マルウェア系の攻撃と対策

攻撃視点の分類 → セキュリティ脅威マップ / レイヤーB「端末・ネットワーク・基盤を侵す」

悪いソフト(=マルウェア)をパソコンやスマホに入れて、こわす・盗み見る・データを人質にとる 攻撃の総称。マルウェアは「malicious(悪意のある)software(ソフト)」を縮めた言葉で、ウイルスもランサムウェアもこの仲間。一度入りこむと、こっそり情報を抜き取ったり、社内の他のパソコンへ広がったり、ファイルを勝手に暗号化して「戻したければお金を払え」と要求してきたりする。

このページの読み方 — 🟢 は全員が知っておく基礎、🔧 はエンジニア・運用担当者向けの実装/設定。まず🟢を全員で、🔧は技術担当が押さえる。

1. このジャンルの攻撃とは

「悪いソフト」を、本人に気づかれずにパソコン・スマホ・サーバーで動かして、

  • データを壊す・勝手に書きかえる
  • パスワードやファイルをこっそり盗み見る・送り出す
  • データを暗号化して人質にとり、お金(身代金)を要求する
  • 遠くから機械を乗っ取って、別の攻撃の踏み台にする

ことを狙う。多くは メールの添付ファイル・あやしいリンク・偽ソフト など「うっかり開く・入れる」入口から忍びこむ。つまり 入口は人のクリック、本体はソフト という組み合わせが基本。

2. 主な手口

種類(どんな「悪いソフト」か)

種類 ひとことで しくみ・ねらい
ウイルス 他のファイルに寄生してうつる 正規のファイルに紛れこみ、開くと動いて増える
ワーム 自分でコピーして勝手に広がる 人の操作なしにネットワーク内の機器へ次々と感染
トロイの木馬 役に立つソフトのふりをした罠 便利アプリ・文書を装い、開くと裏で悪さをする
スパイウェア/キーロガー こっそり盗み見る 画面・入力(打ったパスワード)を記録して送り出す
ランサムウェア データを人質にとる ファイルを暗号化して「払わなければ戻さない」、さらに「払わなければ公開する」二重脅迫
ボット/RAT(遠隔操作) 外から機械を操る 乗っ取った機械を遠隔操作し、踏み台・盗聴・追加攻撃に使う
ファイルレス ファイルを残さず居座る 保存ファイルを作らず、OS標準の仕組みだけで動き、見つかりにくい

ランサムウェアの「二重脅迫」とは — まずファイルを暗号化して使えなくし(人質1)、さらに盗んだ中身を「払わなければインターネットに公開する」と脅す(人質2)。バックアップから復旧できても「情報を晒すぞ」という圧力が残るため、近年いちばん被害が大きい。

感染経路(どこから入ってくるか)

  • メールの添付・マクロ … Word/Excel/PDF/ZIPの添付を開き、「編集を有効にする(マクロ有効化)」を押した瞬間に動き出す。
  • 不正サイト・偽広告(ドライブバイ) … あやしいサイトや偽広告を 見ただけ・クリックしただけ で、ブラウザの弱点を突かれて感染。
  • USBメモリ … 拾った・もらったUSBを挿しただけで自動で動くものがある。
  • 偽ソフト・クラック版 … 「無料版」「割れソフト」「便利ツール」を装って配布され、入れると一緒にマルウェアも入る。

3. 実例・典型シナリオ

  • 添付Wordのマクロ有効化 → 社内が全停止 … 請求書を装ったWordを開き「コンテンツの有効化」を押す → ランサムウェアが動き、共有フォルダのファイルが次々暗号化され、翌朝には全社の業務が止まる。
  • 偽の「更新してください」ポップアップ … サイト閲覧中に「お使いのソフトが古いです。今すぐ更新」という偽の警告が出て、指示どおりに入れると本体はマルウェア。
  • 拾ったUSB … 駐車場や受付に「落ちていた」USBを親切心で社内PCに挿すと、それが感染の入口になる(わざと置かれていることも)。
  • 二重脅迫(暗号化+情報暴露) … ファイルを暗号化したうえで「身代金を払わなければ、盗んだ顧客情報を公開する」と脅迫。バックアップがあっても情報流出の圧力は消えない。

4. 対策

🟢 基礎(全員がやること)

  1. あやしい添付・リンクは開かない — 心当たりのない請求書・配送通知・ZIPは、開く前に送信元と用件を疑う。少しでも変なら開かず確認・報告。
  2. マクロを有効化しない — 「編集を有効にする」「コンテンツの有効化」を安易に押さない。業務で必要なファイル以外で求められたら、まず疑う。
  3. ソフトは公式ストア/公式サイトから — 「無料」「割れ」「裏ルート」のソフトは入れない。スマホもApp Store/Google Playから。
  4. OS・アプリを最新に保つ — 「更新のお知らせ」を放置しない。古いままの弱点が感染の入口になる。
  5. 大事なデータはバックアップ(3-2-1)3つのコピー・2種類の媒体・1つは別の場所 に保管。ランサムウェアでやられても、別保管があれば戻せる。
  6. 感染が疑わしければ、まずLANから外して即報告 — 「変だな」と思ったら有線を抜く/Wi-Fiを切る(電源は切らない方がよい場合あり)→ すぐ担当へ。広がる前に止めるのが最優先。報告した人を責めない。

🔧 応用(エンジニア・運用)

  1. EDR/アンチマルウェアを導入 — 既知パターンだけでなく、不審な挙動を検知・遮断できる EDR(端末の振る舞い監視・対応) を全端末へ。
  2. 最小権限+マクロ無効化のポリシー — 管理者権限を日常的に使わせない。Officeマクロは原則無効、必要時のみ署名付きを許可。
  3. パッチ管理を仕組み化 — OS・ブラウザ・VPN機器・サーバーの更新を棚卸しし、適用状況を管理。放置端末をなくす。
  4. ネットワーク分離+EDRによる隔離 — 部門・サーバーをセグメント化して横展開を抑え、感染端末をネットワークから即時隔離できるようにする。
  5. バックアップのオフライン/イミュータブル化+復旧訓練 — バックアップ自体を暗号化・削除されないよう オフライン保管や書き換え不可(イミュータブル) に。年に数回、実際に戻せるか復旧訓練。
  6. メール・Webフィルタ+不審通信の監視 — 添付・URLの検査(サンドボックス展開)、危険サイトのブロック、外部への不審な通信(C2=遠隔操作の通信先)の監視・遮断。

5. 解説動画(実在確認済み)

IPA(情報処理推進機構)公式。サムネイルをクリックするとYouTubeで再生。マルウェアの多くは メール経由 で届くため、その代表的な入口を学べる動画として紹介します。

そのメール本当に信用してもいいんですか? ~標的型サイバー攻撃メールの手口と対策~(約10分)

IPA: そのメール本当に信用してもいいんですか?(標的型攻撃メール)

6. チェックリスト

🟢 全員

  • 心当たりのない添付・リンクは開かず確認・報告する癖がついている
  • 「編集を有効にする(マクロ有効化)」を安易に押さない
  • ソフトは公式ストア/公式サイトからのみ入れている
  • OS・アプリの更新(アップデート)を放置していない
  • 大事なデータは 3-2-1(3コピー・2媒体・1つは別の場所)でバックアップしている
  • 感染が疑わしいときの「LANを外して即報告」の手順と連絡先を知っている

🔧 エンジニア・運用

  • 全端末にEDR/アンチマルウェアを導入し、隔離(自動遮断)ができる
  • 最小権限の運用とマクロ無効化ポリシーを適用済み
  • OS・アプリ・機器のパッチ管理(適用状況の棚卸し)ができている
  • ネットワークをセグメント分離し、横展開を抑えている
  • バックアップをオフライン/イミュータブル化し、復旧訓練を定期実施している
  • メール・Webフィルタと不審通信(C2)の監視・遮断を有効化している

7. 関連ジャンル・出典

関連ジャンル

出典(一次情報)


合わせて読む