マルウェア攻撃とは?振る舞い検知とEDRによる対策

ふるまい検知とは?巧妙化するマルウェア攻撃と対策法3選

更新日:2024年9月18日

はじめに

現代のデジタル社会において、サイバー攻撃は日々巧妙さを増し、多様な手法で企業や個人を脅かしています。その中でも特に厄介な存在が「マルウェア(malware)」です。セキュリティ企業や組織、研究機関によると1日に何千、何万、あるいはそれ以上のマルウェアが検出される可能性があると言われています。マルウェア感染によって重要なデータが暗号化され、復旧ができなくなってしまうという話もあります。

マルウェアは悪意あるソフトウェアの総称で、ウイルス、トロイの木馬、ランサムウェア、スパイウェアなど多岐にわたります。この記事では、マルウェアがターゲットに侵入する方法と脅威、さらには有効な検出方法とセキュリティ製品について詳しく解説します。

【1】マルウェアとは

maiwareのイメージ図

マルウェアとは不正かつ有害な動作を行うために作成された悪意のあるソフトウェアやコードの総称であり、その中にはウイルスやワーム、スパイウェアなどがあります。これらのマルウェアに感染してしまった場合、感染したPC内のファイルを改ざん、公開されるケースや、保存してあったクレジットカードなどの情報が流出してしまうケースなどの被害が発生してしまいます。
最近ではテレワーク中のPCを狙ってマルウェアに感染させ、その後出社し社内ネットワークに接続した際に社内にマルウェアを広めるという、今の働き方を狙い撃ちするようなマルウェアまで発見されており、対策は必須です。

【2】マルウェアの侵入手法

malware

マルウェアがシステムに侵入する手法は多岐にわたりますが、代表的なものをいくつか紹介します。

1.フィッシング攻撃

フィッシングメールは、最も一般的なマルウェアの侵入経路の一つです。悪意のあるリンクや添付ファイルを含むメールを送信し、受信者が不注意でそれを開くことで、マルウェアがシステムに侵入します。巧妙に偽装されたメールは、銀行や有名企業からの正当な通信に見せかけ、受信者を安心させます。

2.ドライブバイダウンロード

ユーザーが感染したウェブサイトを訪問した際、意図せずにマルウェアをダウンロードしてしまう手法です。この手法では、ユーザーが特定の操作を行わなくても、ブラウザやプラグインの脆弱性を突かれることでマルウェアが自動的にインストールされます。

3.ソフトウェアの脆弱性

ソフトウェアに存在するセキュリティホール(脆弱性)を利用することで、マルウェアが侵入することもあります。これには、OS、ブラウザ、Java、Flashなどの一般的なソフトウェアが含まれ、定期的なアップデートが行われていないシステムが特に標的になります。

4.USBドライブや外部デバイス

物理的なデバイスを通じてマルウェアが拡散することも少なくありません。感染したUSBドライブをシステムに接続することで、マルウェアが自動的にインストールされる場合があります。

【3】 マルウェアの脅威

ransomewareのイメージ図

一度マルウェアがシステムに侵入すると、様々な脅威がもたらされます。以下は代表的なマルウェアによる被害です。

1.情報漏洩

スパイウェアやキーロガー型マルウェアは、個人情報や企業の機密データを盗み取ります。これにより、個人は金銭的被害に遭い、企業は知的財産の流出や顧客情報の漏洩など重大なリスクにさらされます。

2.ランサムウェア攻撃

ランサムウェアは、システム内のデータを暗号化し、解除のための身代金を要求します。近年、ランサムウェア攻撃は増加しており、特に医療機関やインフラ企業が標的にされることが多く、その影響は甚大です。

3.サービスの妨害

DDoS(分散型サービス拒否攻撃)と連携したマルウェアは、システムやネットワークを圧迫し、正当なサービスを妨害します。これにより、企業のWebサイトがダウンし、顧客の信頼を失うことに繋がります。

【4】マルウェアの検出方法

behavior detection

サイバー攻撃からの防御は、事前に適切な検出方法を用いることが鍵となります。以下に、一般的なマルウェア検出方法をいくつか紹介します。

1.シグネチャベースの検出

ウイルス対策ソフトが従来用いてきた方法で、既知のマルウェアの特徴(シグネチャ)と一致するコードをシステム内で検出します。これは既知の脅威に対しては有効ですが、新しいマルウェアには対応できない場合があります。

2.ヒューリスティック分析

ヒューリスティック分析は、ファイルやプログラムの動作パターンを監視し、疑わしい挙動を検出します。これにより、未知のマルウェアにも対応可能ですが、誤検出のリスクもあります。

3.行動分析

マルウェアは特定の挙動をとることが多く、その異常なネットワーク通信やシステムファイルへの不正アクセスを監視することで、リアルタイムでマルウェアを検出することができます。この方法は、感染後の早期発見に特に効果的です。

【5】マルウェア対策製品

cyber security product

マルウェアを防ぐために有効な対策製品について触れます。現在市場には多くのセキュリティ製品が存在しますが、いくつかの代表的なものを挙げます。

●EDR(Endpoint Detection and Response)
EDRは、エンドポイント(PCやサーバーなど)での脅威をリアルタイムで監視し、マルウェアの活動を迅速に検出・対応するための製品です。これにより、感染の拡大を防ぎ、迅速な対応が可能です。

●次世代アンチウイルスソフト(NGAV)
従来のシグネチャベースの検出に加え、AIや機械学習を用いて未知のマルウェアも検出する次世代型のアンチウイルスソフトです。クラウドベースの分析と連携することで、最新の脅威に対応する力が強化されています。

●セキュリティ情報イベント管理(SIEM)
SIEMは、ネットワーク全体のログやイベントデータをリアルタイムで集約・分析し、異常な挙動を検出するシステムです。これにより、攻撃の早期兆候を察知し、迅速な対応が可能となります。

総合対策
マルウェアはその手口や種類が多岐にわたり、日々進化を続けています。侵入経路の多様化と被害の深刻さを考えると、個人や企業が取るべき対策は単純なものではなく、複合的なアプローチが必要です。シグネチャベースの対策に加え、ヒューリスティック分析や行動ベースの監視を取り入れた最新のセキュリティソリューションを活用し、常にシステムを最新の状態に保つことが肝要です。

マルウェア対策方法について、下記のバナーをクリックして頂くと詳細記事が表示されます。

マルウェア対策ページへのリンク

【6】ウィルスソフトによる対策の限界

おそらく最も多くの企業が取り組んでいるマルウェア対策が、ウイルス対策ソフトによる対策です。マルウェア対策と聞き、この対策を思いついた人は多いことと思います。

ウイルス対策ソフトは、パターンファイルと呼ばれるウイルスの情報が記録されたデータベースを用いて、そこに記録されているウイルスを検知し対策をとるものです。
パターンファイルに記録されているウイルスであれば自動で検知、排除を行ってくれるため、既に世に広まっているマルウェアであれば感染を防ぐことができます。

しかし、裏を返せばパターンファイルに記録されていないウイルスは対策が難しいということであり、そのうえマルウェアは日々新しいものが作成され続けていることから必ずパターンファイルに記録されていないウイルスが存在することになります。
パターンファイルが最新に保たれているかの確認も当然必要になりますし、これだけに頼ればよいと言えないのが現実です。

ウイルス対策ソフトのバージョン診断にはISM CloudOneの自動脆弱性診断がおすすめ>>

【7】振る舞い検知による対策ー振る舞い検知とは?

振る舞い検知のイメージ図

1.振る舞い検知とは

ウィルスソフトによる対策には限界があることは、前記の6章でお伝えしました。パターンファイルの弱点をカバーすることが出来るのが振る舞い検知です。

振る舞い検知とは、次世代アンチウイルス(NGAV)に組み込まれた機能であり、プログラムの活動・振る舞いを監視することで、異常な動作や攻撃的なパターンを検出する仕組みです。
別名ヒューリスティック検知とも呼ばれ、怪しい動きを検知した際にそれがマルウェアかそうでないかを判断せずに動作を停止させることでマルウェアの感染を防ぎます。

振る舞い検知は静的ヒューリスティック法と動的ヒューリスティック法を組み合わせて使用し、プログラムのコードや構造、実行時の挙動を評価してマルウェアを検出します。

先に述べたウイルス対策ソフトが、あらかじめ入手したウイルスの情報をウイルス対策ソフトに覚えさせ感染を防ごうとするのに対し、日々新しく生み出されるウイルスに対しては、それがウイルスという情報がなくとも対処できる振る舞い検知が有効な場面が多くあります。

一方で振る舞い検知にも注意点があり、不審な挙動をするプログラムをマルウェアと判定するため、場合によっては業務上必須のソフトウェアが怪しいと判断され止まってしまい業務に支障が出ることもあります。そのため振る舞い検知の運用にはあらかじめ問題のないソフトウェアを指定し、検知対象から外すなどの設定が必要になるでしょう。

振る舞い検知とEDRの違いについて、下記のバナーをクリックして頂くと詳細記事が表示されます。

振る舞い検知とEDRの違いページへのリンク

2.EDR(Endpoint Detection and Response)による対策

EDR

最後にご紹介するのがEDRによるマルウェア対策です。最近よく聞く単語であり、このEDRを運用してみようと考えている方も中にはいるのではないでしょうか。

EDRとは、PCやサーバー、プラットフォームなどのエンドポイントを監視し、操作や動作などからマルウェアに感染したことが発覚し次第対処するものです。

しかし、EDRには運用に人手や工数が多くかかるというデメリットがあります。EDRは感染経路を特定するためのログを管理者に提供する機能がありますが、実際の経路を特定したり、対策を行うのは人の手で行う必要があります。この作業は専用のアナリストのような人材が必要となり、結果として振る舞い検知などと比べ大きなコストがかかってしまいます。

3.振る舞い検知とEDRの違い

振る舞い検知とEDRには、マルウェア対策の手段として明確な違いがあります。

振る舞い検知はマルウェアへの感染を事前に防ぐことを目的とするのに対し、EDRは感染後の被害の増加を防ぐことを目的とします。

EDRという言葉がよく聞かれるようになり、これを用いてマルウェア対策しようとする企業が増えつつあります。しかし2-3.で述べたようにEDRは運用に人手も工数も多くかかるため、まずは運用が簡単で手が付けやすい振る舞い検知によるマルウェアの入口対策からしっかりと始めてみてはいかがでしょうか。

【8】働き方にとらわれないマルウェア対策

当社の扱うISM CloudOneにも振る舞い検知が搭載されており、クラウド型であるため社外ネットワークにPCが持ち出された際もマルウェアからPCを守ることができるようになっています。マルウェア対策に人手・工数がかけられない、PCを社外に持ち出すことが多い企業の方はぜひISM CloudOneをご検討してみてください。

振る舞い検知機能について、下記のバナーをクリックして頂くと詳細情報が表示されます。