクのブートセクタ | OS起動前に活動、駆除が困難 |
| マクロウイルス | 文書ファイル(Word, Excel等) | 文書開封時にマクロが実行 |
| スクリプトウイルス | スクリプトファイル(.vbs, .js等) | スクリプト実行環境で動作 |
ウイルスの重要な特徴は、自己複製能力を持つが、自律的に拡散できない点です。感染したファイルがUSBメモリやメールで共有されることで、他のシステムに広がります。
歴史的には、フロッピーディスクの共有やメール添付ファイルがウイルスの主要な拡散経路でした。現在でもマクロウイルスはフィッシング詐欺メールの添付ファイルとして使用されることがあります。
ワーム(Worm)
ワームは、ウイルスと異なり、宿主となるファイルを必要とせず、自律的にネットワークを通じて拡散するマルウェアです。
- 自己複製と自律拡散
- ワームは自分自身のコピーを作成し、ネットワーク接続を通じて他のシステムに自動的に感染を広げます。ユーザーの操作なしに拡散できるため、短時間で大規模な感染が発生する可能性があります。
- ネットワーク脆弱性の悪用
- 多くのワームは、OSやサービスの脆弱性を悪用して侵入します。パッチが適用されていないシステムは特に危険です。
- 帯域幅の消費
- ワームが大量に拡散すると、ネットワーク帯域幅を消費し、正常な通信に影響を与えることがあります。
代表的なワームの事例:
- Code Red(2001年):Microsoft IISの脆弱性を悪用、約35万台に感染
- SQL Slammer(2003年):SQL Serverの脆弱性を悪用、10分間で7万5千台に感染
- Conficker(2008年):Windows脆弱性を悪用、推定900万台以上に感染
- WannaCry(2017年):SMBの脆弱性(EternalBlue)を悪用、150カ国以上で被害
WannaCryは、ワーム機能を持つランサムウェアであり、複合型マルウェアの典型例です。
トロイの木馬(Trojan)
トロイの木馬は、ギリシャ神話の「トロイの木馬」に由来する名称で、正規のソフトウェアや有用なプログラムを装って侵入するマルウェアです。
ウイルスやワームと異なり、トロイの木馬は自己複製機能を持たないのが一般的です。ユーザーが自らインストールまたは実行することで感染します。
| トロイの木馬の種類 | 機能 | 用途 |
|---|---|---|
| ダウンローダー | 追加のマルウェアをダウンロード | 多段階攻撃の初期段階 |
| ドロッパー | 内包したマルウェアを展開 | 検知回避 |
| バックドア型 | 遠隔アクセス経路を作成 | 持続的アクセス |
| バンキングトロイ | 銀行認証情報の窃取 | 金銭詐取 |
| RAT(Remote Access Trojan) | 完全な遠隔操作 | 情報窃取、監視 |
| FakeAV | 偽のセキュリティソフトを装う | 金銭詐取、追加感染 |
トロイの木馬の主な感染経路:
- 海賊版ソフトウェアやクラック版
- 偽アプリ・偽サイト
- フィッシングメールの添付ファイル
- 悪意ある広告(マルバタイジング)
- ソーシャルメディアの悪意あるリンク
PUP/PUA(潜在的に不要なプログラム)
PUP(Potentially Unwanted Program)またはPUA(Potentially Unwanted Application)は、マルウェアと断定できないが、ユーザーにとって望ましくない動作をするソフトウェアです。
- グレーゾーンのソフトウェア
- PUP/PUAは、技術的にはマルウェアではありませんが、過剰な広告表示、ブラウザ設定の変更、個人情報の収集などを行います。インストール時に同意を取得していることが多いですが、その同意が分かりにくい形で提示されていることがあります。
- バンドルソフトウェア
- 無料ソフトウェアのインストール時に、追加で同梱されていることが多いです。「カスタムインストール」を選ばないと、意図せずインストールされることがあります。
目的・機能による分類
ランサムウェア(Ransomware)
ランサムウェアは、「身代金(Ransom)」を要求するマルウェアで、現在最も深刻な脅威の一つです。
- 暗号化型(Crypto Ransomware)
- 被害者のファイルを暗号化し、復号鍵と引き換えに身代金を要求します。現在のランサムウェアの主流であり、WannaCry、LockBit、BlackCatなどが該当します。
- ロッカー型(Locker Ransomware)
- ファイルは暗号化せず、システムやデバイスへのアクセスをブロックします。画面をロックして身代金要求メッセージを表示します。暗号化型に比べて対処が容易な場合があります。
- 多重恐喝型
- 暗号化に加え、データを事前に窃取し、身代金を支払わなければデータを公開すると脅迫します。ランサムウェアグループの多くがこの手法を採用しています。
ランサムウェア被害への対策と対応については、ランサムウェア対応プレイブックとバックアップ戦略を参照してください。
スパイウェア(Spyware)
スパイウェアは、ユーザーの活動を監視し、情報を外部に送信するマルウェアです。
| スパイウェアの機能 | 収集情報 | 用途 |
|---|---|---|
| キーロガー | キーボード入力 | パスワード、クレジットカード番号の窃取 |
| スクリーンキャプチャ | 画面表示内容 | 機密情報の窃取 |
| ブラウザ監視 | 閲覧履歴、フォーム入力 | 認証情報、行動追跡 |
| ファイル検索 | 特定種類のファイル | 機密文書の窃取 |
| カメラ/マイク | 映像・音声 | 盗撮・盗聴 |
商用スパイウェアの問題も深刻です。NSO GroupのPegasusに代表される「合法的」な監視ツールが、ジャーナリストや活動家の監視に悪用される事例が報告されています。モバイルデバイスを標的としたストーカーウェアも増加しています。
アドウェア(Adware)
アドウェアは、広告を表示することで収益を得ることを目的としたソフトウェアです。
アドウェアは必ずしもマルウェアではありませんが、以下のような問題を引き起こす場合があります:
- 過剰なポップアップ広告の表示
- ブラウザのホームページや検索エンジンの無断変更
- ブラウジング履歴の収集と広告ネットワークへの送信
- システムリソースの消費によるパフォーマンス低下
悪質なアドウェアは、ユーザーの同意なく広告を表示したり、削除が困難だったりします。
ルートキット(Rootkit)
ルートキットは、自身や他のマルウェアの存在を隠蔽することを主目的としたマルウェアです。「root」(管理者権限)と「kit」(ツールセット)を組み合わせた名称です。
- カーネルレベルルートキット
- OSのカーネル(中核部分)に組み込まれ、OSの機能を直接操作して自身を隠蔽します。検知と駆除が最も困難です。
- ユーザーレベルルートキット
- 通常のアプリケーションと同じ権限レベルで動作します。カーネルレベルほど強力ではありませんが、一般的なセキュリティツールから隠れることができます。
- ブートキット
- ブートプロセス(起動処理)に介入し、OSが起動する前から活動します。セキュリティソフトが起動する前に制御を奪うため、検知が困難です。
- ファームウェアルートキット
- ハードウェアのファームウェア(BIOS/UEFI)に感染します。OSを再インストールしても除去できない場合があります。
ルートキットは単独で使用されることは少なく、他のマルウェア(バックドア、スパイウェアなど)を隠蔽するために使用されることが多いです。
バックドア(Backdoor)
バックドアは、正規の認証プロセスを迂回して、システムへのアクセスを可能にするマルウェアまたは機能です。
- マルウェアによるバックドア
- 攻撃者がシステムに侵入した後、継続的なアクセスを維持するために設置します。正規の認証を必要とせず、いつでもシステムに接続できます。
- RAT(Remote Access Trojan)
- バックドアの一種で、攻撃者がリモートからシステムを完全に制御できる機能を持ちます。ファイル操作、画面表示、キーボード入力など、あらゆる操作が可能です。
- 意図的に設置されたバックドア
- ソフトウェア開発者やハードウェアメーカーが、保守目的で意図的に設置する場合があります。これが悪用されたり、発見されたりすることがあります。
APT(標的型攻撃)では、侵入後に複数のバックドアを設置し、一つが発見されても他のバックドアでアクセスを維持する戦術が取られます。
ボット/ボットネット
ボットは、攻撃者のコマンドに従って自動的に動作するマルウェアであり、ボットネットは多数のボットで構成されるネットワークです。
- C&C(Command and Control)
- ボットは、C&Cサーバー(指令サーバー)と通信し、攻撃者からの指示を受け取ります。現代のボットネットは、単一のC&Cサーバーではなく、P2P(ピアツーピア)構造を採用して耐障害性を高めていることがあります。
- ボットネットの用途
- DDoS攻撃の実行、スパムメールの送信、暗号通貨マイニング、認証情報の窃取など、様々な悪意ある活動に使用されます。
IoT/OTマルウェアの代表例であるMiraiボットネットは、数十万台のIoTデバイスを感染させ、大規模なDDoS攻撃を引き起こしました。
クリプトジャッカー(Cryptojacker)
クリプトジャッカーは、被害者のコンピュータリソースを無断で使用して暗号通貨をマイニング(採掘)するマルウェアです。
| タイプ | 実行環境 | 特徴 |
|---|---|---|
| ファイルベース | 感染PC上で実行 | 永続的、高いCPU使用率 |
| ブラウザベース | Webブラウザ内で実行 | 一時的、ページ閲覧中のみ |
クリプトジャッカーは、ランサムウェアのように即座に被害が明らかになることはありませんが、電気代の増加、システムパフォーマンスの低下、ハードウェアの寿命短縮などの被害をもたらします。
ワイパー(Wiper)
ワイパーは、データを復旧不可能な形で破壊することを目的としたマルウェアです。
ランサムウェアとは異なり、身代金を要求する意図はなく、純粋に破壊を目的としています。主に地政学的な動機(国家間のサイバー作戦)で使用されることが多く、ウクライナへの攻撃で複数のワイパーマルウェア(WhisperGate、HermeticWiper、CaddyWiperなど)が確認されています。
一部のワイパーはランサムウェアに偽装し、身代金要求のメッセージを表示しますが、実際にはデータの復旧は不可能です。
複合型・現代のマルウェア
複合型マルウェアの増加
現代のマルウェアは、単一の機能ではなく、複数の機能を組み合わせた複合型が主流です。
| マルウェア例 | 侵入方法 | 主要機能 | 追加機能 |
|---|---|---|---|
| Emotet | フィッシングメール | ダウンローダー | スパム送信、認証情報窃取 |
| TrickBot | Emotet経由等 | バンキングトロイ | ランサムウェア配布、横展開 |
| WannaCry | SMB脆弱性(ワーム) | ランサムウェア | 自律拡散 |
| Cobalt Strike(悪用) | フィッシング等 | バックドア/RAT | 横展開、データ窃取 |
モジュラー構造
多くの現代のマルウェアは、モジュラー構造を採用しています。基本機能を持つ「コア」と、追加機能を持つ「モジュール」に分かれており、必要に応じてモジュールを追加・更新できます。
これにより、攻撃者は状況に応じて柔軟に機能を変更でき、セキュリティ研究者による分析も困難になります。
MaaS(Malware as a Service)
MaaSは、マルウェアを「サービス」として提供するビジネスモデルです。RaaS(Ransomware as a Service)と同様に、技術力の低い攻撃者でも高度なマルウェアを利用できるようになっています。
- インフォスティーラー MaaS
- RedLine、Raccoon、Vidarなどの情報窃取型マルウェアが、サブスクリプション形式で提供されています。管理パネル、サポート、アップデートが含まれます。
- ボットネット MaaS
- 既存のボットネットの一部を「レンタル」し、DDoS攻撃やスパム送信に使用できるサービスがあります。
ファイルレス・環境寄生型
ファイルレスマルウェアとLiving off the Land攻撃は、従来の分類に収まらない攻撃手法です。
これらは特定のマルウェア種類というよりも、攻撃手法として理解すべきです。正規のツール(PowerShell、WMIなど)を悪用し、ディスクにファイルを作成しないため、従来のアンチウイルスでは検知が困難です。
各マルウェアへの対策
種類別の対策ポイント
| マルウェア種類 | 主要な対策 | 追加の対策 |
|---|---|---|
| ウイルス/ワーム | アンチウイルス、パッチ管理 | ネットワーク監視、メールフィルタリング |
| トロイの木馬 | ユーザー教育、ダウンロード制限 | アプリケーションホワイトリスト |
| ランサムウェア | バックアップ、EDR | ネットワーク分離、多要素認証 |
| スパイウェア | アンチスパイウェア、権限管理 | 暗号化通信、データ分類 |
| ルートキット | Secure Boot、整合性監視 | 定期的なスキャン、OS再インストール |
| ボットネット | ネットワーク監視、DNS監視 | IoTセキュリティ、アウトバウンド制御 |
| ファイルレス | EDR、PowerShellログ強化 | AMSI、アプリケーション制御 |
共通の基本対策
すべてのマルウェアに共通する基本対策があります。
- アンチウイルス/EDRの導入
- 最新の定義ファイルを維持したアンチウイルスソフト、または振る舞い検知が可能なEDR(Endpoint Detection and Response)を導入します。マルウェア感染対策の基本です。
- パッチ管理の徹底
- OSおよびアプリケーションのセキュリティパッチを迅速に適用します。ワームの多くは既知の脆弱性を悪用するため、パッチ適用で防御できます。脆弱性管理を組織的に実施することが重要です。
- ユーザー教育
- フィッシングメールの見分け方、不審なダウンロードの回避、マクロ有効化への警戒など、セキュリティ教育を実施します。トロイの木馬やランサムウェアの多くは、ユーザーの操作をきっかけに感染します。
- バックアップの実施
- 定期的なバックアップを実施し、オフライン/イミュータブル(変更不可)の形式で保管します。ランサムウェアやワイパーへの最後の防御線となります。
- 最小権限の原則
- ユーザーには必要最小限の権限のみを付与します。管理者権限での日常作業は避けます。これにより、マルウェアが感染した場合の被害を限定できます。
よくある質問
- Q: ウイルスとマルウェアは何が違いますか?
- A: マルウェアは悪意あるソフトウェア全体を指す総称で、ウイルスはその一種類です。ウイルスは「他のファイルに寄生して拡散する」という特定の特徴を持つマルウェアです。日常会話では「ウイルス」がマルウェア全般を指すことも多いですが、技術的には区別されます。トロイの木馬、ワーム、ランサムウェアなども、すべてマルウェアの一種です。
- Q: スマートフォンもマルウェアに感染しますか?
- A: はい、感染します。特にAndroidはマルウェアの標的となりやすく、バンキングトロイ、スパイウェア、アドウェアなどが確認されています。iOSも安全ではなく、国家レベルのスパイウェア(Pegasusなど)や、脱獄(Jailbreak)したデバイスを標的としたマルウェアが存在します。公式ストア以外からのアプリインストールは特にリスクが高いです。
- Q: 無料のアンチウイルスソフトで十分ですか?
- A: 基本的な保護には無料版でも一定の効果がありますが、高度なマルウェア(ファイルレス、ランサムウェアなど)への対応、ランサムウェア対策機能、サポート対応などは有料版で強化されていることが多いです。個人利用では無料版でも基本的な保護は得られますが、ビジネス用途では有料のEDR製品の導入を推奨します。
- Q: マルウェアに感染したかどうかはどうすれば分かりますか?
- A: 明らかな症状としては、パフォーマンスの低下、不審なポップアップ、ブラウザ設定の変更、見覚えのないプログラム、ファイルの暗号化(ランサムウェア)などがあります。ただし、高度なマルウェアは症状を隠すため、定期的なセキュリティスキャンが重要です。不安な場合は、専門家や公的機関(IPAなど)に相談してください。
- Q: Macはウイルスに感染しないというのは本当ですか?
- A: いいえ、誤解です。macOSもマルウェアの標的となります。Windowsに比べて標的とされる頻度は低いですが、マルウェアは確実に存在します。アドウェア、バンキングトロイ、ランサムウェアなどがmacOS向けに確認されています。「Macは安全」という思い込みは危険であり、適切なセキュリティ対策が必要です。
まとめ
マルウェアは、その感染・拡散方法(ウイルス、ワーム、トロイの木馬)と目的・機能(ランサムウェア、スパイウェア、ボットネットなど)によって分類できます。しかし、現代のマルウェアは複数の特性を組み合わせた複合型が主流であり、単純な分類が困難になっています。
効果的な対策としては、アンチウイルス/EDRによる検知、パッチ管理による脆弱性対策、ユーザー教育による初期感染防止、バックアップによる被害軽減など、複数の対策を組み合わせた多層防御が重要です。
最新の脅威動向についてはマルウェア最新トレンドを、組織的な対策については組織的マルウェア対策を参照してください。
重要なお知らせ
- 本記事は一般的な情報提供を目的としており、個別の状況に対する助言ではありません。
- 実際にマルウェア感染の被害に遭われた場合は、警察(#9110)やIPA(03-5978-7509)などの公的機関にご相談ください。
- 法的な対応が必要な場合は、弁護士などの専門家にご相談ください。
- 記載内容は作成時点の情報であり、マルウェアの手口は日々進化している可能性があります。
更新履歴
- 初稿公開
