サイバーセキュリティーサービスの比較・資料請求サイト|中小企業向けのセキュリティ対策を考える「サイバーセキュリティ」に関する情報メディア。日本の中小企業の情報を守るため、最新のセミナー・人材育成・製品・中小企業向けのセキュリティ対策を考えるサイバーセキュリティ情報サイトです。

マルウェアに感染した?原因究明や被害調査の対応方法を徹底解説

  • LINEで送る

マルウェア(malware)とは、安全上の脅威となる悪意あるソフトウェアの一種です。

かつては自己顕示欲の強いクラッカーが、技術をアピールしたり、相手にショックを与えたり等、愉快犯的な行為に用いられるものに過ぎませんでした。しかし現在は、金銭や情報の窃取など「サイバー犯罪ビジネス」のツールとしてマルウェアが用いられる時代になり、実害をもたらす「標的型攻撃」が増えています。

とくに近年のマルウェアの手口は非常に巧妙かつ狡猾であるため、セキュリティ対策に絶対安全はありません。もしマルウェアに感染してセキュリティ・インシデントが発生してしまった場合、どうすれば良いのでしょうか。

そこで今回はマルウェア感染で想定される被害事例から、マルウェア感染後の原因究明・犯罪捜査・法的紛争などに活用できる感染被害の調査方法まで徹底解説いたします。

マルウェアとは何か?

マルウェアとは、不正かつ有害な動作を行う目的で作成された悪意のあるソフトウェアの総称です。

マルウェアは様々な手法を用いて感染し、悪意のある行動を自動的に実行します。

マルウェアの代表的な種類

マルウェアは「コンピュータウイルス(Computer virus)」「ワーム(Worm)」「トロイの木馬(Trojan horse)」などをまとめた用語です。

これらのマルウェアには以下のような特徴があります。

形態 自己増殖
コンピュータウイルス 他のファイルに寄生 する
ワーム 単体で存在可能 する
トロイの木馬 無害ファイルになりすまし しない

マルウェア全体における上記3つのマルウェアの立ち位置は下図のようなイメージです。

マルウェアの種類の詳細については、下記にまとめました。

コンピュータウイルス

コンピュータウイルスはインターネット上に存在するマルウェアの一種で、他のファイルに寄生する性質を持ったマルウェアです。

PCやスマートフォンに侵入後、内部のファイルに寄生・改変することで増殖していきますが、単体で独自の活動を行うことはできません。

ワーム

ワームは、自身を複製して他のシステムに拡散させる性質を持ったマルウェアの一種です。

独自に活動することができないコンピュータウイルスとは異なり、独立したプログラムのため、拡散を媒介するファイルを必要としません。しかし、ネットワークを介して他のコンピュータに伝染していく点では共通しており、同一視されることもあリます。

トロイの木馬

トロイの木馬は、有用なソフトなどを装い(他のプログラムに隠れ)、そのプログラムを実行することで悪意のある行動を実行するマルウェアの一種です。他のプログラムに隠れているという点から、ギリシア神話におけるトロイの木馬になぞらえて名前がつけられました。

基本的に独自作動して拡散・増殖することがないため、この点で「ウイルス」「ワーム」とは区別されます。

その他のマルウェア・攻撃手法

マルウェアに感染させたり、ユーザーの情報を抜きとる方法としては、以下のようなものが有名です。詳細については各リンク先を参照してください。

マルウェア 主な特徴
スパイウェア ユーザーの個人情報を収集し、別の場所に送らせる
キーロガー パソコンやキーボードの操作の内容を記録する
ボット 攻撃者に遠隔操作されゾンビ化する
ランサムウェア 暗号化されたデータを人質に身代金を要求する
スケアウェア ユーザーの不安を煽ってソフトウェアを購入させる
ダウンローダー 別のマルウェアをダウンロードさせる
アドウェア 勝手に広告を表示するほか、個人情報を収集して別の場所に送らせる

 

攻撃手法 主な特徴
バックドア 攻撃者が入りやすい入口を設置するサイバー攻撃
ルートキット 遠隔操作に必要なマルウェアをセットで送りつけるサイバー攻撃

想定される症状・被害・感染経路

想定される主な症状

マルウェアに感染すると下記のような症状を引き起こしやすいとされています。

処理速度の低下

  • 何もしないのにPCが再起動を繰り返す
  • 突然電源が落ちた
  • 急に動作が以前に比べて遅くなり、PCが使い物にならなくなった

異常な動作

  • ブラウザのトップページが勝手に変わった
  • ポップアップ広告の表示が激しい

不正アクセス

  • SNSなどに不正ログインされた形跡がある
  • 不正送金された形跡がある

上記いずれかの症状に当てはまるの場合、一刻も早い感染確認・対応調査が必要です。

想定される主な被害事例

パスワード・ID情報を盗まれると…

  • 機密情報・顧客情報が外部に流出してしまう
  • 被害者本人になりすまして、利用しているネットバンクやECサイトに不正侵入・取引される
  • メールアカウントを盗まれ、勝手に「迷惑メール」「スパムメール」の送信元にされる

遠隔操作されると…

  • キーボードや操作状況を監視される
  • 爆破予告など犯罪行為のホストIPとして悪用され、加害者に仕立て上げられる
  • 最悪の場合、誤認逮捕される

マルウェアによる国内の被害事例は、下記の記事で詳しく紹介しているので参考にしてください。
サイバー攻撃(犯罪)・マルウェアによる被害事例はコチラ

想定される主な感染経路

感染経路としては、ネットワーク経由の「スパムメール」「標的型攻撃メール」「感染目的のWebサイトの閲覧」などです。なお、マルウェアが仕組まれた悪意のあるUSBメモリなど「物理メディア」を利用することでも感染する恐れがあるので全方位に注意が必要です。

OSやアプリの脆弱性を利用 最も代表的な感染経路。OSやアプリの脆弱性を利用して侵入
USBなどの外部ツール 出所不明なUSBメモリは、うっかり使わないように注意が必要
メールの添付ファイルによる感染 不審なアプリやファイルは、起動しない様に注意が必要
Webサイトの閲覧による感染 不審なサイトは、閲覧しない(あるいはファイルをダウンロードしない)様に注意が必要

マルウェア感染時の駆除方法

マルウェアに感染していることがわかった場合、放置することは厳禁です。場合によっては大変な被害を及ぼしますので、早急な対応が望まれます。
下記の4ステップを実施しましょう。

STEP1:ネットワークから切り離す

まず、ウイルスに感染していると気づいた時点で、関係先に感染を広げないため、パソコンはネットワークからは切り離しておく必要があります。

STEP2:標準搭載のセキュリティツールで駆除

Windows10の場合、マルウェアを検知・駆除できる「Windows Defender」というセキュリティソフトが標準搭載されています。

フルスキャン(「ウイルスと脅威の防止」から「高度なスキャン」で実行可能)で脅威が見つかった場合は、削除することも可能です。

フルスキャンの落とし穴

フルスキャン機能には、以下の「落とし穴」があります。

  • フルスキャンによって不正行為の有用な証拠を上書きしてしまう恐れがある
  • リアルタイム検知で検出されなかったケースではフルスキャンでも検出が難しい

また、1つの端末をフルスキャンして対応を終了する場合が大半ですが、マルウェアは他の端末にも感染していることも十分ありえます。たとえ1つの端末から脅威を駆除したとしても、それで安心しきるのは非常にリスキーだといえるでしょう。

マルウェア駆除が適切に行えているのか確認するには、[color color=”blue”]フォレンジック調査[/color]がおすすめです。

STEP3:ファイルなどのバックアップ

STEP2のセキュリティソフトで駆除が難しい場合は、OSの再インストールが必要になります。
出荷時の状態に戻すことになりますが、その前に必要なファイルなどバックアップにとりましょう。

ただし以下の点に注意してください。

  1. バックアップの際は、サーバやクラウドでなく、USBメモリなど、外部メディアにバックアップすること(感染が広がる可能性があるため)
  2. ウイルス駆除が出来なかったファイルは、バックアップしないこと(再度感染する可能性があるため)

STEP4:リカバリーや再インストール

Windowsのバージョンによって方法は異なりますが、Windows10の場合は内部プログラムで行えるため、ディスクを探す必要がありません。
下記の方法で行うことができますので参考にしてみてください。

Windows10のリカバリー方法
①スタートメニューを右クリック
②「設定」をクリック
③表示されるWindowsの設定画面で「更新とセキュリティ」をクリック
④「回復」をクリック
⑤PCを初期状態に戻す部分の「開始する」を選択

セキュリティソフトには限界がある

マルウェア対策は必要不可欠ですが、セキュリティソフトのウイルス対策機能は、確実に限界を迎えつつあるといわれています。

実際、シマンテック(現・ノートンライフロック)のブライアン・ダイ氏も「ウイルス対策ソフトの時代は終わった」「ウイルス対策ソフトが検知できるのは、攻撃全体の45%、残り55%の攻撃は防御できない」と発言しています(米紙『ウォール・ストリート・ジャーナル』2014年5月4日付)。

セキュリティソフトが完全ではない以上、サイバー攻撃などインシデント発生後の「証拠保全・分析・調査」が必要不可欠となります。

注意すべきポイント

セキュリティソフトでマルウェアを駆除してしまうと「どのような被害を受けたか」「何が盗まれたのか」「侵入経路はどこか」といった具体的な被害が分からなくなる恐れがあります。

不審なファイルやフォルダを発見した場合でも、攻撃者が残した重要な証拠となることがあるため、不用意に不審なデータを削除するのではなく、まずはバックアップを取るなどして、データを復元できる状況にしておくことが重要です。

もしマルウェアによる被害実態をきちんとした調査したいという方は、セキュリティソフトでマルウェアを駆除する前に、いつ何が原因だったのかを究明できる「フォレンジック調査」をおすすめします。

マルウェアの被害を調査するには

「マルウェアで不正アクセスされたかもしれない!」「クラッキングによるデータの改竄や情報流出の有無を明らかにしたい!」という場合は「フォレンジック調査」で事実確認を行う方法があります。

「フォレンジック調査」とは、犯罪の調査における法的証拠の収集を行う鑑識・調査/strong>を指します。

特に、1台のパソコンなどから「犯罪や不正の法的証拠となるデータを抽出」「意図的に削除されたデータを復元」するなどして「セキュリティ・インシデント」の実態を明らかにするフォレンジック調査を「コンピュータフォレンジック」と呼びます。こうしたフォレンジック調査はすでに世界中で行われており、様々な事件の解明に貢献しています。

コンピュータフォレンジックについては、下記のページで詳しくご説明しておりますので、ぜひご覧ください。

フォレンジック調査を行うメリット

コンピュータフォレンジックでは、マルウェア感染による不正行為の実態や、システムの現状を効率的に把握できます。また、調査で得られた情報は「法的証拠」として有用に活用できるため、不正に情報が流出したとしても、訴訟リスクの回避にも役立てられます。

なお、場合によって犯罪証拠のデータが隠蔽目的で削除されていることもあるため、この場合はフォレンジックの専門業者が、特殊な技術を用いてデータを復元・抽出することで、非常に高い精度で調査を行うことが可能となっています。

フォレンジックについての詳細は、下記の記事で詳しく紹介しているので参考にしてください。
(2020年最新版)おすすめフォレンジック業者ランキングはコチラ

おすすめの専門業者

おすすめのフォレンジック調査会社として「デジタルデータフォレンジック」を紹介します。

不正アクセスやハッキングのフォレンジック調査には、非常に高度な技術や専門知識が要求されますので、自社で調査を行うことが難しい場合は、フォレンジックの専門業者へ相談してみるのも一つの手といえるでしょう。自社で行うよりも適切かつ正確な調査を行えます。

デジタルデータフォレンジック


サイトデジタルデータフォレンジック

デジタルデータフォレンジックは国内売上No.1のデータ復旧業者が提供しているフォレンジックサービスです。

  • 端末、ネットワーク解析
  • 損害保険の鑑定業務
  • 各種インシデント対応
  • 警察への捜査協力
  • パスワード解除

マルウェア感染、不正アクセス、ハッキング調査など法人を対象とした社内インシデントに対応している専門性の高い業者であり、年中無休で無料相談も受け付けているため、突然のトラブルにもスムーズに対応することが出来ます。また警視庁からの捜査依頼実績も多数あることから実績面でも信頼ができ、費用面でも安心といえるでしょう。

費用 相談・見積り無料
調査対象 パソコン、スマートフォン、サーバ、外付けHDD、USBメモリ、SDカード、タブレット など
サービス 退職者調査、労働問題調査、社内不正調査、情報持出し調査、横領着服調査、ハッキング・不正アクセス調査、データ改竄調査、マルウェア・ランサムウェア感染調査など
特長 年中無休で無料相談が可能
11年連続国内売上No.1のデータ復元サービス
警視庁からの捜査協力依頼実績が多数あり

まとめ

今回はマルウェアの対応方法・調査方法について解説しました。

マルウェアは感染してから対処すると手遅れな場合も多いので、セキュリティソフトを導入して予防することをオススメします。

なお、マルウェアによるインシデントが発生した場合、サイバー攻撃の証拠をつかむ手段として、不正アクセスやハッキングを調査する「フォレンジック調査」が有効です。ただし、本格的なフォレンジックは、セキュリティや法的手続に関する知識も求められるため、調査には時間やコストが必要です。

もし自社のみでフォレンジック調査を行うのが難しい場合は、専門業者に依頼するのがおすすめです。

ただし、フォレンジック業者に丸投げするのではなく「業者でやること」と「自社でやらなければならないこと」を明確にして、協力しながら調査を行うことが大切です。業務に与える影響なども考慮しながら、バランスの良いフォレンジック調査を行いましょう。

あわせて、以下の記事もよく読まれています。

  • LINEで送る

情報漏洩セキュリティ対策ハンドブックプレゼント


メルマガ登録で、下記内容の「情報漏洩セキュリティ対策ハンドブック」プレゼント

1.はじめに


2.近年の個人情報漏洩の状況


3. 内部要因による情報漏洩
3-1.被害実例
3−2.内部犯行による被害統計情報
3-3.内部犯行による情報漏洩が増え続ける3つの原因
3-4.内部犯行を減らすための対策


4. 外部要因による情報漏洩
4−1.近年の個人情報漏洩の状況
4−2.実際の近年のサイバー攻撃による企業の被害実例
4−3.サイバー攻撃の統計情報
4-4.サイバー攻撃がふえ続ける5つの原因
4-5.急増する日本の企業のWEBサイト改ざんへの対策
4-6.サイバー攻撃の種類を把握しよう
4-7.日本におけるサイバー攻撃に対する国の対応と今後
4-8.外部要因による情報漏洩のセキュリティ対策

無料でここまでわかります!
ぜひ下記より無料ダウンロードしてみてはいかがでしょうか?


メルマガ登録はこちら

SNSでもご購読できます。