マルウェアの代表的な種類

マルウェアには様々な脅威を及ぼす数多くの種類の悪意のあるソフトウェアが存在します。ここでは、その代表的なものとその主な脅威について概観したいと思います。

代表的なマルウェア3種類

1.コンピュータウィルス

悪意のあるプログラムと聞いて真っ先にみなさんが思い浮かべるのは、いわゆる「コンピュータウィルス(以下、「ウィルス」とのみ表記)でしょう。ウィルスの働きとしては、他のプログラムに寄生することで、そのプログラムの正常な動作を妨げたり、意図しない挙動を引き起こしたりすることなどが挙げられます。基本的にはウィルスは単独で活動することができないため、必ず宿主となるプログラムに寄生し、宿主が実行されたときに感染・増殖します。

2.ワーム

ワームはウィルスと異なり、宿主を必要としません。また、その機能もウィルスより複雑で、システムやネットワークの速度や性能が落ちたり、コンピュータ内のファイルを削除したりします。また、別のコンピュータへ侵入し感染を拡大する機能を持ち合わせていることも特徴的です。

3.トロイの木馬

トロイの木馬はギリシア神話に登場しますが、まさにそのお話のように、敵地(コンピュータ)に正体を偽って侵入し、頃合いを見計らって敵を陥れる、具体的にはコンピュータ内のデータを盗み出したり、消去したりします。トロイの木馬には自己増殖機能がないので、ウィルスとは区別されます。

上記3つのマルウェアはインターネットが世に広まった頃から存在し、対策ソフトにより駆除されれば、また新たなものが生まれるといったいたちごっこを繰り返してきました。そのおかげといっていいかどうか分かりませんが、その仕組みなどについての膨大な量の情報が蓄積されているため、新種の脅威が生まれても、すぐさまその対策が取られる体制がある程度はできています。

ウィルス・ワーム・トロイの木馬に関しては、ウィルス対策ソフトによりその脅威を防ぐことが比較的容易にできるようになっています。もちろん未知のマルウェアが誕生する可能性もありますが、常にウィルス対策ソフトを最新の状態に保っておけば、検知・駆除される確率は格段に高いといって良いでしょう。

目的別に見たマルウェア

マルウェアには特定の目的を持って動作するものがいくつもあります。

1.スパイウェア

IPA(独立行政法人情報処理推進機構)は、スパイウェアを「利用者や管理者の意図に反してインストールされ、利用者の個人情報やアクセス履歴などの情報を収集プログラム等」と定義しています。つまり、コンピュータに何らかの不具合を生じさせたり、データを破壊・改ざんしたりといった破壊を目的とした機能ではなく、コンピュータの使用者の情報を収集することを主な目的としています。

2.キーロガー

スパイウェアと同様に情報収集を主な目的としていますが、その機能はさらに限定的です。キーロガーが収集するのは「キーボードで入力した情報」、つまり、コンピュータの使用者が頻繁に入力するIDやパスワードといった機密情報です。

3.バックドア

バックドアとは「裏口」のことで、システムやコンピュータに正規の経路を使わずに侵入することができる仕組みを指します。一度バックドアを仕掛けて、そこからの侵入が成功すると、後は自由にシステムやコンピュータに侵入することができるようになるので、使用者に気付かれないようにデータが窃取されたり、他のコンピュータへの攻撃の拠点として利用されたりします。

4.ボット

もともと、別のコンピュータに接続して何らかの処理を行うことを目的とした単純なプログラムのことをボットと呼んでいました。特に接続先のコンピュータに有害な影響をもたらすことを想定していませんでしたが、その性質を悪用すれば、そのコンピュータを自由に操作することが可能なため、マルウェアの1つとして挙げられるようになりました。ボットによって遠隔操作が可能な状態になっているコンピュータに対して、攻撃者は「ボット攻撃サーバー(C&Cサーバーといいます)」を用いて攻撃を行い、その規模は1台だけに限らず、時には何十万というコンピュータが対象となることもあります。

これらのマルウェアはウィルスやワーム、トロイの木馬よりもその目的がより限定的なだけに、より攻撃は悪質さを増しています。また、4つともより巧妙にコンピュータの使用者に気付かれないように細工されているので、検出しづらいのも特徴として挙げることができます。一般的なウィルス対策ソフトでは、これらの脅威を検知することはできても、防御もしくは駆除することができないこともありますので、総合的・包括的なセキュリティソフトウェアを導入するなどのより高度な対策が求められています。

次々に生まれるマルウェア

マルウェアの中には最近登場した新たな脅威を持つものもあります。新しい脅威ということはその情報が少ないため、ウィルス対策ソフトなどでは対応が難しいケースが多いと言えます。

1.ランサムウェア

攻撃者が作成したWebサイトにアクセスした場合などに勝手にコンピュータにインストールされ、コンピュータ内に保存されているファイルを暗号化してしまいます。主に暗号化の対象となるのは、WordやExcelといったMicrosoft Office製品で作成されたもの、圧縮ファイル、音楽や画像データなどです。

いずれもコンピュータ上での使用頻度が高く、使用者にとって価値の高いと思われるものです。そして攻撃者はこの暗号化したファイルを「人質」にしてそれを復元するための「身代金」を要求してきます。

2.ファイルレスマルウェア

文字通り実行ファイルが存在しない(ファイルレス)、メモリ上だけで実行されるマルウェアです。実行ファイルが存在しないということだけで従来のウィルス対策ソフトやセキュリティ対策ソフトで検知することがかなり難しくなっています。それに加え、ファイルレスマルウェアの代表的な攻撃手法がWindowsに搭載されている「Windows PowerShell」という正規のプログラムを悪用するということも検知しづらさに拍車をかけています。

つまり、Windows PowerShellという正規のプログラムが実行したコマンドは、コンピュータにとって正常な動作であると各種対策ソフトは判断してしまうので、悪意があるとみなされないのです。

3.バンキングマルウェア

コンピュータ使用者がオンラインバンキングを利用している場合、その情報を窃取することを目的としたマルウェアです。主な感染経路はメールに記載してあるURLをクリックしてしまうことですが、中にはホームページ上に表示されている広告を表示したことにより感染したという例もあります。

この広告に悪意のあるプログラムを埋め込む手法を「マルバタイジング」と呼びます。バンキングマルウェアに感染してしまうと、IDやパスワードなどのオンラインバンキングに必要な情報が窃取され、攻撃者が自分の好きな銀行口座に振込を行えるようになります。

これらのマルウェアは従来のものに比べて以下の点で格段に悪質さが高まっています。
・通常の対策ソフトでは検知が困難なように、コンピュータにとって正常な動作を装うような細工が施されています。
・データの破壊や改ざんもコンピュータにとっては非常に悪質ですが、金銭を要求するといったよりコンピュータにとってと言うよりはむしろ使用者を標的にした犯罪行為にシフトしています。

従来型の対策ソフトでの検知が難しくなっている以上、見慣れないメールや広告は開かないといった使用者自身のセキュリティに対する問題意識の高さも求められていると言えるでしょう。