【マルウェア】リスクと対応策
1.概要
現代のほとんどのサイバー攻撃には、何らかの形のマルウェア、つまり悪意のあるソフトウェアが関与しています。この悪意のあるソフトウェアは、サイバー犯罪者の意図に応じて様々なバリエーションがあり、大きな被害と費用がかかるランサムウェアから、単純に不便を与えるアドウェアまで様々な形で現れます。あらゆる種類のコンピュータ、PCやスマートフォンを含め、ソフトウェアを実行できるデバイスはマルウェアの攻撃対象になる可能性があります。 したがって、マルウェアについて詳しく理解することは、情報化時代を生きる現代人にとって必須の課題です。
その課題を今日、私と一緒に解決しましょう!
2.定義
マルウェア」という言葉は「Malicious Software」の略語ですが、韓国語に翻訳すると「悪質なソフトウェア」になります。文字通り、コンピュータシステムやユーザーに害を及ぼすように設計された悪意のあるプログラムを意味します。 以前はディスクの複製などの記憶媒体を介して伝播されましたが、ネットワークが発達し、メールやウェブで感染する場合がはるかに多くなりました。
現在のマルウェアは様々な方法で進化しており、従来の分類方法だけでは十分に説明することが難しくなっています。
マルウェアの配布方式はより複雑になり、セキュリティ手順を回避するための様々な方法を同時に使用する傾向にあり、配布目的も経済的利益を追求する方向に変化しており、従来の分類体系が適用されなくなったのです。
*コンピュータウイルスとの違いは?
コンピュータウイルスはマルウェアの一種に分類することができますが、すべてのマルウェアがウイルスではありません。 ウイルスはより狭い意味です。 例えば、ワームはマルウェアですが、ウイルスとは異なり、感染対象が存在しなくても自ら実行され、ネットワークを通じて感染するため、ウイルスではありません。 ウイルスは特定のプログラムに寄生し、そのプログラムが実行されたときのみ活性化されるマルウェアの一種であるためです。
3.マルウェア配布の動機
サイバー犯罪者はマルウェア開発して使い、次のような目的を達成します。
金銭的利益のための人質取得
デバイス、データ、または企業ネットワークを人質に取り、多額の金銭を要求します。
不正アクセスの取得
機密データやデジタル資産に不法にアクセスします。
重要情報の盗難
ログイン認証情報、クレジットカード番号、知的財産などの貴重な情報を盗む。
システム停止
企業や政府機関が依存している重要なシステムを麻痺させます。
-
種類
サイバー犯罪の規模は約10兆5,000億ドルに達すると推定され、2025年までに世界経済の中で米国と中国に次いで大きな割合を占めています。この分野において、ハッカーはセキュリティソフトウェアを迂回するために新しい変種のマルウェアを開発し続けています。1980年代以降、10億個以上の様々なマルウェアの変種が作られたと推定されています。
したがって、次に説明するマルウェアの分類も絶えず変化し、追加または削除される可能性があることを必ず覚えてください。
(1) コンピュータウイルス
マルウェアとコンピュータウイルスは同じような意味で使われますが、ウイルスはマルウェアの一種に過ぎません。ウイルスは、正当なソフトウェアに自自身を複製して損傷を与え、拡散する特徴があります。ウイルスは自分自身で独立して動作することはできず、他の実行可能なプログラムにコードを隠しておきます。ユーザーがそのプログラムを実行すると、ウイルスも一緒に活性化され、データを削除したり、正常な動作を妨害したり、感染したコンピュータの他のプログラムに自分自身を複製して拡散させるのが一般的です。
初期マルウェアの脅威の大部分はウイルスであって、公共のデバイスを介して拡散した最初のマルウェアである「Elk Cloner」は、Appleのコンピュータを対象としたウイルスでした。
(2) ランサムウェア
ランサムウェア攻撃は、被害者のデバイスやデータへのアクセスを妨害し、解除条件として主に暗号通貨の形で身代金を要求します。IBMの調査によると、ランサムウェアはサイバー攻撃の約17%を占めており、これは頻繁に発生する攻撃タイプの一つです。
このような攻撃の基本的な形態は、被害者が身代金を支払うまで資産へのアクセスをブロックすることですが、攻撃者は、より強い圧力をかけるために追加の戦略を使うことがよくあります。例えば、二重恐喝では、データが盗まれ、身代金を支払わないとデータを公開すると脅し、三重恐喝攻撃では、データを暗号化して奪い、DDoS攻撃でシステムを麻痺させると脅します。
ランサムウェアの身代金要求額は数万ドルから数百万ドルに達し、平均して約81万ドル程度と報告されています。 身代金を支払わない場合でも、ランサムウェア攻撃は相当なコストをもたらし、IBMの報告によると、平均攻撃費用は約454万ドルに達するといいます。
(3) リモートアクセスマルウェア
ハッカーはバックドアを作成し、悪用することでコンピュータやサーバーに遠隔アクセスし、この方法はハッキング攻撃の約21%を占めています。バックドアを通じて、彼らはデータを盗んだり、デバイスを操作したり、より危険なマルウェアをインストールすることができます。一部のハッカーは、リモートアクセスマルウェアを使用して作成したバックドアを他のハッカーに販売し、かなりの金額で取引されることもあります。 特に、Back OrificeやCrossRATなどのマルウェアは悪意のある目的で作成され、ハッカーは正当なソフトウェアを改ざんしてリモートアクセスに使用することもあります。Microsoftのリモートデスクトッププロトコル(RDP)資格情報の盗用がバックドアとして利用される例もあります。
(4) ボットネット
ボットネットは、ハッカーが制御するマルウェアに感染した様々なデバイスで構成されるネットワークで、コンピュータ、モバイルデバイス、モノのインターネット(IoT)デバイスなどが含まれます。多くの場合、ユーザーは自分のデバイスがボットネットの一部であることに気づかないことが多いです。ハッカーはボットネットを利用して大量のトラフィックを発生させ、ネットワークを遅くしたり、麻痺させるDDoS攻撃を行います。例えば、2016年に発生したMiraiボットネットは、米国とヨーロッパの主要なウェブサイトに大規模な攻撃を行い、多くのユーザーに影響を与えました。
(5) クリプトジャッカー
クリプトジャッカーは、ユーザーが知らないうちにユーザーのデバイスをハッキングし、ビットコインなどの暗号通貨をマイニングするマルウェアです。 これは、クリプトマイニングボットネットを形成します。暗号通貨のマイニングは高いコンピューティングリソースとコストを必要とする作業であり、これにより感染したコンピュータユーザーは性能の低下やシステムクラッシュを経験する可能性があります。クリプトジャッカーは、多くの場合、パーソナルコンピュータよりも多くのリソースを提供する企業のクラウドインフラストラクチャを標的とし、サイバー犯罪者がクリプトマイニングでより大きな利益を得ることができます。
(6) ファイルレスマルウェア
ファイルレスマルウェアは、正常なソフトウェアの脆弱性を利用して、コンピュータのメモリに直接悪意のあるコードを挿入する方式で動作します。このようなコードはハードドライブに記録されないため、検出が難しく、主にMicrosoft WindowsのPowerShellのようなツールを使用してシステムをハッキングしたり、情報を盗用します。 また、Microsoft WordやExcelのマクロ機能を利用した攻撃も一般的で、ユーザーが文書を開くと、隠された悪意のあるスクリプトが実行されます。
(7) その他のマルウェアの種類
ワーム、トロイの木馬、ルートキット、スキャルウェア、スパイウェア、アドウェアが含まれます。ワームは自動複製能力を持つ悪質なプログラムで、ユーザーの介入なしに拡散します。トロイの木馬は有用なプログラムに偽装してユーザーを騙してインストールされ、一部は追加のマルウェアをインストールする役割を果たします。ルートキットは、ハッカーがシステムの管理者権限を取得し、様々な悪意のある行為を行うことができます。スケアウェアは、ユーザーに恐怖を誘発し、マルウェアのインストールや情報漏洩を誘導します。スパイウェアは機密情報を密かに収集し、キーロガーは特にユーザーのキー入力を記録します。最後に、アドウェアは不要な広告を表示し、時にはより危険なマルウェアをダウンロードすることもあります。
5.マルウェアによる経済的損害(年間純記載)
ILOVEYOU (2000年): このメールワームは、全世界で1,000万台以上のWindows PCに感染し、約100億ドルの経済的被害をもたらしました。
コードレッドワーム (2001年): 2001年夏に登場したこのワームは、わずか14時間で359,000台以上のシステムに感染し、20億ドル以上の被害をもたらしました。
マイドゥーム(2004年): メール送信を通じて急速に広がり、約5千万台のコンピュータに感染し、約380億ドルの経済的損害を引き起こしました。
Stuxnet (2010年): イランの核施設を攻撃したサイバー兵器で、20万台以上のコンピュータに感染し、1,000台以上の重要な機械に損傷を与えました。
ペティヤ(2016年):電子メールで拡散したこのランサムウェアは、世界中の様々な組織に影響を及ぼし、1,000万ドル以上の被害をもたらしました。
ワーナークライ(2017年): 世界150カ国で約20万台のコンピュータを感染させた大規模なランサムウェア攻撃で、最大40億ドルの世界的な損失をもたらしました。
シュレイヤー(2018年):macOSユーザーに大きな脅威となったトロイの木馬で、分析されたMacコンピュータの約10%がこのトロイの木馬に感染しました。
6.事例:メールフィッシングとMydoom
今回の記事では、上記7つの事例のうち、経済的被害損失額が最も大きかったMydoomの事例について説明します。
定義と被害
Mydoom(Mydoom)、またはSimgapiとして知られるこのコンピュータワームは、Windowsベースのコンピュータを対象としていました。2004年1月26日に最初に発見されたMydoomは、電子メールを介して急速に拡散することで有名になり、SobigワームやILOVEYOUを上回る伝播速度で記録を打ち立てました。2019年までこの記録は破られていません。
歴史上最も壊滅的なコンピュータウイルスとして評価されているMaidumは、380億ドル以上の被害をもたらし、主にメールを介した欺瞞的な戦術で広まり、世界中で約5千万台のコンピュータを感染させました。
名前の由来
McAfeeの従業員であり、ワームの初期の発見者の一人であるCraig Schmugarがワームの名前をMydoomと名付けました。 彼は、プログラムコードで「mydom」というテキストを見て、この名前を選んだそうです。 彼は、このワームが大きな影響を与えると予想していたので、「doom」(破滅を意味する英語の単語)を名前に含めることが適切だと思いました。
配布元と被害メール
このワームは、メールスパマーによって配布されたようで、感染したコンピュータからマイドゥームを含むメールが送信されました。ワームには、「Andy; 私はただ自分の仕事をしているだけです。個人的には申し訳ありません」という変わったメッセージが含まれており、これにより、多くの人はワームの作成者がお金をもらって作ったと推測しました。 初期には、いくつかのセキュリティ会社がロシアのプログラマーによって作られたと主張しましたが、実際の配布者は明らかにされませんでした。
目的
Maidumの主な目的はSCOグループに対する分散型サービス拒否(DDoS)攻撃だったという説もありました。感染したホストから www.sco.com으로 へのトラフィックが多かったためです。 このため、一部の人々は、SCOグループの法的措置やLinuxに対する公開声明に対する報復として、Linuxやオープンソースの支持者がワームを作成したと推測しました。 しかし、この主張は、セキュリティ研究者によってすぐに否定されました。
初期の分析によると、Maidumは2003年に配布されたMimailワームの亜種であり、両方のワームは同じディストリビューターによって作成されたと言われています。 しかし、その後、この2つのワーム間の関連性はあまり明確ではなくなりました。
このワームの攻撃の規模と複雑さは、マルウェアの作成者の進化する性質を浮き彫り、強力なデジタルセキュリティ慣行の重要性を強調しました。Mydoom の遺産は、継続的な警戒と準備が必要であることを示す証拠であり、進化するサイバー脅威に対応するために継続的に強化する必要があるデジタルセキュリティの重要性を思い出させます。
7.ソリューション(国際標準案との連携)
4番の"マルウェアによる経済的被害"で、なんと3つの事例(ILOVEYOU、MYDOOM、Fetiya)がメールでマルウェア被害が発生したことが分かります。 したがって、マルウェア被害を予防するためには、マルウェアと関連したメール攻撃に備えることが最初のステップです。規模が大きい企業や政府機関では、このようなメール攻撃に完璧に備える製品を使用することが非常に重要な問題でしょう。
最近では、ハッカーが個人ではなく、組織を対象とした攻撃を増やしています。企業がより大きな金銭的な要求を受け入れる可能性が高く、盗まれた個人データを個人情報の盗難やダークウェブでの販売に活用できるからです。
では、メール攻撃に完全に備えるとはどういうことなのでしょうか?
様々なメール攻撃に対処できるセキュリティ要件と対応策を事前に確保しなければならないということです。 では、そのようなセキュリティ要件と対応策は何でしょうか?
これから、国連の専門機関の一つである国際電気通信連合(ITU)が採択した国際的なメールセキュリティ標準を通じて、これを詳しく説明します。
(1) ゼロデイマルウェア攻撃
セキュリティ要件
-パターンに登録されていない新しいウイルスを検出するために、行動ベースの分析検査を実行する必要があります。 新しいマルウェア攻撃の脅威に対応するため、パターンに登録されていない新しいウイルスを検出するための行動ベースの分析検査を実行する必要があります。
- 新たに発見または検出されたマルウェアの動作に関する説明を報告する必要があります。 手動または自動化されたプロセスを通じて報告する必要があります。
Maidumの技術的な精巧さと多面的なアプローチは、大量メーリング機能、バックドア機能、サービス拒否攻撃の組み合わせを通じて、以前のウイルスのパターンとは大きく異なり、電子メールを通じたソーシャルエンジニアリング攻撃と結合して大きな被害を残しました。 このように、マルウェアを利用した攻撃は常に新しい姿に変化しているため、パターンに登録されていない新種のウイルスを検出するための行為ベースの分析検査が必須です。
対応策
- マルウェア分類管理により、セキュリティ管理者は、悪意のあるファイルやウイルスとして識別されたメールは、ユーザーが再送信を要求しても転送されないように設定することができます。
- マルチ分析検査は、静的テストと動的テストを組み合わせてシステムに対するマルウェアの動作を検査する環境オペレーティングシステム変更テストを通じて、1次テストで検出されなかった未知のマルウェアを検出します。例えば、動作結果は「改ざん」、「メモリアクセス」、「フッキング警告」、「ファイル生成」、「ファイル削除」または「プロセス実行」に分けられます。
Maidumの事例は、個人およびビジネスメールと社会的なつながりを利用してマルウェアを迅速に拡散することができたため、悪質なファイルおよびウイルスとして識別されたメールを再送信できないように設定することは、ウイルスの拡散を防ぐために重要です。
(2) 添付ファイル攻撃
セキュリティ要件
- 様々なファイル形式の偽造されたファイル拡張子を検出することをお勧めします。
- メールの評判分析機能を提供することをお勧めします。
特に、前述したMaidumは、主にメールの添付ファイルを介して拡散する大量メーリングワームでした。ユーザーが感染した添付ファイルを開くと、Maidumが実行され、ユーザーのコンピュータに保存されている連絡先に追加メールを送り、拡散されました。 したがって、偽造されたファイル拡張子を検出し、メールの評判分析機能を提供することは、このようなタイプの攻撃を防ぐために非常に重要です
対応策
- ビッグデータ基盤の検査は、クラウドサービスを通じてユーザーのすべてのインバウンドおよびアウトバウンドメールデータを定期的に検査し、追加検査が必要な悪意のある添付ファイルを抽出します。ビッグデータシステムに保存されたデータを基に、標的型メール攻撃の危険性を判断します。この機能は、偽造されたファイル拡張子を識別して検出します。
MyDoomのようなメールベースのウイルスを検出し、隔離する上で、ビッグデータベースの検査は非常に効果的です。 MyDoomがメールアドレス帳で見つかったすべてのアドレスに自分自身を送信する方法を考慮すると、メールデータを定期的に検査して悪意のある添付ファイルを識別することが重要です。これにより、感染の拡大を早期に遮断し、さらなる被害を防ぐことができます。
8.結論
現代のサイバーセキュリティ環境において、マルウェアは継続的な脅威であり、これに対応するための方策は絶えず進化しなければなりません。 マルウェアの多様な形態と配布方式は、攻撃者がセキュリティシステムを迂回するために新しい戦略を開発していることを示しています。 このような状況で、個人と組織の両方が最新のセキュリティ情報を熟知し、先端セキュリティソリューションを積極的に導入してサイバー脅威から自分を守らないといけません。
私たち皆、安全なデジタル生活を送りましょう!
9. 参考資料
<What is malware?>
https://www.ibm.com/topics/malware
<Malware Examples (2024): The 7 Worst Attacks of All Time>
https://softwarelab.org/blog/malware-examples/
<Malware Detection Using Memory Analysis Data in Big Data Environment>
https://www.mdpi.com/2076-3417/12/17/8604
<The 12 Most Common Types of Malware>
https://www.crowdstrike.com/cybersecurity-101/malware/types-of-malware/
< Email Security International Standards>
https://www.itu.int/ITU-T/recommendations/rec.aspx?rec=15710&lang=en