レイヤーと役割で考えるセキュリティ ~アンチマルウェア~
はじめに
スマートフォンやパソコンなどデバイスの普及が進み、最新情報の取得や非対面でのコミュニケーションが容易になり、利便性を増す一方で、マルウェア感染のリスクも高まっています。皆様の中には、効果的なサイバーセキュリティ対策を取りたくても、具体的にどの手法・製品を活用したらよいかと悩んでいる方も多くいらっしゃるのではないでしょうか。
そこで今回は、サイバー攻撃の中でマルウェアの有効な対策となるアンチマルウェアについてご紹介します!
マルウェア感染がもたらすリスク
マルウェア感染によって、具体的に企業はどんなリスクを背負うこととなるのでしょうか。最大の脅威は、社内情報の流出や破壊です。顧客や従業員の個人情報流出や、社外秘のプロジェクトの情報流出は、甚大な二次被害や深刻なブランド既存をもたらします。
また、社内システムの停止やシステムロックの解除に伴う身代金の要求も近年増加傾向にあります。マルウェア感染によって事業の継続性が失われ、莫大な機会損失を被る恐れもあるでしょう。
有効なマルウェア対策とは
上述のようなリスクは、残念ながら現在は絶対に回避することはできません。そのため企業が取り組めるのは、リスクが現実のものとなる確立を最小限に抑えたり、攻撃を受けた際の被害を最小限にとどめることです。
最低限取り組みたいのは、基本的なセキュリティソフトの導入やセキュリティアップデートの頻繁な更新です。また、不審なメールを無闇に開封しないなどのセキュリティリテラシーも見直すことで、ヒューマンエラーを回避しなければなりません。
TCP/IPとは
サイバー攻撃をレイヤーの観点から切り分けるために、今回はTCP/IP(Transmission Control Protocol/Internet Protocol)を利用します。
TCP/IPとは、インターネット・プロトコル・スイートとも呼ばれ、世界標準的に利用されている通信プロトコルです。全部で4層からなる階層モデルを採用しており、インターネット通信の安全な利用を実現します。各層の名称と対応する主なサイバー攻撃は下表の通りです。
| 階層 | TCP/IP | 主なサイバー攻撃 |
| 第4層 | アプリケーション層 | SQLインジェクションクロスサイトスクリプティング |
| 第3層 | トランスポート層 | IPアドレス偽装SYNフラッド攻撃 |
| 第2層 | インターネット層 | IPアドレス偽装 |
| 第1層 | ネットワークインターフェース層 | MACアドレス偽装データセンター等への侵入 |
第4層は、Webサイトの閲覧やメール利用などに伴うアプリケーション利用に関するプロトコルを定義しています。SQLインジェクションや、クロスサイトスクリプティングによる攻撃から守る上で重要です。
第3層は、データの送受信の安全性を担保するためのトランスポート層です。TCPやUDPといったプロトコルを採用し、IPアドレスの偽装などに備えます。
第2層は、IPプロトコルなどを管理するためのインターネット層です。IPアドレスの偽装などに備えるべく、異なるネットワーク間を移動するパケットを管理します。
第1層は、ネットワークインターフェース層です。同ネットワーク内におけるデータ転送をサポートするため、個別のMACアドレスを特定することができます。
レイヤーごとに考えるセキュリティ対策
サイバー攻撃への効果的な対策への一歩として、ネットワークのどの箇所がどのように狙われる可能性があるのかを理解することが必要です。前述したTCP/IPを把握し、ネットワークを階層として捉えることで、適切なセキュリティ対策を検討する事が可能となります。
本記事のテーマであるアンチマルウェアは、TCP/IPの主にアプリケーション層を狙ったサイバー攻撃に有効な対策となります。
アプリケーション層の通信プロトコルには、HTTPやSMTP、POP3通信が含まれます。これはメールやWebサイトの閲覧等に関わり、メールの添付ファイルや改ざんされたWebサイトにマルウェアを潜ませることで、標的へ感染させるのが特徴です。マルウェアに感染した場合、被害が確認できるまでは感染に気づかないことも多く、すでにサーバーやPCにインストールされている可能性も十分にありえるでしょう。
マルウェアとは?
それでは、本記事のテーマとなるマルウェアについて解説していきます。
「マルウェア」とは、英単語の”malicious(悪意のある)”と”software”を組み合わせた造語であり、ユーザーのデバイスに不利益をもたらす悪意のあるプログラムやソフトウェアの総称です。
マルウェアに感染してしまうと、デバイスに保存されている機密情報の漏えいや個人情報の不正利用、サイバー攻撃の踏み台に利用されてしまうなどの被害がもたらされます。
その感染経路は様々で、メールの添付ファイルの開封やWebサイトへのアクセス、ソフトウェアのインストールなど日々何気なくしている行為に仕掛けられ、気が付かないうちに感染、そこからさらに被害を拡大させてしまうこともあります。
マルウェアの種類とその脅威
マルウェアにもさまざまな種類があり、それぞれ感染経路やもたらす被害が異なります。ここでは、いくつかのマルウェアを取り上げ、実際の被害とともにご紹介します。
1. ウイルス
ウイルスは悪意のあるソフトウェア全般を指す言葉、つまりマルウェアと同じ意味で使われることもあります。対象に感染し、自身のコピーを増殖させますが、感染しているファイルの開封などが無ければ被害はありません。
主な感染経路は、フィッシングメールなどを使ったWeb誘導、USBなどのリムーバブルメディア経由などです。
事例
2021年12月、「業務スーパー」を展開する国内企業は、同社サーバーがサイバー攻撃を受け、個人情報や一部企業情報が外部に流出したことを明らかにした。
発覚の経緯は、本社で利用するサーバーで共有ファイルが開けなくなり、メールが届かない不具合が発生したためとしている。その後、外部との通信を遮断し、システムの復旧を行った。
2. トロイの木馬
トロイの木馬とは、一見、無害なプログラムを装って侵入し、さまざまな攻撃をするのが特徴のマルウェアです。
名前の由来はギリシャ神話の「トロイの木馬」であり、安全なプログラムを装いユーザーを油断させてパソコンやシステム内部に侵入し、攻撃を仕掛けるといった挙動が、ギリシャ神話のトロイの木馬によく似ていることからそう呼ばれています。
事例
2019年、某公立大学で職員のパソコンがトロイの木馬に感染し、膨大な件数のメールの情報が流出するという被害が発生。メールが感染経路であり、メールの送信元が実際に存在する雑誌社だったので油断してリンクにアクセスしたところ、感染してしまった。
3. ランサムウェア
ランサムウェアとは、感染したコンピュータをロックして操作不能にする、格納されているファイルを暗号化するなどの被害をもたらし、その復旧のために多額の身代金を要求するマルウェアを指します。名前の由来は身代金(ransom)とソフトウェアを組み合わせた言葉となります。
感染経路としてはメールの添付ファイル、攻撃用に改ざんされたWebサイトを閲覧させることなどが挙げられます。
事例
2021年10月末、国内の公立病院がランサムウェア攻撃を受け、電子カルテが暗号化され閲覧不可になったほか、診療報酬計算や電子カルテ閲覧に使用する基幹システムが使用不能になったため、新規患者の受け入れを停止。
病院は、身代金要求には応じず、同年12月29日にサーバーを復旧させ、2022年1月4日から通常診療を再開。
紹介させていただいたのはほんの一部の例です。その脅威の一端でも知っていただき、セキュリティへの関心を高めていただければ幸いです。
アンチマルウェアを使用するメリットは?
前項にて紹介させていただいた通り、マルウェア感染は企業や個人に大規模な損害をもたらしており、対策はもはや必須レベルとなっています。
マルウェア対策は、不要なアプリケーションやソフトウェアのダウンロードをしない、不審なメールの添付ファイルは開かないなどといった個人レベルの対策も極めて重要となりますが、誤ってクリックしてしまったり安全だと思ってダウンロードしてしまったりといったことも起こりえます。
そのため、より対策の効果、確実性を上げるために導入されるのが「アンチマルウェア」です。ここではその代表的な機能について紹介します。
アンチマルウェアの機能
アンチマルウェアを活用することで、以下のような対策を施すことができます。
1. マルウェアの検知および駆除
デバイス内のフォルダやファイルなどをスキャンし、これまでに発見されているデータと照合することによってウイルスやマルウェアの検知を行い、必要に応じて駆除を行います。これらの作業は手動で行うことは困難であるため、アンチマルウェアが欠かせません。
2. Webフィルタリング
有害サイトや業務に関係のないサイトなどへのアクセスを制限します。ブラックリスト方式、ホワイトリスト方式などといった手法でフィルタリングを行います。感染リスクを伴うサイトへのアクセスを制限すれば、うっかりマルウェアに感染してしまうケースを減らせるでしょう。
3. メールの保護
添付ファイルのウイルスチェックや、迷惑メール対策、フィッシング攻撃の検知などを行います。メールからのマルウェア感染は極めて悪名高い感染ルートであるため、徹底した対策が必要です。
4. 自動アップデート
プログラムなどを自動的に更新することで、システムを常に最新で安全な状態に保つことができます。セキュリティアップデートの更新が遅れてしまうと、それだけで深刻なリスクが生まれてしまうことを認識しましょう。
アンチマルウェアの導入および運用のポイント
保護対象のネットワーク環境やWebサーバーの台数に応じて適切な種類のアンチマルウェアサービスを選択することがポイントです。ネットワーク構成を変更できない場合は、アンチマルウェアをクラウドサービスとして提供を受けるクラウドサービス型やサーバー自体に、ソフトウェアをインストールするソフトウェア型のアンチマルウェアが選択肢となります。
マルウェアやサイバー攻撃も進化しているため、アンチマルウェアのパターンファイルはもちろん、OS、脆弱性対策パッチなども常に最新の状態に保ち、マルウェア対策に後れを取らないようにすることが非常に重要です。
また、組織内でこれらの体制・人員をまかなうことが難しい場合は、比較的運用の負担が少ないクラウドサービス型を選択するか、運用自体をアウトソーシングすることを検討してみてもよいかもしれません。
おわりに
今回は、マルウェアの特徴やアンチマルウェア運用のポイントについてご紹介しました。マルウェアの感染は、組織に甚大な被害をもたらすだけでなく、事業の継続性をも失う恐れがあります。マルウェアの脅威からその対策の重要性を知っていただき、アンチマルウェア導入検討の一助となれば幸いです。マルウェアの感染を防ぐための多様なアプローチに注目し、リスクを最小限に抑えましょう。
また、今回ご紹介したアンチマルウェアの運用に関して、JIG-SAWでは、LinuxサーバーやWebサーバーなどのウイルス対策をワンストップで実現する「 マネージドWithSecureサービス」を提供しております。
ご要望に合わせて最適なご提案をさせて頂く事も可能ですので、 こちらのサイトをご参照の上、お気軽にご相談ください。
この記事をシェア
