ワームとは?ウイルスと違う?種類・感染経路や今すぐできる5つの対策|サイバーセキュリティ.com

  1. ホーム /
  2. コラム /
  3. ワームとは?ウイルスと違う?種類・感染経路や今すぐできる5つの対策
             

ワームとは?ウイルスと違う?種類・感染経路や今すぐできる5つの対策



ワームは、ネットワークを介して自己増殖しながら感染を広げる悪意のあるプログラム(マルウェア)の一種です。ウイルスと混同されがちですが、宿主ファイルを必要とせず単独で動作できるため、感染速度が非常に速く、一度侵入されると瞬く間に被害が拡大します。

本記事では、ワームの定義・仕組みから種類・感染経路・被害事例・対処法・予防策まで網羅して解説します。

ワームとは

ワームの定義と名前の由来

ワーム(Worm)はもともと「虫」を意味する言葉で、ネットワーク内を虫のように這い回りながら感染を広げる特性からこの名前が付けられました。

ネットワークを介して端末の乗っ取りや情報窃取などを行うマルウェアの一種です。起源は1988年にアメリカで登場した「Morris Worm」とされており、以降インターネットの普及とともに進化を続け、現在も世界中で感染被害が報告されています。

ワームの仕組み

ネットワークの脆弱性やメールの添付ファイルなどを通じて端末に侵入し、自身のコピーを作成しながらネットワーク上の他の脆弱な端末へ次々と感染を広げます。

ウイルスが「感染ファイルの実行」をきっかけに動作するのに対し、ワームは「ユーザーの操作なしに自律的に感染を拡大できる」点が最大の特徴で、1台の感染が数百・数千台へ拡大するケースも珍しくありません。

ウイルス・トロイの木馬との違い

ワームはコンピュータウイルスやトロイの木馬と混同されがちですが、それぞれに明確な違いがあります。

項目 ワーム ウイルス トロイの木馬
寄生先ファイル 不要 必要 不要
自己増殖 する する しない
偽装 しない しない する
単体で動作 できる できない できる

ウイルスは宿主となるファイルへの寄生が必要で、ユーザーがそのファイルを実行して初めて動作します。自己増殖はしますが、単体では活動できません。

トロイの木馬は正規のプログラムに偽装して侵入し、単体で動作できますが自己増殖はしません。長期間気づかれないよう潜伏することを目的としています。

ワームは単体で動作でき、かつ自己増殖も可能という2つの危険な特性を併せ持ちます。この組み合わせにより、他のマルウェアと比べて圧倒的な感染力を持っているのが特徴です。

AIワームとは何か?

生成AI(LLM)を標的とした新種のワームです。ユーザーが何も操作しなくても悪意あるプロンプトをAIが自動処理するだけで機密データを盗み出し、他のAIシステムへ感染を広げる「ゼロクリック感染」の仕組みを持ちます。

2024年には概念実証型「Morris II」が登場し、開発環境を標的にした「GlassWorm」やクラウド認証情報を窃取する「Shai-Hulud」など、サプライチェーン全体への新たな脅威となっています。

ワームの種類

メール感染型

メールの添付ファイルやリンクを通じて感染を広げるタイプです。感染した端末のアドレス帳に保存されているメールアドレス宛に、自身のコピーを添付したメールを自動送信するため、被害が爆発的に拡大します。「LOVELETTER」や「Emotet」などが代表例です。

ネットワーク感染型

OSやソフトウェアの脆弱性を突いて、ネットワーク経由で自律的に感染を広げるタイプです。ユーザーの操作を一切必要とせず、ネットワークに接続しているだけで感染する危険性があります。2017年に世界規模の被害をもたらした「WannaCry」が代表例です。

USBメモリ感染型

USBメモリや外付けHDDなどの外部記録メディアを通じて感染するタイプです。感染したメディアを端末に接続すると、自動実行機能を悪用してワームが起動します。インターネットと切り離されたシステムへの侵入手段としても使われます。

ファイル共有型

社内ネットワークの共有フォルダやP2Pファイル共有ネットワークを通じて感染を広げるタイプです。共有フォルダ内にワームのコピーを作成し、アクセスしたユーザーの端末へ感染します。怪しまれないよう「よく検索される一般的な単語」をファイル名にするケースも報告されています。

ワーム型ランサムウェア

ワームの自己増殖機能とランサムウェアのデータ暗号化機能を組み合わせた、特に危険なタイプです。感染した端末のデータを暗号化して身代金を要求しながら、同時にネットワーク内の他の端末へも感染を広げます。詳細は後述の「ワームとランサムウェアが組み合わさると危険⁉」で解説します。

ワームの主な感染経路

メール・SMSの添付ファイル・リンク

最も多い感染経路のひとつです。実在する企業・公的機関・取引先などになりすましたメールに、ワームを含む添付ファイルや不正URLが仕込まれています。感染した知人の端末から送られてくるメールの場合、送信元が正規のアドレスに見えるため特に危険です。

Webサイトの閲覧

攻撃者が用意した不正なWebサイトや、脆弱性を悪用して改ざんされた正規サイトにアクセスするだけでワームが自動的にダウンロードされることがあります(ドライブバイダウンロード)。脆弱性のある古いブラウザは特に狙われやすいです。

USBメモリ・外付けHDDなどの外部メディア

感染した外部メディアを端末に接続すると、自動実行機能が悪用されてワームが起動します。かつてイランの核開発施設を標的にした「Stuxnet」もUSB経由で感染が広がった事例として知られています。

共有フォルダ・ネットワーク経由

組織内のネットワークに接続された共有フォルダやファイルサーバーを通じて感染が広がります。1台の端末が感染すると、同じネットワーク内の他の端末へ次々と感染が拡大するリスクがあります。

ソフトウェア・OSの脆弱性

アップデートが適用されていないOSやソフトウェアのセキュリティホールを突いて侵入するタイプです。

特にVPN機器やリモートデスクトップ(RDP)の脆弱性を悪用した侵入は、国内企業のランサムウェア感染経路の86%を占めるとされており最も注意が必要な経路のひとつです。

参照警察庁「令和6年におけるサイバー空間をめぐる脅威の情勢等

ワームに感染したらどうなる?

情報が漏洩する

ワームに感染すると、端末内に保存されている個人情報・機密情報・認証情報などが攻撃者のサーバーへ送信される危険性があります。

組織の場合は顧客情報や取引先データの大量漏洩につながり、社会的信頼の失墜や損害賠償のリスクが生じます。また盗まれた情報がダークウェブで売買され、さらなるサイバー攻撃の踏み台にされるケースもあります。

端末・システムが使用できなくなる

ワームが自己増殖を繰り返すことでCPUやメモリ・ネットワーク帯域を大量に消費し、端末の動作が極端に遅くなったり、完全に停止したりします。企業のサーバーやシステムが停止すると業務全体が止まり、深刻な事業損失につながります。

別のマルウェアがインストールされる

ワームはバックドア(裏口)を設置して攻撃者の侵入経路を確保し、そこから別のマルウェアを追加インストールします。ランサムウェア・スパイウェア・キーロガーなど、さらに危険なプログラムを呼び込む「入口」として機能するケースが増えています。

メール・SNSが勝手に送信・投稿される

感染した端末のアドレス帳やSNSアカウントが悪用され、知人・取引先への感染拡大メールが大量送信されます。送信されるメッセージには自身のコピーや不正URLが含まれており、受信した相手もワームに感染するリスクがあります。自分が気づかないうちに加害者になってしまう深刻なケースです。

仮想通貨のマイニングに悪用される

感染した端末のCPUやGPUが攻撃者による仮想通貨の採掘(マイニング)に無断で使用されます。端末の処理能力が大量に消費されるため動作が極端に遅くなり、電気代も増加します。

サイバー攻撃・ボットネットに加担させられる

感染した端末が「ボットネット」の一部として組み込まれ、攻撃者の指令に従って他のシステムへのDDoS攻撃や大量スパム送信に加担させられます。自覚のないまま犯罪行為に関与してしまうリスクがあります。

ワームの被害事例

ワーム型IoTマルウェア「Satori」による攻撃が増加中

2017年12月7日、IoT端末を狙うワーム型マルウェア「Satori」による攻撃増加が報じられました。SatoriはMiraiの亜種で、感染後にポートをスキャンしながら増殖を繰り返す特徴があります。日本のIPからの攻撃も確認され、IoT機器の脆弱性対策の重要性が示されました。

参照ワーム型IoTマルウェア「Satori」による攻撃が増加中

ランサムウェア新種「WannaCry(ワナクライ)」今後iPhoneも標的か

2017年5月18日、ランサムウェア「WannaCry」による世界規模の被害が報じられました。被害は150カ国・23万件以上に及び、ネットワーク経由で自己拡散する性質から、ワーム型攻撃の代表例としても扱われます。企業や医療機関などにも大きな影響を与えました。

参照ランサムウェア新種「WannaCry(ワナクライ)」今後iPhoneも標的か

ワームとランサムウェアが組み合わさると危険⁉

ワーム型ランサムウェアの仕組み

ワーム型ランサムウェアとは、ワームの自己増殖・拡散機能とランサムウェアのデータ暗号化機能を組み合わせたマルウェアです。通常のランサムウェアは感染した1台のデータを暗号化しますが、ワーム型はネットワークを介して他の端末へ自動感染しながら次々とデータを暗号化します。

ユーザーの操作を必要とせず、組織全体のシステムを短時間で壊滅させる危険性を持っています。

通常のランサムウェアとの被害規模の違い

通常のランサムウェアの被害が「1台のデータ損失」にとどまるのに対し、ワーム型は「組織全体のシステム停止」を引き起こします。近年は機密情報をダークウェブで公開する「二重恐喝」や顧客・取引先に直接圧力をかける「三重恐喝」も定着しています。

また通信切断を検知するとデータを自動破壊する「デッドマンスイッチ」を備えたものも登場しており、安易なネットワーク切断が逆効果になるケースもあります。

代表例:WannaCry・KADOKAWA事件

WannaCryは感染するとデータを暗号化しながら他の端末へ自動感染し、数日で世界150か国以上へ拡大しました。

2024年のKADOKAWA事件でも侵入から全社的なシステム停止までの時間が極めて短く、被害総額が数十億円規模に及びました。いずれもワーム型ランサムウェアが現代企業にとって最も深刻な脅威のひとつであることを示しています。

参照KADOKAWA、サーバー不正アクセスで「ニコニコ」障害

ランサムウェア
2024.9.3
ランサムウェアとは、コンピュータやネットワークに侵入し、ユーザーのファイルを暗号化したり、システムへのアクセスを制限することで、被害者に身代金の支払いを要求する悪意のあるソフトウェアです。ランサムウェア攻撃はサイバー犯罪の一種で、感染したデ

ワームに感染したときの症状・サイン

ワームはバックグラウンドで静かに動作するため気づきにくいですが、以下のような症状が現れることがあります。

端末の動作が急に遅くなる・フリーズする

ワームの自己増殖処理がCPUやメモリを大量消費することで、端末の動作が急に重くなったり、フリーズや再起動を繰り返したりします。以前は問題なく動いていたのに急に重くなった場合は感染を疑いましょう。

身に覚えのないメール送信・SNS投稿がある

送信した覚えのないメールが大量に送信されていたり、SNSに知らない投稿がされていたりする場合は、ワームによるアカウント悪用が疑われます。受信した相手から「変なメールが届いた」と連絡が来ることで発覚するケースも多いです。

ネットワークの通信量が急増する

ワームがネットワークをスキャンしたり自身のコピーを送信したりすることで、通信量が通常時と比べて急増します。使用していない時間帯に通信量が多い場合は特に注意が必要です。

身に覚えのないファイル・プログラムが増えている

デスクトップや各フォルダに見覚えのないファイルが増えていたり、インストールした覚えのないプログラムが動作していたりする場合は、ワームやその他のマルウェアが侵入している可能性があります。

セキュリティソフトが無効化されている

ワームの中にはセキュリティソフトを強制停止・無効化するものがあります。気づかないうちにセキュリティソフトが停止していた場合は感染を疑いましょう。

ワームに感染していないか確認する方法

タスクマネージャーでCPU・メモリ・通信量を確認する

Windowsは「Ctrl+Shift+Esc」でタスクマネージャーを開き、CPU・メモリ・ネットワークの使用率を確認します。アプリをほぼ起動していないのに使用率が異常に高い場合や、見覚えのないプロセスが大量のリソースを使用している場合は感染の疑いがあります。

セキュリティソフトでフルスキャンする

最も確実な方法です。定義ファイルを最新状態に更新した上でシステム全体をフルスキャンしましょう。ワームは次々と新しいタイプが登場するため、AIや振る舞い検知機能を備えたセキュリティソフトの導入が特に効果的です。

ネットワークの通信ログを確認する

ルーターやファイアウォールの通信ログを確認し、不審なサーバーへの通信や異常な通信量がないかをチェックします。社内ネットワークの場合は、ネットワーク監視ツールを使って異常な通信を検知することも有効です。

身に覚えのないアプリ・プログラムがないか確認する

Windowsは「設定>アプリ」、Macは「アプリケーション」フォルダから一覧を確認し、インストールした覚えのないソフトウェアがないかチェックします。不審なものが見つかった場合は削除する前に専門家に相談することをおすすめします。

ワームに感染したら?今すぐやるべき対処法

①ネットワークから切断する

感染が疑われたら、最初に行うべき最優先の対応です。Wi-Fiをオフにし、有線LANケーブルを抜いて外部通信を完全に遮断します。これにより他の端末への感染拡大・情報の外部流出・攻撃者による遠隔操作を防ぐことができます。

ただし、最新のワーム型ランサムウェアの中にはデッドマンスイッチを備えたものもあり、通信切断を検知するとデータを自動破壊するケースがあります。業務用端末でランサムウェアの感染が疑われる場合は、安易に電源を切ったり通信を切断したりする前に、セキュリティ専門家に相談することも検討しましょう。

②セキュリティソフトで隔離・駆除する

ネットワークを切断した後、セキュリティソフトを最新の定義ファイルに更新してフルスキャンを実施します。ワームが検知されたらソフトの指示に従って隔離・駆除します。同一ネットワーク内の他の端末についても同様にスキャンを実施しましょう。

③関係者・専門家・警察に連絡する

感染が確認されたら以下への連絡を速やかに行います。

  • 社内の情報システム部門・上司(業務端末の場合は即報告)
  • メールのやり取りがある取引先・関係者(感染拡大を防ぐための注意喚起)
  • セキュリティソフトのサポート窓口(自力駆除が難しい場合)
  • 警察のサイバー犯罪相談窓口(金銭的被害・情報漏洩が発生した場合)

④パスワードをすべて変更する

感染によってIDやパスワードが漏洩している可能性があります。必ず「感染端末を駆除した後」に「別の安全な端末から」変更してください。メール・SNS・ネットバンキングなどすべてのサービスのパスワードを変更し、二段階認証(多要素認証)も設定しましょう。

⑤端末を初期化する

セキュリティソフトで駆除できない場合の最終手段です。初期化すると端末内のデータがすべて消去されるため、ワームも完全に除去できます。ただし初期化後は業務に必要なソフトウェアをすべて再インストールする必要があります。普段からこまめなバックアップを取っておくことが重要です。

ワームの感染を防ぐ今すぐできる5つの対策

①OSやソフトウェアを常に最新の状態に保つ

ワームの多くはOSやソフトウェアの脆弱性を突いて侵入します。WannaCryによる世界的な被害も、Windowsの既知の脆弱性(すでにパッチが提供済み)を悪用したものでした。

OSやアプリは定期的にアップデートして脆弱性を速やかに修正し、セキュリティソフトの定義ファイルも常に最新状態を維持しましょう。

②不審なメール・SMSのリンク・添付ファイルを開かない

ワームの最も多い感染経路はメールです。送信元が知人や取引先に見えても、添付ファイルを開く前に「送信元アドレスは正しいか」「本文に違和感はないか」を確認しましょう。

ワームに感染した知人の端末から送られてくるメールは、正規のアドレスから届くため特に注意が必要です。

③セキュリティソフト・EDRを導入する

アンチウイルスソフトの導入に加え、侵入後の不審な挙動を検知・対処するEDR(Endpoint Detection and Response)の活用も重要です。既知のワームはアンチウイルスで防げますが、新種や高度に偽装されたワームはすり抜ける可能性があります。

EDRを導入することで、侵入後もリアルタイムで検知・隔離できる体制を整えましょう。

④VPN・RDPのセキュリティを強化する

国内企業のランサムウェア・ワーム感染経路の86%はVPNやRDP(リモートデスクトップ)経由とされています。VPN機器のファームウェアを定期的に更新し、RDPはインターネットへの直接公開を避けましょう。多要素認証(MFA)の導入や、不要な外部アクセスの遮断も効果的な対策です。

⑤定期的にデータのバックアップを取る

万が一ワーム型ランサムウェアに感染してデータが暗号化されても、バックアップがあれば身代金を支払わずに復旧できます。

バックアップはネットワークから切り離した外部メディアやクラウドに保存し、定期的に復旧テストを行いましょう。バックアップデータもワームに感染している可能性があるため、感染前のデータを保持することが重要です。

ワームに関するよくある質問

スマートフォンもワームに感染する?

感染します。「モバイルワーム」と呼ばれる種類が存在し、SMSのリンクや悪意のあるアプリを経由してデバイスへ侵入し、連絡先情報の窃取や他端末への拡散を行います。Android端末は公式ストア以外からのインストールが可能なため感染リスクが高い傾向にあります。

対策の基本は公式ストアからのみアプリをインストールする・不審なSMSのリンクを開かない・OSを常に最新状態に保つ、の3点です。

ワームに感染した端末はすぐに電源を切るべき?

状況によっては逆効果になる場合があります。最新のワーム型ランサムウェアには「デッドマンスイッチ」を備えたものがあり、通信切断や電源オフを検知すると自動的にデータを破壊するように設計されています。感染が疑われる場合にまずすべき対応は「ネットワークの切断」と「セキュリティ専門家への相談」です。

特に企業端末で機密データの損失が懸念される場合は、安易に電源を切る前に専門家へ相談することをおすすめします。

ウイルス対策ソフトだけでワームは防げる?

従来型のアンチウイルスソフト(EPP)だけでは不十分です。既知のワームはパターンファイルで防げますが、新種やゼロデイ攻撃はすり抜ける可能性が高いです。

USEN ICT Solutionsの調査(2024〜2025年)によると、侵入後の不審な挙動を検知するEDRを導入している企業は全体の約19%にとどまっています。アンチウイルスソフトとEDRを組み合わせた多層防御の構築が重要です。

ワームは自分で駆除できる?プロに頼むべきケースとは

軽度の感染であればセキュリティソフトで自力駆除が可能です。ただしセキュリティソフトで検知できない、駆除後も症状が続く、社内ネットワーク全体への感染が疑われる、ランサムウェアによるデータ暗号化が発生しているケースでは専門家への依頼を検討しましょう。

インシデント対応専門会社のフォレンジック調査で感染範囲の特定と原因究明が可能です。

まとめ

ワームは宿主ファイルを必要とせず自己増殖できるマルウェアで、ネットワークを介して瞬く間に感染を広げます。近年はランサムウェアと組み合わさった攻撃が増加しており、国内大企業でも数十億円規模の被害が発生しています。

感染が疑われたらまずネットワークを切断してセキュリティソフトで駆除し、対応が難しければ専門家に相談しましょう。OSの最新化・EDRの導入・VPNの強化・定期バックアップなど今すぐできる対策から着手することが重要です。

関連コラム(あわせて、以下の記事もよく読まれています)

製品・サービス(当該コラムの内容に関連する製品・サービスはこちら)

SNSでもご購読できます。