「マルウェア」と「ウィルス」の違い
ほとんどの方は、お使いのコンピューターにウィルス対策ソフトを導入していると思います。そして、マルウェアという言葉もニュースなどで目にしたことがあるのではないでしょうか。
では、「マルウェアとウィルスの違いは?」と質問されたとき、どうお答になりますか?
なんとなく分かっているつもりでも、いざ正面切って訊かれるとうまく説明できないことは日常の中で決して少なくありません。
そこで、マルウェアとウィルスの違いやその種類などについて、あまり詳しくならない程度に解説します。
マルウェアとウイルスの違い
マルウェア(malware)とは、英語のmalicious(マリシャス = 悪意のある)とsoftware(ソフトウェア)の2つの単語を合体させた造語です。
このコラムの主題であるマルウェアとウイルスの違いを一言で表現してしまうと、「ウィルスはマルウェアの種類のひとつ」ということになり、本稿は終わりになります。
しかし、それではせっかく訪問していただいた皆さんに申し訳ないので、もう少し説明を加えます。
とは言うものの、専門家ではない皆さんは、マルウェアとウィルスの違いにそれほど神経質になる必要はありません。
「そんなものどっちでもいいじゃん」で一蹴していただいて全然問題はなく、日常生活に困るようなことはありません。
マルウェアの定義
マルウェアとは、不正かつ有害な動作を行う意図で作成された悪意のあるソフトウェアや悪質なコードの総称です。
もともとは、コンピューターウィルスやワームなどと呼ばれていましたが、悪意のあるソフトウェアの種類が増えてきたことから、これらを総称する用語として「マルウェア」という造語が生まれ、それが広まりました。
マルウェアの種類
悪意のあるソフトウェアやコードであれば、すべてマルウェアに含まれ、その種類は今も増え続けています。
ウィルス
ウィルスとは、プログラムの一部を書き換え、自己増殖していくマルウェアです。
それ単体では存在することができず、プログラムの一部を書き換えて入り込み、自身の分身を作ることで増殖していきます。生物に害悪を及ぼすウィルスが宿主を必要とすることからこの名前が付けられました。
ワーム
ワームは、ウィルスのように宿主として他のプログラムを必要とせず、単体で存在することが可能なマルウェアです。
自身を複製して増殖させて(感染を広げて)いく形態はウィルスと同じです。
虫のようにコンピューター間を動き回ることからこの名前が付けられました。
トロイの木馬
トロイの木馬は、一見しただけでは問題のない画像や文書などのファイル、スマートフォンのアプリなどに偽装して、デバイスの内部へと侵入します。
そして、外部からの指令によって、そのデバイスを操るマルウェアです。
この名前は、古代トロイア戦争で、ギリシャ軍がとった戦術に由来します。
ランサムウェア
ランサムウェアとは、パソコン等の端末およびネットワークに接続された共有フォルダ等に保管されたファイルを暗号化して使用不可にする、または画面ロックにより操作ができないようにするマルウェアの総称です。
暗号化を解除することと引き換えに、身代金を支払うように求める脅迫メッセージを残すことから、「ransom」(身代金)と「software」(ソフトウェア)を組み合わせて作られた造語です。
身代金の支払い手段としては、追跡のしにくいビットコインなどの暗号資産を要求されることが多くみられます。
ワイパー
これは「破壊型マルウェア」とも呼ばれる非常に凶悪なマルウェアです。
ワイパーとして有名なものに「HermeticWiper」があり、これは
- Windowsマシンのマスターブートレコードを破壊してコンピューターを起動不能にする
- ディスク上にある自身のデータをランダムなバイトで上書きする
- 「HermeticRansom」というランサムウェアがおとりとしてファイルの暗号化を行いHermeticWiperの存在痕跡を隠す
といった挙動があります。
また、このマルウェアは、Windowsで実行させるアプリケーションに作成元のデジタルコード署名を付与することが必要とされる制限を回避する目的で、実在企業の名称で有効なデジタルコード署名が付与され、正規アプリケーションのように見せかけています。
スパイウェア
スパイウェアは、本人が知らない間にパソコンなどのデバイスにインストールされ、ユーザーの個人情報やアクセス履歴などを収集するマルウェアです。
アドウェア
アドウェアとは、広告表示によって収入を得るソフトウェアであると定義されています。
「アド」とは広告を意味する「Advertising」の略です。
広告が表示されるだけなら特に害はありませんが、中にはコンピューター内の情報を不正に収集または取得して外部に送信させる「スパイウェア」として動作するものがあり、この機能を有するものはマルウェアとして扱われます。
スケアウェア
スケアウェアは、アドウェアの一種ですが、コンピューター内の情報を収集するのではなく、ユーザーに錯誤や恐怖心を与えて金銭を支払わせることを目的とするものです。
感染経路として最も多いのが、スケアウェアの仕掛けられたWebサイトに訪問して感染するタイプです。
これは、ブラウザでスケアウェアが仕掛けられたWebサイトを開くと通知の許可を求めるメッセージが表示され、「許可」をクリックするとJavaScriptが実行されて感染します。
その後、ブラウザを起動中に「パソコンがウィルスに感染した」などの通知が表示されます。
この通知をクリックする、または通知に表示されている電話番号に電話をかける等すると、パソコンの遠隔操作アプリケーションのインストールを促され、それを用いていかにも多数のウィルスに感染したかのようなメッセージを表示させてユーザーの不安感を煽り、ウィルス駆除のためのセキュリティ対策ソフトウェアを購入させようとします。
バックドア
読んで字のごとく「裏口」のことです。
もともとは、システム管理者がコンピューターシステムにアクセスするために、あるいはプログラマーがソフトウェアにアクセスするために用意した秘密の手段のことを指していましたが、現在では、攻撃者が一度侵入に成功したコンピューター等に継続的に侵入することができるようにするため、ひそかに設けておく侵入口のことを言う場合が多くなっています。
キーロガー
スパイウェアの一種で、キーボードで入力した文字が記録されるマルウェアです。
キーロガーが仕込まれると、個人情報や企業機密、あるいは銀行の取引に必要な情報等が盗み見されるリスクがあります。
ルートキット
ルートキットは、トロイの木馬の一種であり、攻撃者が不正アクセスの痕跡を消し去り、それを隠し、さらに別の標的を攻撃することを可能とするツール群を言います。
侵入者にとって便利なツールの集まりです。ルートキットが組み込まれると、WindowsなどのOSそのものがユーザーに対して嘘をつくようになってしまい、そのOSからは攻撃者の存在が見えなくなるなど、非常にステルス性が高まります。
ダウンローダー
ダウンローダーとは、すでに感染したコンピューターに他のマルウェアをダウンロードさせるマルウェアです。
これにより、すでにコンピューターにインストールされているマルウェアの機能が拡張される場合があります。
ボット
ボット(BOT)とは、コンピューターを外部から遠隔操作するためのマルウェアです。
ボットに感染したコンピューターは、ボットネットワークの一部として動作するようになります。そして、攻撃者がインターネットを通じて常駐しているボットにより感染したコンピューターを遠隔操作することができるようになります。
また、各ボットに対して指示を出し、動作を制御する役割を果たす司令塔のことをC&Cサーバー(Command and Control server、「C2サーバー」という言い方をされることもある)と言います。
一斉に特定のサイトやアドレスに接続を試みて相手方を通信過多でサービス不能に追い込むDDoS攻撃によく利用されます。
ファイルレスマルウェア
ファイルレスマルウェアは、ディスクに痕跡を残さず目的を達成する高度な攻撃手法です。
多くのマルウェアは、ユーザーに何らかの方法でソフトウェアをインストールさせて攻撃を実行しますが、ファイルレスマルウェアはディスクに痕跡を残さず、メモリー内だけに存在して攻撃を実行します。
ファイルレスマルウェアは、コンピューターのOSなどが持つ正規のツールや機能を悪用することから、ディスク上にファイルが存在しません。
そのためファイルのパターンで見分けるウィルス対策ソフトなどでの検出が困難です。
また、正規のアプリケーションを利用するためホワイトリスト型の対策も機能しません。
マルウェアの感染経路
マルウェアの感染経路は次の5つに大別されます。
- メールの添付ファイル
- ネットワーク経由で侵入
- 不正なサイトや悪意のあるサイトへのアクセス
- 不正なソフトウェアやアプリのインストール
- ソフトウェアの脆弱性を突いて侵入
マルウェアに感染しないための予防方法
ひとたびマルウェアに感染すると、金銭面の損害だけではなく、会社の事業継続が困難になったり、取引先に対する信用や社会的な評価が大きく損なわれます。
そのため、マルウェアに感染しないようにセキュリティ対策を講じておくことが重要です。
具体的には、次のような対策があります。
- ウィルス対策ソフトを導入して常に最新バージョンに保つ
- パソコンの場合にはOSを最新版に保っておく
- 怪しいURLはクリックしない
- 不審なメールや不審な添付ファイルは開かない
- 重要なファイルは暗号化しておく
- 機密情報を保存してあるサーバーは許可のないデバイスから隔離しておく
しかし、これらの対策を講じたとしても、攻撃手法は日々変化しますし、新たな脆弱性も毎日のように発見されています。
セキュリティに絶対はありません。
サイバー攻撃被害に遭うことをタブーとせず、それを前提として、万一、サイバー攻撃の被害に遭ったとき、どのように被害を封じ込め、早期に事業を再開させるのかといったことを事前に考えておく「サイバーレジリエンス」が企業にとって必須のものとなっています。
また、透明性の時代とも言われているように、企業には説明責任が強く求められています。
サイバーインシデントが発生したときは、速やかな事実の公表と説明を行う必要があります。
そのためには「何が起こったのか」「原因は何か」「被害範囲は」といったことを正確に把握しなければなりません。
これを行うのが弊社が提供している「デジタル鑑識」です。