malware

マルウェア感染の確認方法と即時対処法ガイド

マルウェア感染の確認方法などを把握しておくことは、企業のセキュリティ面において非常に重要です。もしマルウェアに感染してしまったら、企業として多大な被害が出る恐れがあり、信頼喪失にもつながります。そこで本記事では、マルウェア感染の確認方法や感染時の症状、対策などをまとめました。自社で対策が取れているか改めてチェックを行い、マルウェアの感染予防に効果的なソフトウェアの導入も検討しましょう。

 

マルウェア感染したときの症状

マルウェアに感染した場合、マルウェアがデバイス内で勝手に挙動を始めます。以下の症状が見られたら、マルウェアに感染しているかもしれません。

  • デバイスの動作が遅くなる
  • デバイスが勝手にシャットダウンする
  • デバイスが起動しなくなる
  • 見慣れないファイルやプログラムが出現する
  • アプリが勝手に動作する
  • 知らないアプリがインストールされている
  • 身に覚えのないメール送信履歴がある
  • 勝手にデータ通信量が増えている

 

マルウェア感染の被害

マルウェア感染が企業に与える影響は重大で、主に以下のような被害に遭う可能性があります。

  • ファイルが改ざんされる
  • データ復旧などを条件に身代金を要求される
  • デバイスをロックされる
  • 外部に情報が送られる
  • デバイスを乗っ取られ、ほかのサイバー攻撃に利用される
  • 個人情報や企業の機密情報を流出させられる
  • 企業の信頼が損失する
  • 復旧や損害対応に費用がかかる

 

マルウェア感染の確認方法

マルウェア感染が疑われる場合、早急な対策が必要です。まずは以下の確認方法を試してみてください。

 

・セキュリティソフトによるスキャン

セキュリティソフトでPC全体をスキャンします。一般的なセキュリティソフトには、PC全体をスキャンしてマルウェアに感染していないかチェックする機能があります。

 

・タスクマネージャーやイベントビューアーの確認

タスクマネージャーから、実行中のプロセス一覧を確認するのも方法のひとつです。また、イベントログ一覧が見られるイベントビューアーからも、ファイルのアクセス、プログラムの実行が確認できます。不審な動作がないか調べてみてください。

 

・オンラインウイルススキャン

不審なファイルがあったら、オンラインのファイルスキャンサービスを利用し、マルウェアに感染していないかチェックしましょう。

オンラインウイルススキャンは、マルウェアの駆除機能までは搭載されていないタイプもあります。オンラインウイルススキャンだけではなく、セキュリティソフトと併用しましょう。

 

マルウェアに感染したときの対処法

マルウェアに感染した場合、迅速な対応が必要となるため、セキュリティソフトを使いましょう。以下の順番で対応してください。

 

・1.ネットワークからデバイスを隔離

マルウェアに感染したデバイスをそのままにすると、ほかのサーバーやデバイスにまで感染が拡大します。感染したデバイスは、必ずインターネットの接続を切り、隔離してください。

 

・2.原因や感染範囲を特定

マルウェア感染の原因や感染範囲の広さによって対策が変わるため、原因や感染範囲の特定が必要です。

 

・3.マルウェアを駆除

セキュリティソフトを使ってマルウェアを駆除します。セキュリティソフトは日々更新されており、最新のマルウェアにも対応可能です。

 

・4.通報

サイバー犯罪の可能性があるため、警察に通報してください。また、自社と関連のある企業にも連絡し、さらなる被害の発生を防ぎましょう。

 

・5.復旧

駆除をしてもマルウェアが残ってしまうことがあるため、OSを再インストールするのが最も安全です。

 

マルウェア感染の主な経路と防護柵

マルウェアが侵入する経路を把握しておけば、感染を防止できます。よくある感染経路としては、以下が挙げられます。

 

・メール経由

不正なメールを送信し、添付ファイルやリンクを開かせて感染させる手口です。正規のメールになりすます手口もあります。なりすましメールを開いてマルウェアに感染し、個人情報流出などの被害が出た事例も報告されているため、メールの取り扱いには注意しましょう。

対策方法は、「不審なメールを開かない」「添付ファイルをスキャンし、安全かどうか確かめる」「メール送信者に、メールを送信したか確認する」などです。

不正なメールによるマルウェア感染の事例については、こちらもご覧ください。

マルウェア『IcedID(アイスドアイディー)』の攻撃が本格化!Webサイト改ざんに要注意

 

・Webサイト

攻撃者がWebサイトを改ざんし、アクセスした人をマルウェアに感染させ、クレジットカード情報などの個人情報を抜き取る手口もあります。

正規のサイトであっても、脆弱性があると攻撃者がマルウェア感染するよう仕込むことが可能です。そのため、正規のサイトにアクセスしても、マルウェアに感染することがあります。

対策としては、セキュリティソフト・OS・ブラウザを最新の状態に保つなどがあります。

 

マルウェアの主な種類とその特徴

マルウェアにはいくつか種類がありますが、主要なものは以下の3つです。

 

・トロイの木馬

寄生先は不要で、正規のファイルやプログラムを装いデバイス内に侵入するため、感染に気づきにくいのが特徴です。具体的な被害としては、個人情報の抜き取りなどがあります。

 

・ワーム

自己増殖し、感染範囲を広げていくのが特徴です。増殖することでデバイスに負荷をかけ、デバイスを使用できない状態にします。

 

・ランサムウェア

WordやExcelに寄生し、自己増殖します。ファイルの暗号化やデバイスのロックをし、復旧を条件に身代金を要求するのが主な手口です。

 

最新のマルウェア動向と新たな脅威

IPA(独立行政法人 情報処理推進機構)が公表した「情報セキュリティ10大脅威 2024」によると、組織における10大脅威の第1位は「ランサムウェアによる被害」でした。

参照元:IPA(独立行政法人情報処理推進機構)「情報セキュリティ10大脅威 2024

また、近年の動向としてはファイルレスマルウェアや、IoT機器を攻撃するマルウェアなども生まれています。特にファイルレスマルウェアは、従来のマルウェアと攻撃方法は同じですが、ファイルを削除するため感染に気づきにくい特徴があります。日々巧妙化するサイバー攻撃から企業の情報資産を守るためにも、こうした新たな脅威に対する知識や対策が必要です。

 

まとめ

マルウェアはさまざまな経路でデバイスに感染し、企業に被害をもたらします。日頃から、セキュリティソフト・OS・ブラウザを最新の状態にするなどの対策が必要です。

しかし、万が一マルウェア感染した場合は、早期発見と迅速な対処が必要です。「Cloudbric WAF+」は、セキュリティの専門家でなくとも運用しやすい、企業向けのセキュリティ対策プラットフォームです。

日々脅威を増すマルウェアの感染対策として、「Cloudbric WAF+」の導入をぜひご検討ください。

 

▼WAFをはじめとする多彩な機能がひとつに。企業向けWebセキュリティ対策なら「Cloudbirc WAF+」

▼製品・サービスに関するお問い合わせはこちら

Emotet

Emotetとは? その特徴や被害のほか、対策についても解説

企業の扱うデータ量が膨大になり、クラウド環境が一般的になると、懸念されるのが情報セキュリティの問題です。この記事では、「Emotet(エモテット)」と呼ばれるマルウェアの一種について、特徴や攻撃方法、万一感染した場合の影響について解説します。また、大切な情報を守り、円滑に事業活動を進めるためにどのような対策ができるのかについても紹介します。ぜひ参考にしてみてください。

 

Emotetとは

Emotet(エモテット)とは、悪意のあるソフトウェアやプログラムとして働くマルウェアの一種です。初めて確認された2014年頃は、メールを介してオンラインバンキングのIDやパスワードを盗み取られる被害が頻発しました。2021年1月には欧州刑事警察機構が対応に動いたことでいったん被害が減ったものの、一方で同年11月にも活動が確認されました。
業務上必要と思われそうなメールで送られてくるため、その手口は非常に巧妙です。企業における情報セキュリティ上の重大な脅威として、近年あらためて注目を集めています。

 

Emotetの特徴

 

・添付ファイルを媒体として感染する

Emotetは、WordやExcelなどのOfficeファイルが添付されたメールを送付する手口がよく見られます。そのファイルにはマクロが組み込まれており、対策が十分ではない企業の社員や一般ユーザーが開くとマルウェアに感染してしまうという仕組みです。
ほかにも、メール本文から別のWebサイトへ誘導し、「無料」とうたってウイルス対策ソフトをダウンロードさせるように促す手口もあります。もちろんそれを信じてダウンロードしてしまうと不正プログラムが取り込まれ、マルウェア感染は避けられません。

マルウェアに感染してしまうと、Emotetが置かれているサーバーへアクセスし、企業の情報漏えいにつながります。さらに、被害者になりすまして関連する取引先などのPCへ同様のメールを送付することから、被害が拡大してしまいます。

 

・マルウェアだとバレないような巧妙な工夫が施されている

Emotetのやっかいなところは、送付するメールがまるで正規のメールのように工夫されている点です。業務上、Officeの添付ファイルを送るといったシーンはとくに珍しくありません。近年は、正規にやり取りされたメールに「Re:」を付けることでスレッドに割り込み、見分けがつかないようにする手口も見られるようになりました。季節的、社会的な事柄に関するメールが送られてくることもあり、疑う余地もなくマルウェアに感染しているケースは十分ありえます。

また、あくまでEmotet自身には、不正コードが組み込まれているわけではありません。受信者がメールの添付ファイルを開くとEmotetのサーバーへアクセスし、情報搾取するモジュールをダウンロードすることで機能します。このモジュールはローカルファイルとして保存されず、メモリ上で動くというのが特徴です。
そのため、セキュリティの担当者ですら発見しにくく、被害が大きくなりやすい点も多くの企業を悩ませています。

 

Emotetによる被害

 

・情報漏えいなど企業活動に影響が出る

Emotetによってマルウェアに感染すると、情報を搾取するためのモジュールによって重要なデータが盗み取られ、情報漏えいにつながるおそれが高まります。ひとたびこうした事態が起きると、社会的な信用を失い、事業活動を安定的に継続していくことが難しくなってしまうかもしれません。

 

・さらなる感染の拡大が起きる

Emotetは情報搾取のモジュールだけではなく、ほかのマルウェアにも感染させようとすることがあります。たとえば、データを勝手に暗号化して復旧するのに身代金を要求する「ランサムウェア」に感染してしまうと、何の情報が漏れたのかすら不明となり、通常業務が滞ってしまうことも問題です。
なりすましメールによって社内のみならず社外にも感染が拡大するため、取引先など関係者にも大きな迷惑をかけてしまいます。

 

Emotetへの対策

Emotetの仕組みは巧妙であるため、なかなか対策を打ちにくいのではないかと思われるかもしれません。それでも、以下で説明するように被害を起きにくくしたり、最小限にとどめたりするための対策があります。

 

・予防策を講じる

Emotetは基本的にメールが感染経路となるため、まず届いたメールが誰からのものか、送信元を必ず確認しましょう。また、マクロが自動実行しないように設定しておくことも大切です。Officeのマクロ設定を「警告を表示してすべてのマクロを無効」としておきます。
さらにWindowsなどのOSでは、新型の脅威に対応するためにセキュリティパッチを更新しています。そのため、OSの新しいバージョンが配布されれば、忘れず早めに更新作業をしておくと安心です。

 

・対処法を用意する

細心の注意を払って予防していても、ついうっかり誤ってファイルを開いてしまうかもしれません。そのため、万一疑わしいファイルを開いてEmotetに感染してしまった場合、どのように対処すればよいのかをあらかじめ確認しておくようにしましょう。
たとえば、すぐさまネットワークを遮断する、関連部門へ連絡する、といった方法が挙げられます。

 

・セキュリティソフトを導入する

マクロの組み込まれたファイルが添付されているなどの怪しいメールを検知できるように、セキュリティソフトを導入するのも一案です。ただ、直近に確認されたEmotetでは、メールに添付されたZIPファイルを展開すると大きなサイズのファイルとなり、既存のウイルス対策ソフトの検知機能をすり抜けることも指摘されています。
そのため、ソフトを選ぶ際には機械学習型の検索機能以外に、サンドボックス機能も使えるものを検討するとより安心です。

 

まとめ

Emotetの被害は一時期下火となっていましたが、近年はまた企業のセキュリティに対する脅威として注目されています。マルウェアだと気付かないような巧妙さが特徴で、社内外へあっという間に被害が拡大してしまい、企業活動にも重大な影響を及ぼしかねません。そのため、できる対策はすべて打っておくことが大切です。

サイバー攻撃の種類が増えてきている昨今、どのような対策を取るべきか、どのようなサービスを導入すべきか、判断に迷うこともあるかもしれません。クラウド型セキュリティサービス「Cloudbric」は、企業において情報セキュリティ上必要なソリューションが一元的なプラットフォームで提供されているため、様々なサイバー攻撃に対応できるセキュリティサービスの導入をお考えであれば、ぜひ導入を検討してみてください。

 

Cloudbric(クラウドブリック) トップページ
製品・サービスに関するお問い合わせはこちら
Cloudbirc WAF+の無償トライアルはこちら
パートナー制度のお問い合わせはこちら

securiy report

今でも続くWebアプリケーションへの攻撃!JPCERT/CCの最新レポートから読み解く攻撃手法を解析

10月15日、一般社団法人 JPCERTコーディネーションセンター(JPCERT/CC)が、2020年第2四半期のインシデント報告対応レポートを発表しました。国内外で発生するコンピューターセキュリティインシデントの報告をとりまとめたもので、今回は2020年7月1日~9月30日までの間に受け付けたインシデント報告の統計および事例について紹介されています。それによると、今期のインシデント件数は8386件で、前四半期の約1.2倍へと拡大しています。またフィッシング攻撃やWebサイトの改ざん、マルウェアサイトなどで増加が見られたということです。今回はこのレポートを基に、今危機感を持つべきWebサイトへの攻撃への高まりとは具体的に何か、その対処法はあるのかを重点においてお届けしていきたいと思います。

 

インシデント報告対応レポート統計

JPCERT/CCは、インターネット利用組織におけるインシデントの認知と対処、インシデントによる被害拡大の抑止に貢献することを目的として活動しています。今回発表されたレポートの統計についてまとめてみました。

インシデント報告関連件数

引用:JPCERT/CC

 こちらの図に示されているWebフォーム、メール、FAX等でJPCERT/CCに寄せられた報告の総件数は13,831件で、前四半期の1万416件から33%増加しています。JPCERT/CC が国内外の関連するサイトとの調整を行った件数は 4,807件で、前年比で調整件数は14%増加しました。

インシデントのカテゴリーごとの内訳

引用:JPCERT/CC

 インシデントの内訳を見ると、「フィッシングサイト」が5845件で前四半期から11%増加しています。7月は1842件、8月は1849件、9月は2154件と後半にかけて増加傾向が見られます。今期気になるのは、「サイト改ざん」と「スキャン」行為といったWebサイトを狙った攻撃の増加です。「サイト改ざん」は374件で、前四半期の291件から増加、「スキャン」行為も1380件で、前四半期の982件から拡大しています。その他「マルウェアサイト(158件)」「標的型攻撃(16件)」といった攻撃も前期を上回っています。

 

Webサイトを狙った攻撃の増加

JPCERT/CCのレポートに基づいたWebサイトを狙った攻撃の増加には主に、「サイト改ざん」と「スキャン」がありました。これらについて具体的に解説していきたいと思います。

サイト改ざん

Webサイト改ざんとは、企業などが運営する正規Webサイト内のコンテンツやシステムが、攻撃者によって意図しない状態に変更されてしまう攻撃です。攻撃者がWebサイトを改ざんする際の攻撃手法としては主に脆弱性攻撃による改ざん、管理用アカウントの乗っ取りによる改ざん、パスワードリスト攻撃の3種類があります。

1. 脆弱性攻撃による改ざん

  • Webサーバ上の脆弱性を攻撃することにより、最終的に改ざんを実現します。
  • 脆弱性の利用方法として、SQLインジェクション、Stored XSS、などの脆弱性攻撃により直接コンテンツの改ざんを行う方法と、脆弱性攻撃によりバックドアを設置するなどして遠隔操作で改ざんを行う方法の2つがあります。
  • 主に、サーバOS、Webサーバ、CMS、管理ツールなどのミドルウェアの脆弱性が狙われます。

改ざんの手口のうち、サーバーソフトウェアの脆弱性攻撃は、サーバ上で動いているCMS(コンテンツマネジメントシステム)やサービスの脆弱性を狙われるものです。例えばブログや簡易な企業サイトで使われているWordPress、Joomla!、Movable Type、XOOPSといったCMSの脆弱性がよく狙われています。

また「SQLインジェクション」攻撃もよく使われる手法です。セキュリティの対策が十分でないウェブサイトに、サイト内を任意のキーワードで検索できるフォームがあるとします。攻撃者がそのフォームへ不正な内容を盛り込んだSQL文を入力し検索を行うことで、そのSQL文の内容が実行されてしまうのです。これにより、本来は隠されているはずのデータが奪われてしまったり、ウェブサイトが改ざんされてしまったりします。攻撃者がウェブサイトに対してSQLインジェクション攻撃をしかけることで、不正なSQLの命令が実行されてしまい、ウェブサイトを利用者するユーザーのID・パスワード・クレジットカードの番号をはじめとした個人情報がすべて奪われてしまう可能性があります。

2. 管理用アカウントの乗っ取りによる改ざん

  • Webサーバにリモートアクセス可能な管理用アカウントの情報を窃取して乗っ取り、正規の方法でWebサイト操作を行って改ざんします。
  • 正規のWebサイト操作方法により改ざんが行われるため、被害に気づきにくい特徴があります。

正規のWebサイトに攻撃を仕掛け、中身を改ざんする手法ですが、その目的は、Webサイトにコンピューターウイルスを仕込んで閲覧者に感染させることです。以前は、いたずら目的でのWebサイトの改ざんが多く見られましたが、最近では、金銭が目的の被害が増えています。自社のサイトがこのような改ざん被害にあって、逆に顧客に被害を与える「加害者」になれば失墜する信頼は計り知れないものとなるでしょう。

3. パスワードリスト攻撃

  • パスワードリスト攻撃とは、攻撃対象となるWebサイトではない別のWebサイトから搾取したユーザー情報を使い、攻撃対象となるWebサイトで不正ログインを試みるサイバー攻撃です。
  • アカウントIDやパスワードをすべて別々に管理することが面倒なため、管理者PCや複数のWebサイトで同じアカウントIDやパスワードを使用しているケースがあります。

パスワードリスト攻撃とは、オンラインサービス等への不正ログインを狙った不正アクセス攻撃の一です。不正ログインのためにIDとパスワードがセットになったリストを利用することから本名称となっています。パスワードリスト攻撃を受けたとなると、Webサービスに対するユーザーからの印象が著しく低下します。「リスト型攻撃は他のウェブサービスから入手したアカウントとパスワードを使って不正アクセスする攻撃だ。ユーザーのアカウントとパスワードの管理の問題だ。」という見解の方もいらっしゃるでしょう。しかし、ユーザーの視点では「不正アクセスを許して個人情報の流出があったサービス」のように見えてしまうのです。

スキャン

スキャン攻撃とは、サイバー攻撃者が、攻撃先を探すために行うポートスキャンです。脆弱性の探索や侵入、感染の試行などを検知した件数が今回のレポートで増加し、警告されています。ポートスキャン自体は、サーバなどに対して稼働しているサービスを探り、開放されているポートを調べる行為で違法なものではありません。しかし、攻撃の事前準備として行われることが多いため、日常から適切な対処が必要となります。サイバー攻撃の手口は年々巧妙化していますが、システムの脆弱性を突くのが攻撃の基本となります。その脆弱性を見つけ出すためにポートスキャンは使われるのです。例えば、空いているポートがわかれば、そのポートを侵入経路として利用することができます。またサーバのOSやバージョンがわかれば、OSに依存する脆弱性を突くことができるのです。ポートスキャンも同様に、これ自体はサイバー攻撃ではなくても、これから被害が発生するかもしれないサイバー攻撃の予兆としてとらえることが重要です。

 

WAFで防御できること

こうした警鐘をならされているWebサービスへの攻撃の増加に対し、有効なのがWAFを用いた防御システムです。例えばWAFで防御できることには以下の様な項目があります。

  • SQLインジェクション
  • クロスサイトスクリプティング(XSS)
  • クロスサイトリクエストフォージェリ(CSRF)
  • OSコマンドインジェクション
  • ディレクトリリスティング
  • メールヘッダインジェクション
  • パス名のパラメータの未チェック/ディレクトリトラバーサル
  • 意図しないリダイレクト
  • HTTPヘッダインジェクション
  • 認証とセッション管理の不備
  • 認可制御の不備、欠落
  • クローラへの耐性

Webアプリケーションに関する脅威をブロックできるのが「WAF」です。WAFを使えばWebアプリケーションに脆弱性があったとしても安全に保護することができます。最近となっては、システムのクラウドへの移行という傾向もあり、クラウド型WAFが注目を集めています。従来のアプライアンス型WAFと比べ、専門の機器の導入やセキュリティ担当者による運用が必要ありません。そのため、リーズナブルな価格で短期間で導入できるといったメリットがあります。クラウド型セキュリティ・プラットフォーム・サービス「クラウドブリック(Cloudbric)」はWAF(Web Applicaion Firewall)サービスに加え、DDoS攻撃対策、SSL証明書、脅威情報データベースに基づく脅威IP遮断サービス、ディープラーニング(AI)エンジンによるWebトラフィック特性学習サービス、といったWebアプリケーションを守るトータル・セキュリティサービスを提供します。

Webアプリケーションを業務で利用するときは、セキュリティ上の脆弱性に注意しなくてはいけません。アプリケーションの開発者がセキュリティ対策を行っていても、人の手で作成されているため、脆弱性を完全になくすのは難しいでしょう。WAFはWebアプリケーションを保護する専用のファイアウォールのため、導入することでWebアプリケーションを安全に利用できます。
今現在、JPCERTのレポートからもわかるようにWebアプリケーションやサービスへの攻撃は劣えてはいません。それらの攻撃に備え、防御するにはWAFを導入することが望ましいといえます。
クラウド型セキュリティ・プラットフォーム・サービス「クラウドブリック(Cloudbric)」につきまして、詳しくは下記リンク先をご確認ください。

https://www.cloudbric.jp/cloudbric-security-platform/