マルウェア系の攻撃と対策
攻撃視点の分類 → セキュリティ脅威マップ / レイヤーB「端末・ネットワーク・基盤を侵す」
悪いソフト(=マルウェア)をパソコンやスマホに入れて、こわす・盗み見る・データを人質にとる 攻撃の総称。マルウェアは「malicious(悪意のある)software(ソフト)」を縮めた言葉で、ウイルスもランサムウェアもこの仲間。一度入りこむと、こっそり情報を抜き取ったり、社内の他のパソコンへ広がったり、ファイルを勝手に暗号化して「戻したければお金を払え」と要求してきたりする。
このページの読み方 — 🟢 は全員が知っておく基礎、🔧 はエンジニア・運用担当者向けの実装/設定。まず🟢を全員で、🔧は技術担当が押さえる。
1. このジャンルの攻撃とは
「悪いソフト」を、本人に気づかれずにパソコン・スマホ・サーバーで動かして、
- データを壊す・勝手に書きかえる
- パスワードやファイルをこっそり盗み見る・送り出す
- データを暗号化して人質にとり、お金(身代金)を要求する
- 遠くから機械を乗っ取って、別の攻撃の踏み台にする
ことを狙う。多くは メールの添付ファイル・あやしいリンク・偽ソフト など「うっかり開く・入れる」入口から忍びこむ。つまり 入口は人のクリック、本体はソフト という組み合わせが基本。
2. 主な手口
種類(どんな「悪いソフト」か)
| 種類 | ひとことで | しくみ・ねらい |
|---|---|---|
| ウイルス | 他のファイルに寄生してうつる | 正規のファイルに紛れこみ、開くと動いて増える |
| ワーム | 自分でコピーして勝手に広がる | 人の操作なしにネットワーク内の機器へ次々と感染 |
| トロイの木馬 | 役に立つソフトのふりをした罠 | 便利アプリ・文書を装い、開くと裏で悪さをする |
| スパイウェア/キーロガー | こっそり盗み見る | 画面・入力(打ったパスワード)を記録して送り出す |
| ランサムウェア | データを人質にとる | ファイルを暗号化して「払わなければ戻さない」、さらに「払わなければ公開する」二重脅迫 |
| ボット/RAT(遠隔操作) | 外から機械を操る | 乗っ取った機械を遠隔操作し、踏み台・盗聴・追加攻撃に使う |
| ファイルレス | ファイルを残さず居座る | 保存ファイルを作らず、OS標準の仕組みだけで動き、見つかりにくい |
ランサムウェアの「二重脅迫」とは — まずファイルを暗号化して使えなくし(人質1)、さらに盗んだ中身を「払わなければインターネットに公開する」と脅す(人質2)。バックアップから復旧できても「情報を晒すぞ」という圧力が残るため、近年いちばん被害が大きい。
感染経路(どこから入ってくるか)
- メールの添付・マクロ … Word/Excel/PDF/ZIPの添付を開き、「編集を有効にする(マクロ有効化)」を押した瞬間に動き出す。
- 不正サイト・偽広告(ドライブバイ) … あやしいサイトや偽広告を 見ただけ・クリックしただけ で、ブラウザの弱点を突かれて感染。
- USBメモリ … 拾った・もらったUSBを挿しただけで自動で動くものがある。
- 偽ソフト・クラック版 … 「無料版」「割れソフト」「便利ツール」を装って配布され、入れると一緒にマルウェアも入る。
3. 実例・典型シナリオ
- 添付Wordのマクロ有効化 → 社内が全停止 … 請求書を装ったWordを開き「コンテンツの有効化」を押す → ランサムウェアが動き、共有フォルダのファイルが次々暗号化され、翌朝には全社の業務が止まる。
- 偽の「更新してください」ポップアップ … サイト閲覧中に「お使いのソフトが古いです。今すぐ更新」という偽の警告が出て、指示どおりに入れると本体はマルウェア。
- 拾ったUSB … 駐車場や受付に「落ちていた」USBを親切心で社内PCに挿すと、それが感染の入口になる(わざと置かれていることも)。
- 二重脅迫(暗号化+情報暴露) … ファイルを暗号化したうえで「身代金を払わなければ、盗んだ顧客情報を公開する」と脅迫。バックアップがあっても情報流出の圧力は消えない。
4. 対策
🟢 基礎(全員がやること)
- あやしい添付・リンクは開かない — 心当たりのない請求書・配送通知・ZIPは、開く前に送信元と用件を疑う。少しでも変なら開かず確認・報告。
- マクロを有効化しない — 「編集を有効にする」「コンテンツの有効化」を安易に押さない。業務で必要なファイル以外で求められたら、まず疑う。
- ソフトは公式ストア/公式サイトから — 「無料」「割れ」「裏ルート」のソフトは入れない。スマホもApp Store/Google Playから。
- OS・アプリを最新に保つ — 「更新のお知らせ」を放置しない。古いままの弱点が感染の入口になる。
- 大事なデータはバックアップ(3-2-1) — 3つのコピー・2種類の媒体・1つは別の場所 に保管。ランサムウェアでやられても、別保管があれば戻せる。
- 感染が疑わしければ、まずLANから外して即報告 — 「変だな」と思ったら有線を抜く/Wi-Fiを切る(電源は切らない方がよい場合あり)→ すぐ担当へ。広がる前に止めるのが最優先。報告した人を責めない。
🔧 応用(エンジニア・運用)
- EDR/アンチマルウェアを導入 — 既知パターンだけでなく、不審な挙動を検知・遮断できる EDR(端末の振る舞い監視・対応) を全端末へ。
- 最小権限+マクロ無効化のポリシー — 管理者権限を日常的に使わせない。Officeマクロは原則無効、必要時のみ署名付きを許可。
- パッチ管理を仕組み化 — OS・ブラウザ・VPN機器・サーバーの更新を棚卸しし、適用状況を管理。放置端末をなくす。
- ネットワーク分離+EDRによる隔離 — 部門・サーバーをセグメント化して横展開を抑え、感染端末をネットワークから即時隔離できるようにする。
- バックアップのオフライン/イミュータブル化+復旧訓練 — バックアップ自体を暗号化・削除されないよう オフライン保管や書き換え不可(イミュータブル) に。年に数回、実際に戻せるか復旧訓練。
- メール・Webフィルタ+不審通信の監視 — 添付・URLの検査(サンドボックス展開)、危険サイトのブロック、外部への不審な通信(C2=遠隔操作の通信先)の監視・遮断。
5. 解説動画(実在確認済み)
IPA(情報処理推進機構)公式。サムネイルをクリックするとYouTubeで再生。マルウェアの多くは メール経由 で届くため、その代表的な入口を学べる動画として紹介します。
そのメール本当に信用してもいいんですか? ~標的型サイバー攻撃メールの手口と対策~(約10分)
- ランサムウェアなど他のテーマの動画は、IPAの一覧から探せます(本Wikiでは実在を確認した動画のみを掲載しています)。
6. チェックリスト
🟢 全員
- 心当たりのない添付・リンクは開かず確認・報告する癖がついている
- 「編集を有効にする(マクロ有効化)」を安易に押さない
- ソフトは公式ストア/公式サイトからのみ入れている
- OS・アプリの更新(アップデート)を放置していない
- 大事なデータは 3-2-1(3コピー・2媒体・1つは別の場所)でバックアップしている
- 感染が疑わしいときの「LANを外して即報告」の手順と連絡先を知っている
🔧 エンジニア・運用
- 全端末にEDR/アンチマルウェアを導入し、隔離(自動遮断)ができる
- 最小権限の運用とマクロ無効化ポリシーを適用済み
- OS・アプリ・機器のパッチ管理(適用状況の棚卸し)ができている
- ネットワークをセグメント分離し、横展開を抑えている
- バックアップをオフライン/イミュータブル化し、復旧訓練を定期実施している
- メール・Webフィルタと不審通信(C2)の監視・遮断を有効化している
7. 関連ジャンル・出典
関連ジャンル
- セキュリティ脅威マップ(分類ハブ)
- なりすまし・フィッシング系の攻撃と対策 — 添付/リンクからの感染の「入口」になる心理操作
- コミュニケーション基盤系 — メール/チャット乗っ取りからのマルウェア配布
- インフラ系 — OS・機器のパッチ管理、更新放置の「すきま」対策
出典(一次情報)
- IPA「情報セキュリティ10大脅威」 — https://www.ipa.go.jp/security/10threats/
- IPA「映像で知る情報セキュリティ」 — https://www.ipa.go.jp/security/videos/index.html
- JPCERT/CC(マルウェア・ランサムウェア注意喚起)
- NIST(Cybersecurity Framework/インシデント対応の定番フレームワーク)
