マルウェア
![]() |
サイバーセキュリティ |
---|
|
|
|
|
マルウェア (malware) とは、
マルウェアの
マルウェア (malware) は、「
種類 [編集 ]
![](https://upload.wikimedia.org/wikipedia/commons/thumb/e/ec/Malware_statics_2011-03-16-en.svg/300px-Malware_statics_2011-03-16-en.svg.png)
マルウェアの
広義 のコンピュータウイルスあるいは単 に広義 のウイルス文脈 によって定義 が様々 であるが、 「コンピュータウイルス対策 基準 」では、自己 伝染 機能 、潜伏 機能 、発病 機能 のいずれかをもつ加害 プログラムの事 をウイルスの定義 として採用 している[11]。後述 するワームやトロイの木馬 は狭義 のウイルスではないが、この意味 での広義 のウイルスには属 する[11]。最 広義 では「ウイルス」(virus) という語 はマルウェアと同義 であり[12][13]、マスメディアなどではこの最 広義 の意味 に用 いられるが、これは誤用 であるとされることもある[12]。狭義 のコンピュータウイルスあるいは単 に狭義 のウイルス他 のプログラムやファイルの一部 を書 き換 え(寄生 、感染 )、自己 複製 する機能 を持 つマルウェアのことである[10][14][11]。感染 対象 のプログラムの事 をウイルスの宿主 もしくはホストプログラム[14]という。感染 経路 を秘匿 するなどの目的 で、プログラムなどに感染 したあと一時 的 に潜伏 し、その後 しばらく経 ってから活動 を開始 (発病 )するものも多 い[11]。- ワーム
- ウイルス
同様 自己 増殖 するが、ホストプログラムを持 たず、単体 で存在 するプログラムの事 を指 す[10][14]。 - バックドア
型 外部 からコンピュータを操 るために作 られたコンピュータへの不正 な侵入 経路 の事 でRAT (Remote Administration Tool) とも呼 ばれる[15]。バックドアをしかけるマルウェアをバックドア型 と呼 ぶ[15][16]。- トロイの
木馬 一見 無害 なファイルやプログラムに偽装 した上 でコンピュータに侵入 したあと悪意 のある振 る舞 いをするものを指 すことが多 いが[10][14][17]、偽装 を行 わずにOS等 の脆弱 性 を悪用 して勝手 にインストールされてしまうもの(ドライブバイダウンロード)もトロイの木馬 に含 める場合 がある[18]。狭義 のウイルスと違 い自己 増殖 機能 は持 たない[10][18][15]。またトロイの木馬 の定義 として単体 で存在 し宿主 を必要 としないことを要件 に加 えるものもあるが[18]、これを要件 としない場合 もある[14]。- トロイの
木馬 の定義 として、コンピューター内部 に侵入 したあと攻撃 者 による外部 からの命令 で悪意 のある振 る舞 いをする[10][14][18]事 やバックドア型 である事 [18]を要件 にする場合 もある。 - スパイウェア
情報 収集 を主 な目的 とし[10]、コンピュータの内部 情報 を外部 に勝手 に送信 する[19]ソフトウェアで、ユーザーが気 づかないうちにパソコンにインストールしているパターンが多 い[10]。- IPAとJNSAの
定義 によればスパイウェアとは「利用 者 や管理 者 の意図 に反 してインストールされ、利用 者 の個人 情報 やアクセス履歴 などの情報 を収集 するプログラム等 」のことである[20][21]。 - スパイウェアはマルウェアの
一種 とみなすことが多 いが[19][22][7][23][24]、シマンテックはスパイウェアをマルウェアに含 めていない[10](クライムウェアには含 めている[25])。 - キーロガーもしくはキーストロークロガー[14]
- キーボードからの
入力 を記録 するプログラムのこと[26]で、キーロガーというものそれ自体 はマルウェアではなく、コンピュータの所有 者 自身 がデバッグのためにしかけるなどの使 い方 もあるが[26]、パスワードや個人 情報 などを奪取 するため悪意 を持 ってしかけられるなどマルウェア[26][14](スパイウェア[19])として用 いられることもある。同様 にネットワークを通 るパケットを監視 するスニッファも盗聴 目的 で使 われる場合 がある。 - ボット
- ボット
自体 は常駐 してチャットで会話 するなどといった機能 を持 つ任意 のプログラムを指 すもので、必 ずしもマルウェアを指 すものではない。マルウェアとしては、ボットネットと呼 ばれる仕組 みにより、IRCなどを利用 して攻撃 者 から命令 を受 け取 り、命令 に応 じてDDoS攻撃 やスパムメール送信 などを行 うマルウェア[27]を指 す。ボットに感染 したコンピュータによって構成 されたネットワークをボットネットもしくはゾンビクラスタという[27]。それに対 しボットネットに指令 を出 すサーバをC&Cサーバ (Command and Control server) という[28]。またボットなどの感染 により攻撃 者 による遠隔 操作 が可能 なコンピュータをゾンビマシンという[29]。 - ルートキット
攻撃 者 が被害 者 のコンピュータに侵入 したあとに用 いるツールを集 めたパッケージ[30]で、マルウェアとして被害 者 のコンピュータにしかける[31]。侵入 の発覚 を防 ぐログ改 ざんツール[30]、バックドアをしかけるツール[30]、キーロガー[30]、パスワードやクレジットカード情報 等 の窃盗 ツール[31]、DDoS攻撃 用 のボット化 ツール[31]、セキュリティソフトの無効 化 ツール[31]などが含 まれていることがある。こうした攻撃 を容易 にするため、システムバイナリを含 めたファイルを数 百 個 単位 で改竄 する[14]。ルート権限 を奪 うなど管理 者 レベルのアクセス権 を取得 する事 を定義 とする場合 もある[32]。又 、基本 的 にルートキットは隠蔽 されているので、普通 のセキュリティソフトでは見 つけられなく、専用 のセキュリティソフトでないと見 つける事 が困難 とされる。- ランサムウェア (ransomware)
- コンピュータをロックしたり
重要 なファイルを暗号 化 して読 めなくするなどして被害 者 を困 らせ,身代金 (ransom) を払 えば元 に戻 すと脅迫 するマルウェア[33]。 - スケアウェア (scareware)
- ユーザの
恐怖 (scare)心 を煽 る偽 の警告 メッセージ(「PCから違法 ポルノやウイルスが検出 された」等 )を表示 し、問題 を解決 するには所定 の金額 を支払 うようにと脅 すマルウェア[34][35]。 - ダウンローダー
- サイズの
小 さなマルウェアで、攻撃 者 のサーバから被害 者 のコンピュータに実行 ファイルなどをダウンロードする[15]などさらなる攻撃 の足 がかりにする。 - ドロッパー(Dropper)
本体 内部 に不正 なプログラムが格納 されており、実行 時 に実行 可能 ファイルに展開 する。暗号 化 や難読 化 、パッキングなどが施 されているため、簡単 には不正 プログラムとして認識 されないようになっている。- アドウェア (Adware)
- ユーザの
望 まない広告 を勝手 に出 すソフトウェアである。アドウェア又 はその中 の悪質 なものもマルウェアの範疇 に含 める場合 がある[5][6]。
- ワイパー
- ハードディスクドライブ
内 のデータを完全 消去 することを目的 としたもの。
セキュリティ技術 に対 する回避 技術 [編集 ]
セキュリティ
- セキュリティ
対策 の回避 : マルウェア対策 エンジン、ファイアウォール、アプリケーション隔離 などの保護 ツールによる検出 を回避 するために使用 される[36]。 - サンドボックスの
回避 :自動 分析 を検出 し、マルウェアの挙動 を報告 するエンジンを回避 するために使用 される。仮想 環境 に関連 するレジストリキー、ファイル、プロセスを検出 することで、サンドボックス内 で実行 されているかどうかをマルウェアに通知 する[36]。 分析 の回避 : マルウェア分析 を検出 して欺 くために使用 される。たとえば、Process ExplorerやWiresharkなどの監視 ツールを検出 するだけでなく、リバースエンジニアリングを回避 するために圧縮 や難読 化 などを行 う[36]。
ウイルスをはじめとしたマルウェアはセキュリティソフトに
- Crypter(クリプター): マルウェアの
実行 時 に、マルウェア対策 エンジンや静的 分析 による検出 を回避 するため、マルウェアの暗号 化 と復号 を行 う。クリプターは、攻撃 対象 に合 わせて作成 されることが多 く、闇 市場 で購入 することもできる。クリプターをカスタマイズすることで、復号 や逆 コンパイルがさらに困難 になる。既知 の高度 なクリプターとしては、Aegisクリプター・Armadillo・RDG Tejon などがある[36]。 - Packer(パッカー): クリプターと
似 ているが、マルウェアファイルの暗号 化 ではなく圧縮 を行 う。UPXが代表 的 なパッカーである[36]。 - Binder(バインダー):
複数 のマルウェアファイルを1つに結合 する。マルウェアの実行 ファイルの拡張子 を変更 せず、JPGファイルに結合 できる。マルウェア作成 者 は、正規 のEXEファイルにマルウェアファイルを結合 しようとする[36]。 - Pumper(ポンパー): ファイル サイズを
増 やす。これにより、マルウェア対策 エンジンによる検出 を回避 できる場合 がある[36]。 - FUD: マルウェアの
販売 者 がツールの説明 やアピールに使用 するもので、あらゆるマルウェア対策 ソフトで完全 に検出 不可 (FUD; Fully UnDetectable) であることを表 す。有効 なFUDプログラムは、スキャンタイムとランタイムの両方 を組 み合 わせ、100%検出 不可 を実現 する。既知 のFUDとして、次 の2種類 が知 られている[36]。 - Unique stub generator(ユニークスタブ ジェネレーター):
実行 中 の各 インスタンスに固有 のスタブを作成 し、検出 と分析 を困難 にする[36]。(スタブとは、通常 、元 のマルウェアファイルのメモリへの読 み込 み(復号 または解凍 )に使用 するルーチンが含 まれる。) - ファイルレス マルウェア: ディスクにファイルを
書 き込 むことはせず、自身 をメモリに挿入 することでシステムに感染 する[36]。 難読 化 : マルウェアのコードを簡単 に人 が理解 できないようにする。プレーンテキストの文字 列 をエンコード (XOR, Base64など) し、マルウェアファイルに挿入 したり、ジャンク関数 をファイルに追加 する[36]。- ジャンクコード:
無駄 なコードや偽 の命令 をバイナリに追加 し、逆 アセンブルを欺 いたり、簡単 に分析 されないようにする[36]。 - アンチ:
保護 ツールや監視 ツールの回避 、無効 化 、終了 に使用 するすべての手法 を指 す。地下 フォーラムや闇 市場 で使用 される[36]。 - Virtual machine packer(
仮想 マシン パッカー):仮想 マシンの概念 を取 り入 れた高度 なパッカーである。マルウェアの EXE ファイルが圧縮 されると、元 のコードが仮想 マシンのバイトコードに変換 され、プロセッサの動作 をエミュレートする。既知 のものではVMProtect、CodeVirtualizerでこの手法 が利用 されている[36]。
難読 化 : データ・変数 ・ネットワーク通信 を保護 する。変数 または関数 の名前 をランダム化 する。XORなどのエンコーディング方法 を使用 する[36]。環境 のチェック:仮想 環境 に関連 するツールやアーティファクトを検出 し、セキュリティソフトやベンダ等 の分析 を回避 する[36]。- サンドボックスの
検出 : サンドボックス関連 のファイルやプロセスを検出 するためにディスクをチェックする[36]。
感染 経路 [編集 ]
マルウェアは、
- Web
閲覧 感染 型 :ブラウザで閲覧 したサイトに埋 め込 まれたマルウェアをダウンロードし、感染 させるタイプである。サイトを見 ただけで感染 することもあり、インターネット利用 者 が自身 で感染 を認識 することが難 しくなっている。表示 された広告 を通 して感染 する場合 もある[39]。 - Web
誘導 感染 型 :メールに添付 されたURLをクリックし、アクセスしたサイトからマルウェアをダウンロードするよう誘導 して感染 させるタイプである。 偽 セキュリティソフト配布 サイト誘導 感染 型 : あたかも無料 のウイルス対策 ソフトのように見 せかけて、悪意 のあるプログラムをインストールさせようとする「偽 セキュリティソフト」の被害 が増 えている。その代表 的 な手口 は、ホームページなどで「あなたのコンピュータはウイルスに感染 しています」のようなメッセージを表示 し、利用 者 を偽 のウイルス対策 ソフトを配布 するWebサイトに誘導 するタイプである。- ネットワーク
感染 型 :Windows OS等 の基本 ソフトの設定 の不備 を悪用 し、感染 させるタイプである。 - メール
添付 型 :メールの添付 ファイルにマルウェアが埋 め込 まれており、この添付 ファイルをクリックすることにより、感染 させるタイプである。 外部 記憶 媒体 感染 型 :USBメモリ、デジタルカメラ、ミュージックプレイヤー等 の外部 記憶 媒体 を介 して感染 させるタイプである。- ファイル
共有 ソフト感染 型 : ファイル共有 ソフトでは、不 特定 多数 の利用 者 が自由 にファイルを公開 することができるため、別 のファイルに偽装 する等 の方法 で、いつの間 にかウイルスを実行 させられてしまうタイプである。暴露 ウイルスなどがその一 例 である。 - マクロプログラム
悪用 感染 型 :Officeアプリケーションでは、マクロを作成 する際 に、高度 なプログラム開発 言語 であるVBA (Visual Basic for Applications) を使用 できるため、ファイルの書 き換 えや削除 など、コンピュータを自在 に操 ることが可能 である。そのため、マクロウイルスに感染 した文書 ファイルを開 いただけで、VBAで記述 されたウイルスが実行 されしまい、脅威 となるコードが実行 されるタイプである。 - CMS
改 ざん型 :個人 や企業 が運営 するCMS(コンテンツマネジメントシステム・ワードプレスサイトの被害 が特 に多 い[40])の脆弱 性 を利用 して、管理 者 権限 を乗 っ取 ったうえで、不正 なコードをウェブサイトに埋 め込 む[41]。改 ざんによりマルウェアを埋 め込 まれたサイトはスパムメールの配信 元 となったり、そのサイトにアクセスしたユーザーを意図 しないサイトに転送 したりする。
マルウェアの検出 技術 [編集 ]
マルウェアの
- パターンマッチング
検出 技術 :セキュリティソフトなどがマルウェアを発見 するための、最 も一般 的 な方式 である[42]。セキュリティソフトは、パターンファイルと呼 ばれるマルウェアの特徴 (パターン)を記録 したリストを持 っている[42]。そして、そのリストとパソコン内 のファイルを比較 して、一致 すればマルウェアと判定 して除去 する[42]。これが、パターンマッチングと呼 ばれる方式 である[42]。パターンマッチングは、すでに存在 が知 られているマルウェアは間違 いなく検出 できる可能 性 が高 い[42]。ただし、そのためには常 にパターンファイルを最新 の状態 にしておく必要 がある[42]。新 しいマルウェアが登場 したとき、その存在 が知 られて、パターンファイルに新 しいマルウェアの情報 が登録 されるまでは効果 がない[42]。亜種 ・変種 といって、既知 のマルウェアを僅 かに改変 したマルウェアにも対応 できない[42]。 - ヒューリスティック
検出 技術 :ヒューリスティック検出 技術 とは、セキュリティソフトなどがマルウェアを探索 する際 に、パターンマッチングではなくマルウェアに特徴 的 な挙動 の有無 を調 べる手法 である[43]。ヒューリスティック検知 では、実行 ファイルの挙動 などを解析 し、ライブラリファイルの書 き換 えなど、一般 的 なプログラムではあまり見 られないような特異 な挙動 を探 し出 し、感染 したマルウェアによるものと類推 する[43]。未知 のマルウェアや亜種 などに対 して、ある程度 の対応 が可能 である。ただし、この方法 では未知 のマルウェアを100%発見 できるわけではなく、また、マルウェアではないものをマルウェアと誤認 する場合 もある[43]。 - サンドボックス
検出 技術 :パソコンの内部 に「サンドボックス」と呼 ぶ仮想 化 環境 を用意 して、そこで不審 なプログラムを動作 させてみてマルウェアかどうかを判定 する手法 である[44]。仮想 化 環境 でなら不審 なプログラムを動作 させても、実 環境 に被害 が及 ぶことはない[44]。 - ビヘイビアブロッキング(
振 る舞 い検知 )技術 :サンドボックス検出 技術 のサンドボックス上 の実 環境 におけるプログラムの挙動 を見 てウイルスを検出 するものを「振 る舞 い検知 」あるいは「ビヘイビアブロッキング」と呼 ぶ[44]。 - ジェネリック
検出 技術 :短期間 に大量 発生 するウイルスの亜種 に迅速 に対応 する検出 技術 として採用 されているのがジェネリック検出 である[45]。ジェネリック検出 では、特定 のマルウェアの既知 の亜種 から共通 点 を抽出 し、既知 の亜種 だけでなく亜種 と想定 される複数 のマルウェアを検出 する[45]。また、パターンマッチング方式 では検出 できない新 しい亜種 であっても、共通 点 が一致 していれば発生 した時点 で検出 できる[45]。 - パッカー
検出 技術 :使 われたパッカー・クリプターなどのコード改変 ツールの「種類 」から、怪 しいかどうかを判定 してマルウェアの疑 いのあるファイルを検出 する手法 である[45]。マルウェアに使 われることの多 いコード改変 ツールが利用 されたファイルを、疑 わしいファイルとして検出 する[45]。 - ホストベース
不正 侵入 検知 システム (Host-based Intrusion Detection System, HIDS) :Host IDSはシステム設定 の変更 を行 ったユーザーや設定 ファイルの変更 箇所 など、ファイルやレジストリへの変更 をリアルタイムで監視 し不正 動作 を検出 する手法 である[46]。 - ホストベース
不正 侵入 防止 システム (Host-based Intrusion Prevention System, HIPS) :アプリケーションに対 しての最小 権限 アクセス制御 機能 によりゼロデイ攻撃 を防 ぎ、承認 されたアプリケーションのプロセスであっても所定 の動作 に制限 し、不正 な攻撃 からシステムを防御 する手法 である[46]。 - エクスプロイト
対策 技術 :アプリケーション(PDFビューア・ブラウザなど)の脆弱 性 を突 くエクスプロイト攻撃 により、パソコンが不正 侵入 を受 けないように保護 する機能 である[47]。一般 的 なエクスプロイト対策 としてはアプリケーションを最新 の状態 に更新 することが非常 に重要 であるが、未知 のエクスプロイト攻撃 があった場合 、更新 を行 っているだけでは完全 に防 げない可能 性 がある[47]。どうしても防 ぎきれない未知 のエクスプロイト攻撃 から出来 る限 りパソコンを保護 する機能 である。脆弱 性 攻撃 防御 技術 とも呼 ばれる。
脚注 [編集 ]
- ^ a b NIST p=11
- ^ a b トレンドマイクロ:セキュリティ
用語 集 - ^
有害 なソフトウェア-英語 翻訳 -bab.la辞書 - ^ OS X Yosemite:
有害 なソフトウェアを避 ける方法 - ^ a b IT
用語 辞典 e-words「マルウェア」 2016年 7月 30日 閲覧 - ^ a b ITPro Networkキーワード「マルウェア」
- ^ a b コンピュータへの
脅威 : FAQカスペルスキー。2016年 7月 29日 閲覧 - ^ weblio IT
用語 辞典 バイナリ「クライムウェア」 2016年 7月 29日 閲覧 - ^ カスペルスキー「クライムウェア」
- ^ a b c d e f g h i Norton Blog「マルウェアとウイルスの
違 い|端末 保護 の基本 をシンプルに知 る」2014.11.10 2015年 7月 29日 閲覧 - ^ a b c d IPAネットワークセキュリティ
関連 用語 集 「ウイルス」 - ^ a b IT
用語 辞典 e-words「マルウェア」 - ^
基礎 から学 ぶ!サイバー攻撃 対策 のポイント外部 からやってくる多種 多様 なウイルスたち ITPro Active 2016年 7月 30日 閲覧 - ^ a b c d e f g h i NISTp=19-28
- ^ a b c d マルウェアにはどんな
種類 がある? KASPERSKY Lab Daily - ^ IT
用語 辞典 BINARY「バックドア型 」 2016年 7月 29日 閲覧 - ^ IT
用語 辞典 BINARY「トロイの木馬 」 2016年 7月 29日 閲覧 - ^ a b c d e Norton Blog「トロイの
木馬 とは? | ウイルスとの違 いや感染 被害 例 について」 2014.12.19 2016年 7月 29日 閲覧 - ^ a b c
日本 ネットワークセキュリティ協会 「マルウェアとは」 2016年 7月 29日 閲覧 - ^ JNSA「スパイウェア
対策 啓発 」 2016年 7月 29日 閲覧 - ^ IPA「パソコンユーザのためのスパイウェア
対策 5箇条 」 2016年 7月 29日 閲覧 - ^
情報 セキュリティ読本 四 訂 版 -IT時代 の危機 管理 入門 -(第 3章 見 えない脅威 とその対策 -個人 レベルのセキュリティ対策 -) (パワーポイント)、4頁 , IPA。 2016年 7月 29日 閲覧 - ^
第 5回 :今 だから学 ぶ! セキュリティの頻出 用語 : マルウェアとは? McAfee Blog 2015年 7月 1日 。2016年 7月 29日 閲覧 - ^ ACTIVE(
総務 省 による官民 連携 マルウェア対策 プロジェクト)のマルウェアQ&A「マルウェアについて」 「マルウェアは、ウイルスとは違 うのですか?」への返答 のところでスパイウェアをマルウェアに含 めている。2016年 7月 29日 閲覧 - ^ Norton「クライムウェア: トロイの
木馬 とスパイウェア」 2016年 7月 29日 閲覧 - ^ a b c IT
用語 辞典 e-words「キーロガー」 2016年 7月 30日 閲覧 - ^ a b IT
用語 辞典 e-words「ボット」 2016年 7月 30日 閲覧 - ^ IT
用語 辞典 BINARY「C&Cサーバー」 2016年 7月 30日 閲覧 - ^ IT
用語 辞典 e-words「ゾンビPC」 - ^ a b c d IT
用語 辞典 e-words「ルートキット」 - ^ a b c d ルートキットとは
何 か — その動作 と感染 した場合 に取 るべき措置 KASPERSKY Daily 2013年 3月 28日 。2016年 7月 30日 閲覧 。 - ^ シマンテック「Rootkit(ルートキット)」
- ^ ランサムウェア Trend Micro。2016
年 7月 30日 閲覧 。 - ^
組織 化 するサイバー犯罪 に対 し、FTC、FBIを支援 McAfee Blog 2010年 8月 10日 。2016年 7月 30日 閲覧 - ^ スケアウェア
感染 から復旧 するまでの 7 つのステップ KASPERSKY Lab 2012年 11月7日 。2016年 7月 30日 閲覧 - ^ a b c d e f g h i j k l m n o p q r s t u v w x McAfee Labs
脅威 レポート 2017年 6月 - ^ a b c ACTIVE「マルウェアについて
知 る」 - ^ ウイルスの
感染 経路 -国民 のための情報 セキュリティサイト - ^ “Yahoo!の
広告 からマルウェアが送 り込 まれて何 千 人 も感染 する事態 が発生 ”. GIGAZINE (2014年 1月 6日 ). 2017年 12月21日 閲覧 。 - ^ 「Hacked Website Report 2017
- ^ 「ワードプレスのマルウェア・リダイレクトハックの
手法 の分析 - ^ a b c d e f g h
用語 解説 辞典 -【公式 】NTTPC - パターンマッチング - ^ a b c ヒューリスティック
検知 とは? - IT用語 辞典 - ^ a b c Networkキーワード - ヒューリスティック:ITpro
- ^ a b c d e ASCII.jp:
大量 の亜種 を検出 するために - ^ a b Symantec Critical System Protection
- ^ a b マニュアル - G DATA インターネットセキュリティ
関連 項目 [編集 ]
- コンピュータウイルス
- ワーム
- スパイウェア
- アドウェア
- バッドウェア
- ボットネット
- クラッカー
- ソフトウェア
- アンチウイルスソフトウェア
- インターネットセキュリティスイート
- モバイル
決済 - アダルトサイト
外部 リンク[編集 ]
- マルウェアの
定義 : FAQ - Microsoftによるマルウェア解説 - “マルウェアによるインシデントの
防止 と対応 のためのガイド” (PDF).米国 国立 標準 技術 研究所 (NIST) (2005年 11月). 2016年 7月 29日 閲覧 。 - Monnappa,K.A.:「
初 めてのマルウェア解析 Windowsマルウェアを解析 するための概念 、ツール、テクニックを探 る」、オ ーム社 、ISBN 978-4-87311-929-8(2020年 12月15日 )。