第二回 現代のサイバー脅威とその対策：ランサムウェアとマルウェアの理解（全5回）

マルウェアとは、「不正かつ有害に動作させる意図で作成された悪意のあるソフトウェアや悪質なコードの総称」とされ、コンピュータウイルス、ワーム、トロイの木馬、ランサムウェア、スパイウェア、キーロガー、ボットなどを含まれるとされます。

今日はこれらの代表的なマルウェアについて、どんな違いがあるのかを簡単にご案内しましょう。セキュリティ畑に長年いらっしゃる方にとってはいまさらというような話ですので、間違い探しでもするつもりで読んでいただくと良いかもしれません。

１．（コンピュータ）ウイルス

第三者のプログラムやデータベースに対して意図的に何らかの被害を及ぼすように作られたプログラムで、自己伝染機能、発病するまで症状を出さない潜伏機能、何らかの条件によってプログラム、データ等のファイルの破壊やプログラム設計者の意図しない動作を発病する機能のいずれか一つを持っています。

人間社会で猛威を振るうコロナをイメージすると理解しやすいかもしれないですね。Emotetもウイルスの1種ですが、この種のマルウェアは標的型メールなどに添付され、ユーザーが気付かずに開いてしまうと感染し、近隣の（同一ネットワーク上の？）システムに感染を広げるという特徴があります。Emotetは2021年1月にテイクダウン（閉鎖）されたと話題になりましたが、最近復活してきて2021年11月ごろから再び目にするようになったといわれています。インフルエンザやコロナのように完全撲滅が極めて難しいというのがウイルスだからということかもしれないですね。

２．ワーム

他のプログラムの動作を妨げ、有害な作用を及ぼすことを意図したプログラムで、感染機能や自己拡散機能を持つという点でウイルスと似ていますが、それ自体が独立して実行可能なプログラムであり、プロセスとして活動し続ける点と、他のシステムへの感染にファイルを必要としない点がウイルスと異なります。ネットワークなどを介して、次の感染先を見つけて複製を作り感染し続ける事例が多く報告されました。

過去に猛威を振るった有名どころとしてはMYDOOM、SOBIG.F、CODE RED、Blaster、Slammerなどがありますが、WannaCryの名前はお聞きになったことがある方も多いのではないでしょうか？

３．トロイの木馬

一件有用なアプリに見えながら、ユーザーの意図に反し、コンピュータのデータを盗み出すなどの不正な動作をさせる機能を備えたものを言います。破壊目的のものや、情報を集めることが目的のスパイウェアなどさまざまなものがありますが、発見を免れるために密かにわかりにくい動作をする悪質なものも存在します。利用規約にコンピュータの情報を集めてベンダに送信することを示したうえでユーザーにインストールさせているソフトウェアもありどこまでがトロイの木馬と定義するかの明確な基準がないのが実情です。そのようなベンダ認定のプログラムであっても、セキュリティ診断やマルウェア検知などのサービスでトロイの木馬とされることもあります。

2005年（平成17年）には、日本国内でも、不正ソフトウェアを仕込んだCD-Rを、銀行を装ってネットバンキングサービスのユーザーに送りつけ、不正送金を実行させた事件が発生しています。

４．ランサムウェア

これに感染してしまうと、システムのハードディスクドライブが暗号化され（暗号化ウイルス）、利用者はシステムへのアクセスが制限されます。攻撃者（ランサムウェアの制作者）は、この制限を解除するため、被害者に身代金（ransomランサム）を支払うよう要求するのが（スケアウェア）一般的です。最近では、個人情報をネット上に開示するという脅迫をともなうケースも多くみられます。

良く知られるものとしては、WannaCry（ワームの説明にも登場しましたが、WannaCryはワームの機能とランサムウェアの機能の両方を持っています）、Cryptowall、PETYA、Maze、Conti、Revil、TelsaCrypt、Lockyなどがあげられます。

感染にいたる手法としては、メールなどに添付されたファイルを開くことで引き起こされるというのが一般的です。

５．スパイウェア

感染したシステムの内部情報を外部に勝手に送信するのが特徴のマルウェアです。システムに保存された情報を、ユーザーが意図しない形で収集し、それを特定の企業・団体・個人等に送信してしまいます。

スパイウェアの多くは、一見ユーザーに様々な利便性を提供するように装って自らをインストールさせるか、自動的にダウンロードさせる仕掛けを施したウェブサイトの閲覧やスパムによってファイルを送りつけ、システムの欠陥を利用するなどしてインストールされます。

たちが悪いことに、明らかにソフトウェアベンダなどが提供する有用と思われるプログラムの中に、スパイウェアコンポーネントを隠しておくことがよく行われます。大抵のスパイウェアが含まれた有用と思われるプログラムは無料でダウンロードでき、何らかの利便性を挙げて、ユーザーにアピールしています。

また、OSやウェブブラウザの脆弱性を利用してウェブサイト閲覧中にコンピュータ内にインストールされるものもあります。

ウイルスあるいはEメールに添付されたプログラムを実行することで、ダウンロードされ、破壊的なソフトウェアの一部機能としてインストールされる手法なども見られます。

６．キーロガー

ユーザーのキーボード操作をそのまま外部に送信するスパイウェアの一種です。一般的にキーロガーは、パソコンに接続またはインストールされ、ユーザーがどんなキーやコマンドを入力したかを逐一記録して内部メモリに記録したりログファイルを出力するプログラムで、監視やデータのバックアップなどで便利に利用されるものですが、使い方次第ではユーザーの入力したID・パスワードや住所・氏名といった重要な個人情報まで窃取することができるため、大きな問題になっています。一般にはソフトウェア型のものを指しますが、ハードウェア型の不正使用が事件となったケースも稀に見られます。

７．ボット（Robotを語源とする）

攻撃者からの指令により（通常C&Cサーバと呼ばれる攻撃用システムを通じて）、他のコンピュータやネットワークへの攻撃や、サーバからのファイルの盗み出しなど有害な動作を行うプログラムです。

特徴としては、以下のようなことがあげられます。

ソースコードが公開されており、改変した亜種の作成が容易

メールや不正アクセスなどの手段により広範囲に感染拡大する

バックドアなどを経由して、悪意を持った者がシステムを不正に制御する

システムに侵入した後、気づかれずに感染拡大などの不正動作を行う

広範囲に感染拡大させたシステムから、特定のサイトを一斉攻撃（DDoS攻撃）

また、これらの機能を高度に組み合わせたものをボットネットと呼ぶことがあります。

８．バックドア

攻撃者が侵入するために用意されたネットワーク上の裏口を意味します。本来はIDやパスワードを使って使用権を確認するコンピュータの機能を無許可で利用するために、コンピュータ内に設けられた通信接続の機能を指しますが、バックドアが必要とされる背景としては以下のようなことがあります。

バックドアには、設計・開発段階で利便性のために設けられるものや、稼動中のコンピュータに存在する脆弱性をついて送り込まれたソフトウェア（トロイの木馬と呼ばれる類の偽装ソフトウェア）によって作られるものもあります。広義には、機能上の欠陥から、本来許可すべきではない通信や操作を受け入れてしまう脆弱性も含まれます。コンピュータのウイルス感染により、バックドアが設けられたコンピュータの状態を「ゾンビ」と呼ぶ事もあります。

皆さんはDevOps（開発を意味するDevelopmentと、運用を意味するOperationsを組み合わせた造語）とかShift Leftという言葉をお聞きになったことがありますか？

DevOpsは開発チームと運用チームが連携して統合的に活動することにより、それぞれがサイロ化することを防ぎ、更にはアプリケーションやサービスを、スピード感を持ってリリースできるようにしていこうという考え方です。

最近はこれにセキュリティを加えたDevSecOpsという言葉が使われるようになってきました。最初からセキュリティを考慮しながら開発することで、セキュリティなどの問題による後戻りが起きないようにという考え方です。

Shift Leftも似たような考え方で、開発段階の早い段階でテストを行うことで手戻りをなくすというものです。

このテストには、最近ではシステムに既知の脆弱性が存在していないかや開発プログラムの記述の仕方が適切かを確認したり、不正なコードの混入、不適切な外部サイトへのアクセスの有無、バックドアの消し忘れや不正に作られていないかといった点まで含めた総合的な確認まで踏み込んで考えるようになりつつあります。

いずれも早い段階でセキュリティ面を含めたテストを行うことで、手戻りを少なくし、開発期間を短縮しようという意図が込められています。

このような考え方を支援するサービスとして、脆弱性診断などに代表されるセキュリティ診断、コードスキャン、不正コード検知サービスなどがあります。セキュリティ診断については、開発の初期段階からこまめに診断を行うことによってリリース直前に大きな改修などが発生しないようにしようという動きがみられます。最近ではセキュリティの専門家でなくても簡単に使える診断ツールやクラウドサービス的なものが多くのベンダから出されており、これらのツールでこまめに診断し、リリース前に専門家に本格的な診断を依頼するという考え方も一般的になりつつあります。レイ・イージス・ジャパンでも誰でも簡単に使うことのできるWebシステムの脆弱性診断ツール、RAS3を提供していますので、ご興味お持ちいただけましたら、お気軽にご連絡ください。

ソースコード診断は言葉の通りで、開発段階でソフトウェアのソースコードに既知の脆弱性がないかを調べることで、DevOps、Shift Leftを実現するものです。ただし、ソースコード診断では、外部の怪しいサイトへの通信の可能性や、マルウェアなどが紛れ込んでいないかなどについての検査まではできず、また一般の脆弱性診断などでもこれらについては検知できないため、開発段階でそれらのリスクを取り除く方法が望まれていました。私見ですが、技術的にはSandboxのようなものがあればこれは実現可能なものです。

この手の不正コードやマルウェア検知を行うサービスには２つの側面があります。一つ目は開発の段階でコードをセキュリティの観点からしっかりと検査して、マルウェアを始めとする不正コードや、望ましくない外部のシステムやサイトへのアクセスをするようなコーディングがされていないか、バックドアなどが誤って作られていないかなどを検査しようという側面です。二つ目は、手元にあるファイル（開発ソフトウェアに限らず）がマルウェアでないかを確認するという側面です。

レイ・イージス・ジャパンでは、上記二つの側面をカバーするサービスをクラウド上で利用できるサービスを開始しました。従来のコードスキャンでは検査できないタイプの不正なコードを検知するとともに、アンチウイルスやEDRでは検知できないようなものも広範囲にカバーしています。特に一つ目の側面に特化したローコストバージョンも近日中にサービス開始する予定で、まさにDevOpsやShift Leftといった流れに沿ったものと言えるでしょう。

話のついでなので、Shift LeftがあるならShift Rightもあるだろうという方向けにちょっとだけ話をさせてください。

Shift LeftとShift Rightの違い

Shift Leftは既に書かせていただいたように、セキュリティ検査などを含めて品質保証活動を前倒しして開発段階から行おうというものですが、Shift Rightは反対にそれらの活動を後ろ倒ししようというものです。つまり、製品がリリースされた後も継続的に使い勝手や機能の強化を継続することでユーザーの満足度を高めてゆくにあたって、継続的にセキュリティ面を含めた品質保証活動を行ってゆくということですが、毎日のように新たな脆弱性が発見される今日の状況においては、脆弱性診断などのセキュリティ面での検査も継続的に行う必要があるということが言えます。そのために、特に外部からのアクセスにさらされるシステムについては定期的な診断や、新しく発見された脆弱性の影響などを常に確認する必要があります。

皆さんはMaaSとかRaaSという言葉を聞いたことがありますか？MaaSというとMobility as a Serviceを思い描く方が多いのではないかと思いますが、セキュリティの世界では、RaaSと一緒に語られることが多いですが、Malware as a Serviceを指す言葉だと思ってください。ついでですが、RaaSはRansomware as a Serviceのことになります。

私たちがセキュリティの意識を高め対策をしつつある一方で、攻撃者たちも進化を続けています。色々な役者がそろって機能分化が進み、RaaSにおいてはマルウェアの開発、それらを現実のものとするデリバリー（運び屋とかアフィリエイトとか言われることもあります）、集金（金銭交渉）を担当するものなどに役割分担が進んでいます。

但し、昨今の世界状況（特にロシアによるウクライナ侵攻以降） 下では、この世界にも様々な影響が出てきているようで、もうけを独り占めしたいグループや人が分業ではなく全てを自分で行うというような流れも出てきているようです。

相変わらずDark webでは非常に安価に各種の攻撃ツールやトロイの木馬などを始めとする各種マルウェア、攻撃対象となる人や組織に関する情報などが活発に取引されているようです。

機能分化が進んだグループや、もうけを独り占めしようとする高度な技術をもった攻撃者、Dark webから安価にツールや情報を入手して攻撃をしかけるあまり技術レベルの高くない攻撃者たちまで、さまざまなタイプのものがあらゆる組織、人、システムの隙を伺っているということだけは肝に銘じておきましょう。そのための対策として各種のセキュリティ診断サービス、保護機能を持ったシステムの導入、マルウェアなどの検知（アンチウイルス、EDRや弊社がサービスしているような新たなサービスなど）の中から、費用対効果の高いものを選択して備えることが大事です。

１．不審なファイルを開かない

そうは言っても攻撃側も不審に見えないための工夫を一生懸命行ってきますので、なかなかこれは怪しいと判断することは難しいですね。送信側のアドレスも既に知っている人に似せたアドレスやあるいは取引先のドメインを使用するなどといったことも行われるので難しいですね。アンチウイルスソフトなどは最新の状態にすることで多少救われることもありますが、アンチウイルスをすり抜けるようなファイルを作ることもできますので気を抜くことはできません。出来ることであれば、受け取ったすべてのファイルを検知能力の高いSandboxや弊社のマルウェア検知サービスなどを利用して安全性が確認できるまで開かないということが出来ればよいのですが。

２．パスワードは簡単に推測されないものを設定し、外部に流出しないようにする

よくやってしまうのが、IDとパスワードの使いまわしですね。IDにメールアドレス、パスワードを使いまわししていると利用しているサービスから個人情報が流出した場合非常に危険な状態になります。知らないうちにどこかのECサイトで使っていたIDやパスワードが流出していて、その組み合わせを使って他のサービスに不正ログインされてしまうこともありますので使いまわしをしている人は即座にやめましょう。またパスワードはなるべく長く、数字、ローマ字の大文字小文字、記号などゆるされる限りの文字の種類を使って総当たりで簡単に当てられないようにしましょう。

３．システムの外部との出入り口をしっかりと守る

外部からの不正なアクセスからシステムを守るために、WAF、IPS（あるいはIDS）などの防御策を取りましょう。何も対策していないのは、玄関のカギを開けっぱなしで外出するのと同じような行為です。古き良き田舎町では通用したかもしれませんが、現代においては危険な行為です。

４．バックアップを取る（出来れば３つ、少なくとも１つはオフラインで保管）

万一悪意のある者たちによってシステムが攻撃を受け、データの改ざんや暗号化などを行われた際に頼りになるのはバックアップです。最近の高度な技術を持った攻撃者たちはネットワークに接続されたバックアップデータも攻撃対象にしてきます。その危険を避けるためにも、オフラインでのバックアップデータを持っていることが重要です。

５．ログ情報を精査する

攻撃者たちは常に隙を狙ってきます。さまざまな対策をかいくぐって侵入したり、攻撃を加えたりを行ってきますので、万一攻撃を受けた際の早急な復旧や事後対策のためにも一定期間のログ情報をきちんと保持し精査できる体制が必要です。フォレンジック調査においても、ログ情報がまったくないとほとんど調査もできないということになります。

６．パッチは素早く、頻繁に適用する

日々新しい脆弱性が公表されています。攻撃者たちは、新しい脆弱性のパッチが適用される前に楽に攻撃しようとする傾向がり、古い状態のままにしておくことは非常に危険です。脆弱性に対するパッチや対策版などがリリースされたら素早く適用しましょう。リモートワークの広まりとともにVPNシステムの脆弱性を突いた攻撃によって何らかの侵害を受けたシステムのほとんどが、パッチや新版の適用を行っていなかったというのは記憶に新しいところです。

このところの傾向として、ランサムウェアによってデータなどが暗号化されるだけではなく、暗号化前に入手したデータを公開すると脅して身代金を奪取するような事例も多くみられるようになってきました。

ランサムウェアに対しての対策は、上述のような多層的、多面的である必要があります。

レイ・イージス・ジャパンでは「Security is Not a Product;It’s Process」の精神で、最高水準で継続的な、セキュリティソリューションを提供しておりますので、セキュリティに関してお困りの際はお気軽にご連絡くださいませ。