サイバーセキュリティーサービスの比較・資料請求サイト|中小企業向けのセキュリティ対策を考える「サイバーセキュリティ」に関する情報メディア。日本の中小企業の情報を守るため、最新のセミナー・人材育成・製品・中小企業向けのセキュリティ対策を考えるサイバーセキュリティ情報サイトです。

マルウェアに感染した?原因究明や被害調査の対応方法を徹底解説



マルウェア(malware)とは、悪意ある有害なソフトウェアの一種です。

マルウェアは金銭や情報の窃取など「サイバー犯罪ビジネス」のツールとして作成されたもので、コンピュータに侵入すると安全上の脅威となります。悪質なことに、近年のマルウェアの手口は非常に巧妙になっており、情報漏えい被害も多数発生しています。

セキュリティ対策に「絶対安全」と言い切れる対策はありません。

もしマルウェアに感染し、セキュリティ・インシデントが発生してしまった場合は、どうすればいいのでしょうか。

今回はマルウェア感染で想定される被害事例から、マルウェア感染後の原因究明、被害全容を調査する方法まで徹底解説いたします。

マルウェア感染の症状

PCがマルウェアに感染した場合

マルウェアに感染すると、基本的にコンピュータの動作は重くなります。理由としては、通信量が増加したり処理が追い付かずコンピュータのメモリを圧迫するためです。仮想通貨の採掘(マイニング)に利用される、あるいは複数端末から大量のパケットを送りつけるDDos攻撃の踏み台に使用されることもあります。特にパソコンの場合、不審な画面が表示されるなど、挙動があからさまにおかしくなることもあります。

パソコンがマルウェアに感染した際、よく見受けられる症状を以下に紹介します。

処理速度の低下・異常終了

  • 何もしないのに、PCが再起動を繰り返す
  • 動作が以前に比べて遅くなる
  • 突然、電源が落ちる

異常な動作

  • ブラウザのトップページが勝手に変わった
  • ポップアップ広告の表示が激しい
  • 勝手にメールを送信する
  • 身に覚えのない履歴がある

スマホがマルウェアに感染した場合

スマホがマルウェアに感染すると、周囲に感染を広げるため、電話帳に登録されている知り合いにスパムメールを送信させられることがあります(この際、データ通信量が一気に増えることがあります)。

スマホがマルウェアに感染した際、よく見受けられる症状を以下に紹介します。

システム異常

  • データ通信量が異常に増加する
  • 購入してから間もないスマホの充電がすぐに減る
  • バッテリーの消費が早く、発熱する

アプリが異常を起こす

  • 身に覚えのないログイン履歴がある
  • SNSのフォロワーに不審なDMが送信されている
  • カメラアプリが勝手に起動する
  • 外部にデータを送信した形跡がある

身に覚えのない請求が届く履歴がある

  • 身に覚えのない送金・購入・通話などの履歴がある
  • 身に覚えのない請求メールが届く

上記いずれかの症状に当てはまる場合、スマホがマルウェアによって遠隔操作されている可能性が高いため、一刻も早い感染確認と対応調査が必要です。

>>マルウェア感染時のおすすめの調査業者はこちら

マルウェアの代表的な種類

マルウェアは「コンピュータウイルス(Computer virus)」「ワーム(Worm)」「トロイの木馬(Trojan horse)」などをまとめた用語です。それぞれ、様々な手法を用いて感染し、悪意のある行動を自動的に実行します。

これらのマルウェアには以下のような特徴があります。

形態 自己増殖
コンピュータウイルス 他のファイルに寄生 する
ワーム 単体で存在可能 する
トロイの木馬 無害ファイルになりすまし しない

マルウェア全体における上記3つのマルウェアの立ち位置は下図のようなイメージです。

マルウェアの種類の詳細については、下記にまとめました。

コンピュータウイルス

コンピュータウイルスはインターネット上に存在するマルウェアの一種で、他のファイルに寄生する性質を持ったマルウェアです。

PCやスマートフォンに侵入後、内部のファイルに寄生・改変することで増殖していきますが、単体で独自の活動を行うことはできません。

ワーム

ワームは、自身を複製して他のシステムに拡散させる性質を持ったマルウェアの一種です。

独自に活動することができないコンピュータウイルスとは異なり、独立したプログラムのため、拡散を媒介するファイルを必要としません。しかし、ネットワークを介して他のコンピュータに伝染していく点では共通しており、同一視されることもあリます。

トロイの木馬

トロイの木馬は、有用なソフトなどを装い(他のプログラムに隠れ)、そのプログラムを実行することで悪意のある行動を実行するマルウェアの一種です。他のプログラムに隠れているという点から、ギリシア神話におけるトロイの木馬になぞらえて名前がつけられました。

基本的に独自作動して拡散・増殖することがないため、この点で「ウイルス」「ワーム」とは区別されます。

その他のマルウェア・攻撃手法

マルウェアに感染させたり、ユーザーの情報を抜きとる方法としては、以下のようなものが有名です。詳細については各リンク先を参照してください。

マルウェア 主な特徴
スパイウェア ユーザーの個人情報を収集し、別の場所に送らせる
キーロガー パソコンやキーボードの操作の内容を記録する
ボット 攻撃者に遠隔操作されゾンビ化する
ランサムウェア 暗号化されたデータを人質に身代金を要求する
スケアウェア ユーザーの不安を煽ってソフトウェアを購入させる
ダウンローダー 別のマルウェアをダウンロードさせる
アドウェア 勝手に広告を表示するほか、個人情報を収集して別の場所に送らせる

 

攻撃手法 主な特徴
バックドア 攻撃者が入りやすい入口を設置するサイバー攻撃
ルートキット 遠隔操作に必要なマルウェアをセットで送りつけるサイバー攻撃

マルウェア感染による被害事例

コンピュータウイルス/ワーム

コンピュータウイルス(以下、ウイルス)とワームは、ネットワークを経由して他の端末に伝染するマルウェアで、主にデータの窃取・改ざん・破壊などの被害をもたらします。

ウイルスとワームには、主に次のような特徴があります。

  • ウイルス:他のプログラムに寄生することで増殖・感染し、ネットワークを通じて伝染する
  • ワーム:感染対象を必要とせず、侵入した直後から単独で動作し、爆発的な勢いで自己増殖を行う

いずれも「自己増殖する」特性から、感染した端末のリソースをあっという間に占拠し、PCの処理速度を著しく低下させられることは珍しくありません。また、ワームは伝染力の高さから、世界的感染(アウトブレイク)を引き起こすことがあります。たとえば、ワーム型ランサムウェア「WannaCry」は150カ国以上で流行し、約30万台が被害に遭いました。

ウイルスやワームによって端末が遠隔操作されると、主に次のような被害が起こります。

  • キーボードや操作状況を監視される
  • 大量のスパムメールを送信させられる
  • 仮想通貨を採掘(マイニング)させられる
  • ネットワーク上の端末が暗号化される/身代金を要求される
  • 犯罪行為の加害者に仕立て上げられる
  • 最悪の場合、誤認逮捕される

トロイの木馬

トロイの木馬は、ユーザーに気づかれないように侵入し、様々な攻撃を仕掛けます。ウイルスやワームと違い「自己増殖しない」「あからさまな症状が出ない」などの特徴があるほか、バックグラウンドで情報収集し、周囲に攻撃を広める点では、スパイの諜報活動とよく似ています。

このマルウェアは感染した端末から他の端末に侵入・感染することはありませんが、近年はスパムメールを自動生成し、それを関係者に送信するなど、感染力が高いタイプも増えてきています。

トロイの木馬によって端末が遠隔操作されると、主に次のような被害が起こります。

パスワード・個人情報を盗まれる

  • 機密情報・顧客情報が外部に流出してしまう
  • ユーザーのキーボード操作が勝手に記録され、攻撃者に送信される
  • 被害者本人になりすまされ、ネットバンクやECサイトに不正侵入・取引される

サイバー攻撃の踏み台にされる

  • マルウェアが入ったスパムメールの送信元にされる
  • SNSなどにマルウェアに誘導する不正な投稿が行われる
  • ネットワーク上の端末が全て暗号化され、身代金を要求される

サイバー攻撃・マルウェアによる国内の被害事例は、下記の記事で詳しく紹介しているので参考にしてください。

想定される主な感染経路

想定される感染経路としては、オンライン上のスパムメールだけでなく、USBメモリなどオフラインのメディアを経由することもあります。ここでは代表的な感染経路を4つ見ていきましょう。

OSやアプリの脆弱性を利用

OSやアプリの脆弱性を利用して侵入するのは、代表的な感染経路です。古いOSやアプリには脆弱性がある可能性が高く、ネットワーク上から不正侵入され、マルウェアを仕込まれることがあります。

その意味で、ネットワークにつながっている機器は、たった数か月前のバージョンであっても、感染経路となる可能性があり、非常に危険です。OSやアプリのアップデートは必ず欠かさず、自動でアップデートできるものは「手動更新」でなく「自動更新」の設定にしておきましょう。

USBメモリなどの外部ツール

出所不明なUSBメモリは、うっかり使わないように注意が必要です。攻撃者(産業スパイ)が潜ませたUSBメモリによって、マルウェアが直接インストールされた事例もあります。

身近に攻撃者がいる場合、あなたが目を離した隙を狙って端末にトロイの木馬を仕掛けるかもしれません。身に覚えのないメディアは絶対にコンピュータに接続してはいけません。

メールの添付ファイルによる感染

もっとも多い感染経路は、スパムメールの添付ファイルです。もしファイルをダウンロー・開封すると、トロイの木馬などのマルウェアが実行されてしまいます。

不審なアプリやファイルは、起動しない様に注意が必要

感染目的のWebサイトの閲覧

これはSMSやメールに添付されたURLにアクセスし、マルウェアがダウンロードされることで起こります。ただ、マルウェアを梱包したファイルやexeソフトウェアをインストールしても、多くの場合、そのまま削除すれば、問題を起こさないこともあります。

問題はファイルをクリック・解凍し、マルウェアを有効化することで起こります。不審なサイトは「閲覧しない」もしくは「ファイルをダウンロードしない」よう注意が必要です。

マルウェア感染時の駆除方法

マルウェアに感染していることがわかった場合、放置することは厳禁です。場合によっては大変な被害を及ぼしますので、早急な対応が望まれます。
下記の4ステップを実施しましょう。

STEP1:ネットワークから切り離す

まず、ウイルスに感染していると気づいた時点で、関係先に感染を広げないため、パソコンはネットワークからは切り離しておく必要があります。

STEP2:標準搭載のセキュリティツールで駆除

Windows10の場合、マルウェアを検知・駆除できる「Windows Defender」というセキュリティソフトが標準搭載されています。

フルスキャン(「ウイルスと脅威の防止」から「高度なスキャン」で実行可能)で脅威が見つかった場合は、削除することも可能です。

フルスキャンの落とし穴

フルスキャン機能には、以下の「落とし穴」があります。

  • フルスキャンによって不正行為の有用な証拠を上書きしてしまう恐れがある
  • リアルタイム検知で検出されなかったケースではフルスキャンでも検出が難しい

また、1つの端末をフルスキャンして対応を終了する場合が大半ですが、マルウェアは他の端末にも感染していることも十分ありえます。たとえ1つの端末から脅威を駆除したとしても、それで安心しきるのは非常にリスキーだといえるでしょう。

マルウェア駆除が適切に行えているのか確認するには、フォレンジック調査がおすすめです。

STEP3:ファイルなどのバックアップ

STEP2のセキュリティソフトで駆除が難しい場合は、OSの再インストールが必要になります。
出荷時の状態に戻すことになりますが、その前に必要なファイルなどバックアップにとりましょう。

ただし以下の点に注意してください。

  1. バックアップの際は、サーバやクラウドでなく、USBメモリなど、外部メディアにバックアップすること(感染が広がる可能性があるため)
  2. ウイルス駆除が出来なかったファイルは、バックアップしないこと(再度感染する可能性があるため)

STEP4:リカバリーや再インストール

Windowsのバージョンによって方法は異なりますが、Windows10の場合は内部プログラムで行えるため、ディスクを探す必要がありません。
下記の方法で行うことができますので参考にしてみてください。

Windows10のリカバリー方法
①スタートメニューを右クリック
②「設定」をクリック
③表示されるWindowsの設定画面で「更新とセキュリティ」をクリック
④「回復」をクリック
⑤PCを初期状態に戻す部分の「開始する」を選択

セキュリティソフトには限界がある

マルウェア対策は必要不可欠ですが、セキュリティソフトのウイルス対策機能は、確実に限界を迎えつつあるといわれています。従来のセキュリティソフトで防御できるマルウェアは全体の約45%と言われており、マルウェアの侵入を防ぐセキュリティ対策で、マルウェアに対処することは不可能といっても過言ではありません。

しかし、現代のマルウェアに対応したセキュリティ製品は一定数存在しており、マルウェア感染後の監視型駆除や、外部との不正通信を遮断する、新しい機能を持ったセキュリティ製品であればマルウェアへの対策が可能です。おすすめ製品については、下記の記事で紹介しています。

注意すべきポイント

マルウェアによるサイバー攻撃などインシデント発生後、被害実態を究明するには「証拠保全」「分析・調査」が必要不可欠です。

しかし、セキュリティソフトでマルウェアを駆除すると「どのような被害を受けたか」「何が盗まれたのか」「侵入経路はどこか」といった具体的被害が分からなくなる恐れがあります。

不審なファイルやフォルダは、攻撃者が残した重要な証拠となることがあるため、マルウェアによる被害実態をきちんとした調査したいという方は、それらを不用意に削除せず、専門業者まで調査を依頼することをおすすめします。

なお、適切な調査を行うためにも、セキュリティソフトでマルウェアを駆除する前に、まずはバックアップを取るなどして、いつでもデータを復元できる状況にしておきましょう。

マルウェアの被害を調査するには

  • 「マルウェアで不正アクセスされたかもしれない!」
  • 「クラッキングによるデータの改ざん、情報流出の有無を明らかにしたい!」

そのような場合は「ハッキング・乗っ取り被害調査」で事実確認を行う方法があります。

ハッキング調査には「フォレンジック」という技術が必要になります。フォレンジックとは、スマホやPCなどの電子機器や、ネットワークに記録されているログ情報などを解析・調査することです。別名「デジタル鑑識」とも呼ばれ、最高裁や警視庁でも正式な捜査手法として取り入れられています。

特に、1台のパソコンなどから「犯罪や不正の法的証拠となるデータを抽出」「意図的に削除されたデータを復元」するなどして「セキュリティ・インシデント」の実態を明らかにするフォレンジック調査を「コンピュータフォレンジック」と呼びます。こうしたフォレンジック調査はすでに世界中で行われており、様々な事件の解明に貢献しています。

フォレンジック調査については、下記の記事でも詳しく紹介しているので参考にしてください。

マルウェア感染、ハッキング調査業者の選び方

専門業者に調査を依頼すると、マルウェア感染による不正行為の実態や、システムの現状を正確に把握できます。また、調査で得られた情報を外部報告用の資料や、法的な資料としても活用できます。

マルウェア感染、ハッキング調査業者の技術力やサポート体制については、以下の記事で詳しくご紹介しています。

おすすめのマルウェア感染調査業者

おすすめの調査業者として「デジタルデータフォレンジック」を紹介します。

不正アクセスやハッキングの調査には、非常に高度な技術や専門知識が要求されますので、自社で調査を行うことが難しい場合は、専門業者へ相談してみるのも一つの手といえるでしょう。自社で行うよりも適切かつ正確な調査を行えます。

デジタルデータフォレンジック

サイトデジタルデータフォレンジック

デジタルデータフォレンジックは国内売上No.1のデータ復旧業者が提供しているフォレンジックサービスです。

  • 端末、ネットワーク解析
  • 損害保険の鑑定業務
  • 各種インシデント対応
  • 警察への捜査協力
  • パスワード解除

マルウェア感染、不正アクセス、ハッキング調査など法人を対象とした社内インシデントに対応している専門性の高い業者であり、無料で相談から見積もりまで受け付けているため、突然のトラブルにもスムーズに対応することが出来ます。また警視庁からの捜査依頼実績も多数あることから実績面でも信頼ができ、費用面でも安心といえるでしょう。

費用 電話かメールにてお見積り
調査対象 パソコン、スマートフォン、サーバ、外付けHDD、USBメモリ、SDカード、タブレット など
サービス 退職者調査、労働問題調査、社内不正調査、情報持出し調査、横領着服調査、ハッキング・不正アクセス調査、データ改竄調査、マルウェア・ランサムウェア感染調査など
特長 無料で相談から見積もりまでが可能
11年連続国内売上No.1のデータ復元サービス
警視庁からの捜査協力依頼実績が多数あり

まとめ

今回はマルウェアの対応方法・調査方法について解説しました。

マルウェアによるインシデント発生時、不正アクセスやハッキングを調査する際は「フォレンジック調査」が有効です。ただし、本格的なフォレンジック調査には時間やコストが必要です。自社のみでフォレンジック調査を行うのが難しい場合は、専門業者に依頼するのがおすすめです。

ただし、フォレンジック業者に丸投げするのではなく「業者でやること」「自社でやらなければならないこと」を明確にし、協力しながら調査を行うことが大切です。業務に与える影響なども考慮しながら、バランスの良いフォレンジック調査を行いましょう。

SNSでもご購読できます。