オプティマ・ソリューションズ編集部

プライバシーマークとISMSの認証取得／更新のお手伝いをしています。担当者の皆様自身に情報セキュリティに関する様々な知識やコツを見に付けていただいて、皆様の会社自体が成長していただけることを心掛けています。しっかりと皆様のお話をお聞きして、親身に寄り添いながらサポートするのが当社のコンサルティングです。

そこで、この記事では

・マルウェアの概要と種類について解説
・どのような経路で感染するか
・マルウェア感染しないための対策

について解説します。

この機会に、自社のセキュリティ体制を見直したいという方には、ISMSの取得もサポートしております。

ISMSを取得するメリットや取得までの流れについては、以下の記事をご覧ください。

あわせて読みたい

ISMSとは？認証取得のメリットと、取得までの流れをプロが解説 ISMSとは「情報セキュリティマネジメントシステム（Information Security Management System）」の頭文字をとったものです。組織として情報セキュリティを強固にするた...

コンサルタントが親身にサポート　ISMS短期取得支援
https://www.optima-solutions.co.jp/isms-acquisition

マルウェアの概要と種類

マルウェア（malware）とは、システムの正常な動作を阻害したり、情報や金銭を窃取したりという目的をもつ、悪意ある（malicious）ソフトウェア（software）のことを指します。

パソコンやスマホなどのデバイスに深刻な影響を与えるマルウェアですが、このような名称のコンピュータウイルスがあるわけではありません。

意図的にデバイスに不具合を起こす目的で作成されたプログラムやコードを総称してマルウェアと呼び、ウイルスはその一種です。

新型コロナウイルス感染症拡大防止対策のためテレワークが広まった2020年ごろから、サイバー攻撃の数は飛躍的に増加しており、マルウェアの種類も年々増える一方です。

ここでは、代表的な７種類を挙げて説明します。

ウイルス

最もよく耳にすることが多いウイルスは、マルウェアの一種です。

プログラムの一部を書き換え、自己増殖していくマルウェアを指します。

単体で存在することはできず、既存のプログラムの一部を改ざんして入り込み、分身を作って増殖する形態が人体に感染するウイルスと似ているため、こう呼ばれるようになりました。

ウイルスによって引き起こされる症状はさまざまで、感染したプログラムの実行という人の手による操作が入ることで増殖します。

ワーム

ウイルスのような宿主を必要とせず、単独で存在・増殖が可能なためワーム（worm：虫）と呼ばれます。

人による操作がなくても勝手に増殖するため、一気に大量のコピーを作成し、デバイスに深刻な被害を与える事例が多く見られます。

ネットワークに接続しただけで感染する事例も多数あり、注意が必要です。

トロイの木馬

ギリシャ神話に登場するトロイの木馬のように、無害な状態から何らかのトリガーによって豹変し、デバイスに被害を与えます。

一見すると無害な画像や文書ファイル、アプリケーションなどに偽装してデバイス内部に侵入し、外部からの指令によって、攻撃者の侵入経路であるバックドアを構築したり、個人情報を盗難したりPCをクラッシュさせて機能停止に陥らせたりという行為を引き起こしてしまうのが特徴です。

スパイウェア

その名のとおり、情報を盗み出すことを目的としたマルウェアです。

デバイス内部に入り込み、個人情報やユーザーの挙動などの情報を収集、外部に送信する不正なプログラムを指します。

デバイスへの影響は少ないので気づかれにくく、知らないうちに重要な情報が盗まれるケースが多く、顧客情報を多くもつ企業などは特に注意が必要です。

アドウェア

悪意を持った広告が表示されることで感染するマルウェアです。

Webサイトへのアクセスが原因で感染し、ユーザーのインターネット上の行動履歴などが自動的に外部送信されます。

ファイルレスマルウェア

PCに正規に組み込まれているOSを通して悪質な動作が行われるマルウェアを指します。

発見しにくく、攻撃の痕跡を残さず情報漏洩が行われるという特徴があります。

ランサムウェア

マルウェアの中で最も被害をもたらしていると言われるランサムウェア。

ユーザーのファイルデータを暗号化し、モニターには警告メッセージが表示されます。

そして暗号化解除やデータ復元と引き換えに、身代金を要求するのが特徴です。

ランサムウェアについての詳しい解説や感染経路、その対策などについては、以下の記事でご確認ください。

あわせて読みたい

ランサムウェアとは？　感染経路やその対策までをわかりやすく解説します 近年ますます、ランサムウェアによる被害を耳にするようになりました。 サイバー攻撃というと、いまだに大企業だけが狙われると思われている方も多いようですが、ランサ...

あわせて読みたい

ランサムウェアに感染したらどうする？　企業内でまず取るべき対策を解説します ここ数年で、国内外問わずランサムウェアの被害が増えています。その攻撃対象は大企業だけでなく、広く中小企業にまで及んでいるのが現状です。ところが中小企業は、セ...

またランサムウェアによる攻撃については近年、特定の企業や公的機関などに絞った「標的型攻撃」が増加しています。

「標的型攻撃」については以下の記事で解説していますので、合わせてご覧ください。

あわせて読みたい

標的型攻撃とは？もしもの時に備えて、やっておくべきことはある？ 通信環境が向上し、様々なツールやサービスが出てきたことによって、時間や場所に縛られない自由な働き方が選べる時代になりました。業務に必要な機密情報も、クラウド...

どのような経路で感染するか

マルウェアへの感染経路にはさまざまなものがあり、以下に代表的な経路を挙げます。

メールの添付ファイル

添付ファイルからの感染が多く見られますが、メールそのものにマルウェアが添付されていたり、本文記載のURLをクリックさせて感染させたりするケースなど、さまざまな種類があります。

Webサイトの閲覧やファイルダウンロード

不審なWebサイトを閲覧したときや記載URLをクリックしたり、PDFなどのコンテンツをダウンロードしたりという際に感染するケースもよく見られます。

クラウドストレージ

セキュリティが脆弱なクラウドストレージの利用により、感染のリスクが高まります。

無名のものではなく、厳格なセキュリティ体制を敷いている信頼できるストレージを選びましょう。

ファイル共有

ファイル共有ソフトを通じて感染した場合は、被害が次々に広がることになります。

ファイル共有ソフトはできる限りインストールしないのが無難です。

外部ストレージ

USBやDVD、CD-ROMなどの外部ストレージに組み込まれた偽物のデータを開くことで、PCが感染します。

マルウェア感染したPCにUSBなどを挿入すると、それらのリムーバブルメディアにもマルウェアが感染するので、被害が広がる可能性があります。

感染しているモバイル端末

上記と同様に、マルウェア感染したスマートフォンやタブレットなどに接続することで、PCにもマルウェアが感染します。

Androidでよく見られるケースですが、iPhoneでも可能性がないわけではありません。

マルウェア感染しないための対策

このように、マルウェア対策には複数の感染経路があり、上記以外にもさまざまな事例が報告されています。

すべて遮断するのは不可能にも思えますが、少しでもリスク発生を回避するために、企業が取ることのできる対策方法を以下に挙げておきます。

まずはこれらの対処法につき、従業員への周知を徹底しましょう。

不審なメールやファイル、URLを開かない

ごく基本的なことですが、感染の多くはメールという身近な経路から起きます。

見知らぬ連絡先からのメールや添付ファイルは開かない、リンクはクリックしないよう心がけ、不審なメールは削除しましょう

HTML形式のメールにはマルウェアを仕込まれていることがあるので、テキスト形式で受信すると安心です。

不必要なWeb閲覧やファイル共有ソフトの使用を行わない

不審なWebサイト閲覧やファイル共有ソフトの使用をしないのはもちろん、バナー広告やポップアップにもうっかり「OK」をクリックしないように気をつけましょう。

所有者の不明な外部ストレージや私物のモバイルを使用しない

出所不明なストレージやデバイスに接続しないのはもちろん、他人だけでなく自身のUSBメモリやモバイルデバイスであっても、覚えのないファイルを安易に開くのはやめましょう。

セキュリティソフトでのスキャンでチェックし、怪しいファイルはすぐに駆除することが重要です。

OSやソフトウェアのアップデートを定期的に行う

常にOSやソフトウェアを最新の状態に保っておくことで、脆弱性を改善し不正アクセスを退け、マルウェアの被害を防ぐ可能性が高まります。

使用しないソフトウェアはサポートが切れる可能性もあるため、アンインストールしておきましょう。

セキュリティソフトを導入する

セキュリティソフトのインストールやアップデートは、マルウェア対策の基本です。

中小企業では社員個別の管理に任せているケースも散見されますが、無料版では充分な対策にならないものもあり、注意が必要です。

マルウェアは年々高度化し巧妙化しているため、未知の攻撃を検知するためにもシグネチャー型ウイルス対策ソフトではなく、新しいタイプのAIウイルス対策ソフトを導入するのが安全といえます。

VPNを設定することも有効です。

まとめ

上記のように、マルウェア予防にあたっては特に専門的な知識が必須というわけではなく、従業員に向けてセキュリティ対策意識を常に向上させることが重要となります。

当社の「標的型攻撃メール演習」というサービスは、従業員のみなさまへの意識づけにおすすめです。

ご興味のある方はぜひお問い合わせからご検討ください。

あわせて読みたい

標的型攻撃メール演習 (*)のついた事項は必須項目です。 お問い合わせ区分(*) 標的型攻撃メール演習のデモ版を体験したい 標的型攻撃メール演習の詳しい話を聞きたい 標的型攻撃メール演習に...

また、日頃から会社のセキュリティ体制を見直し、社員へのセキュリティ意識を高める仕組みづくりも重要です。

具体的には、定期的なセキュリティ講習の実施、セキュリティ対策のマニュアル策定、情報の一覧化などにより、IT管理者だけでなく、社員全員の意識強化を心がけましょう。

ISMS取得後の自社セキュリティ教育導入やその活用例については、以下の記事も合わせてご覧ください。

あわせて読みたい

ISMSの情報セキュリティ教育に使える資料と社内教育の例を紹介 ISMS認証を取得した後、自社でのセキュリティ教育は必須です。 しかし、全社員にわかりやすい教育資料を準備するのは、担当者にとって大きな悩みの種ではないでしょうか...

ISMS取得のご相談ならオプティマ・ソリューションズへ！

弊社は創業20年で、3500件を超える支援を行ってきました。

さらに、弊社には次の強みがあります。

弊社ではISMS認証の取得・更新をする以上に、御社の社内環境や社外のお客様の質まで変えていけるように全力でサポート致します。

お客様が新しい知識と情報を理解し、自社の業務にそれを適用することで、何らかの改善が実現しお客様も喜ぶ。そんな状態を理想と考えているからです。

これからISMS認証を取得される、または、更新をご希望される事業者様はぜひ、お気軽にご相談下さい。