あらゆる組織が直面するマルウェアの脅威とは
マルウェア(悪意のあるソフトウェアとも呼ばれます)は、コンピュータ システムに侵入し、損害を与え、情報を抜き出すために一般的に使用されます。サイバー犯罪者は、データの窃取、ファイルの削除、キー ストロークの記録からログイン クレデンシャルの侵害まで、あらゆる目的でマルウェアを使用します。そのため、マルウェアは非常に強力なツールとなっており、すべての組織に対処が求められる脅威となっています。
システムがマルウェアに感染すると、攻撃者はシステムを完全には制御できないまでも、広範囲に制御できるようになります。さらに、感染したデバイスにいつでもアクセスできます。このことは特に時間外、つまり多くの組織がセキュリティ チームによる対応と同レベルの準備ができていない時間帯に懸念されます。
マルウェア攻撃は11秒ごとに発生しています。組織を保護するために、まずはさまざまなマルウェアの種類について理解することから始めましょう。
主要なマルウェアの種類と見分け方
マルウェアには多くの形態があります。以下に、最も一般的な14個のマルウェアのリストを表でまとめました。
| 種類 | 特徴 |
|---|---|
| コンピュータ ウイルス | 自己複製しシステムに感染。隔離と削除が必要。 |
| コンピュータ ワーム | ユーザーの操作なしで自己拡散。ネットワークに高リスク。 |
| ランサムウェア | ファイルをロックし身代金要求。二重脅迫も増加。 |
| キーロガー | キー入力を記録。正当用途もあるが悪用で情報漏洩。 |
| トロイの木馬 | 正規ソフトを装い潜入。バックドアを開く。 |
| スパイウェア | 個人情報を収集。攻撃者の利益のために利用。 |
| バックドア | 正規アクセスの回復手段だが悪用リスクあり。 |
| ファイルレス マルウェア | ファイルを使わずOS内に隠れ持続的に活動。 |
| アドウェア | 広告を表示し収益化。リダイレクトによる誘導も。 |
| マルバタイジング | 悪意ある広告でマルウェアを仕込む手段。 |
| ルートキット | 管理権限を奪い検出を回避。制御不能に陥る可能性。 |
| ボットとボットネット | DDoSなど自動攻撃。大量の被害をもたらす。 |
| RAMスクレーパー | RAM内の非暗号化データを収集。POS等が標的。 |
| モバイル マルウェア | モバイル端末を狙う。特に脱獄端末は高リスク。 |
以下、それぞれ解説します。
コンピュータ ウイルス
コンピュータ ウイルスは実際のウイルスを模倣しており、悪意のあるコードを介してシステムのさまざまなコンポーネントに自身を複製します。多くの場合、コンピュータ ウイルス自体は、システム内のソフトウェア プログラムまたはコンポーネントを介して挿入されます。その結果、ウイルスの発生源を完全に取り除くとシステム全体も機能しなくなる可能性があり、ウイルスの駆除プロセスが困難なものになります。
障害を発生させることなくウイルスによる一層の被害を抑えるには、ウイルスを隔離する必要があります。そうすることで、さらなる複製パターンをブロックしてシステムから完全に削除できます。
コンピュータ ワーム
コンピュータ ワームは通常、自己複製型の悪意のあるプログラムであり、自己複製によって拡散します。ネットワーク感染を成功させるためにエンドユーザーに操作を行わせる必要がないため、特に危険です。
ランサムウェア
ランサムウェアとは、その名の通り、身代金を要求するマルウェアで、身代金が支払われるまでユーザーをファイルやシステムから締め出します。組織が身代金を支払ったとしても、システムやデータへのアクセスを回復できない可能性があります。ランサムウェア攻撃はますます広まっており、二重の脅迫スキームへと進化しています。攻撃者は機密データを窃取したうえで、身代金が支払われない場合には情報を漏洩すると脅迫してきます。
キーロガー
キーロガーは、キー入力を監視するマルウェア(場合によっては標準ソフトウェア)で、外部の者がユーザーのすべてのキー入力を追跡できるようにします。一部のキーロガーは正当な目的(雇用主がセキュリティなどの目的でアクティビティを監視するなど)で使用されています。しかし、悪用されると、組織はデータ盗難などの悪意のあるアクティビティのリスクにさらされます。
トロイの木馬
「トロイの木馬」は、トロイ戦争で使用された古代の戦闘兵器のことです。ギリシャ軍は木馬に兵士を詰め込み、敵の要塞に侵入して他の兵士が攻め込むための突入口を作りました。
サイバー戦争にも同じ概念が当てはまります。デジタルのトロイの木馬は、正規のソフトウェアを装うことが多く、メールのリンク、一見無害に見えるアプリケーション、あるいはソーシャル エンジニアリングの手法すらも介して配布されます。そこからトロイの木馬はバックドアを開き、攻撃者が企業のデジタル インフラの可能な限り多くの領域にアクセスできるようにします。
スパイウェア
スパイウェアまたはスパイ活動を行うマルウェアは、悪意を持つ者が被害者にスパイ行為を働き、攻撃者の利益のためにデータにアクセスすることを目的として使用されます。スパイウェアの狙いは、個人を特定できる情報(PII)を収集することです。収集された情報は、金銭の取得やさらなる機密データへのアクセスに利用されます。
バックドア
バックドアは、正規ユーザーが登録している特定のソフトウェアやプログラムへのアクセスを回復するのに役立つという点で確かに一定のメリットがありますが、悪意のある目的を持った者によって悪用される可能性もあります。多くのテクノロジー ベンダーは社内での利用を目的としてバックドアを許可していますが、それらが悪意ある者の手に渡ると、深刻な影響が生じる可能性があります。
ファイルレス マルウェア
ファイルレス マルウェアは、攻撃者がOSを介してアクセスを得られるようにします。API、レジストリキー、スケジュール化タスクなどが考えられます。攻撃者は既存のスクリプトやプロトコルに簡単に溶け込み、長期間にわたって存在を隠蔽します。このプロセスも、サイバー セキュリティの観点からの検出と緩和を困難にしています。
アドウェア
ポップアップ ブロッカーを有効にしていても、インターネットを閲覧している人なら誰でもアドウェアに遭遇する可能性があります。多くの場合、アドウェアはウェブ サーファーを類似の製品を提供する別のウェブサイトにリダイレクトします。さらに、攻撃者はアドウェアを利用し、Google AdSenseなどのオンライン広告サービスを通じて収益を得ています。
マルバタイジング
マルバタイジングとは、悪意のある広告の一種で、一見するとマルウェアのように見えますが、実際には全く異なるものです。怪しげな広告の多くが悪意のあるものと関連付けられています。悪意のある広告をクリックすると、ユーザーのシステムにマルウェアが挿入され、攻撃者がデバイスを制御できるようになります。
ルートキット
ルートキットは、検出を回避しながらシステムの管理アクセスポイントを乗っ取るマルウェアの一種です。このプロセスにより、システム管理者にさまざまな問題が発生したり、システムへのアクセスが遮断されたり、システムに対するあらゆる制御を奪われたりする可能性があります。ルートキットはOSレベルで機能するため、他の種類のマルウェアよりもはるかに強力な機能を備えています。
ボットとボットネット
ボットとボットネットは、トロイの木馬、ワーム、ウイルスを組み合わせ、自動化された攻撃でシステムを過負荷状態に陥れる能力を持っています。組織が適切な対策を講じていない場合、このほぼ絶え間ない集中攻撃によって、非常に強力なサイバー セキュリティ対策でさえも機能不全に陥る可能性があります。分散型サービス拒否(DDoS)攻撃はボットネットの一例です。悪意のある専門家によって実行されると、システムやウェブサイトが長期間にわたってダウンする可能性があります。
ランダムアクセス メモリ(RAM)スクレーパー
RAMスクレーパーは、ランダムアクセス メモリに一時的に保存されたデータをマイニングします(そのため、RAMスクレーパーと呼ばれます)。機密性の高いデバイス(POSシステムなど)にあるRAMストレージでは金融情報などのデータが一時的に暗号化されない状態で転送されており、この種類のマルウェアはそのようなRAMストレージを標的とします。
モバイル マルウェア
モバイル マルウェアとは、まさにその名の通り、モバイル端末を標的とするマルウェアです。多くの場合、「ジェイルブレイク」されたスマートフォンは、モバイル端末にデフォルトでインストールされているセキュリティ保護機能がないため、この種のマルウェア攻撃を受けやすくなります。
脆弱性を突くマルウェアの侵入メカニズム
マルウェアは、さまざまな方法でシステム、ネットワーク、またはデバイスに侵入し、拡散する可能性があります。以下は、最も一般的な方法のリストです。
脆弱性
脆弱性とは、システムのパッチ未適用領域、ソーシャル エンジニアリングに気づかない従業員、セキュリティ保護されていないデータセンターへの物理アクセスなど、あらゆるものを意味します。
攻撃者は、組織への最初のアクセスを得るために、脆弱性をよく悪用します。
バックドア
前述のように、バックドアは悪意を持った者による大きなリスクをもたらします。バックドアは、攻撃者によって広範囲かつ長期間にわたって利用される可能性があります。多くの場合、侵入者がバックドアを介してアクセスを得たことに、セキュリティ管理者が気付いた際にはすでに手遅れになっています。
フラット ネットワーク
企業は攻撃者を阻止するために、可能な限り多くの防御策や障壁を用意する必要があります。フラット ネットワークはルーターなどの追加のハードウェア コストを節約できますが、組織がトラフィック フローを制御したり、セグメンテーションなどのサイバー セキュリティ対策を実装したりすることはできません。
ドライブバイ ダウンロード
ドライブバイ ダウンロードは、通常、ユーザーが感染したウェブサイトにアクセスし、気づかないうちにマルウェアと遭遇した場合に発生します。この種類の攻撃は、侵害されたウェブページにアクセスする以外にユーザーの操作を必要としないため、特に危険です。
ハイブリッド脅威
ハイブリッド脅威は、複数種類のマルウェアを1つに組み合わせることで、サイバー セキュリティ システムで本当の脅威を検出しにくくします。この手法では、実際に何が起こっているのかをユーザーに気づかれないようにして、マルウェアの真の意図を隠すことで検出を回避しようとします。
まとめ
SailPointのIdentity Security Cloudなら、組織全体のあらゆるIDに対して、重要なデータとアプリケーションのアクセス権限をリアルタイムで管理および保護できます。貴社のアイデンティティ セキュリティ、アイデンティティ ガバナンス、その他のサイバー セキュリティ目標に対して、SailPointがどのように最適な対応を実施しているかをご覧ください。
