悪意のあるコード — それは何ですか? そしてそれを防ぐ方法は何ですか?

悪意のあるコードとは何ですか?

今日のサイバー脅威の状況は、より洗練され、困難になっています。サイバー攻撃とデータ侵害の数は、規模も範囲もここ数年で急増しています。最近のマルウェア統計は、マルウェアが依然として世界中で重大な問題であることを示しています。これらのセキュリティ課題の中心には、悪意のあるコードと呼ばれる悪意のあるアプリケーションがあります。悪意のあるコードまたはマルウェアとは、コンピュータ システムに損害を与えたり、コンピュータに保存されているデータを侵害したりすることにより、コンピュータ ユーザーの利益に反して動作するように意図的に作成されたソフトウェアです。

ブロードバンド インターネット アクセスが普及して以来、営利目的や、データの変更、窃盗、破壊、妨害行為、人質取りなどのその他の違法な目的でユーザーのコンピュータを制御する悪意のあるソフトウェアが設計されることが多くなりました。ほとんどのマルウェアは、被害者のシステムに自身をインストールし、自身のコピーを作成して他の被害者に拡散し、イベントを使用してペイロードの実行を開始し (ファイルの窃盗または削除、バックドアのインストールなど)、ペイロードの実行後に自身を削除します。そして検出を避けるためにあらゆる種類の回避テクニックを使用します。検出を回避するために使用される方法には、次のようなものがあります。

• 実行時に環境のフィンガープリンティングを行うことで検出を回避します。
• マルウェアが使用するサーバーを変更することにより、シグネチャベースのウイルス対策ソフトウェアなどの自動検出ツールを混乱させます。
• ユーザーが実行した特定のアクションに従って実行するか、起動プロセス中などの特定の脆弱な期間に実行し、残りの時間は休止状態のままとします。
• 自動ツールがマルウェアを検出できないように、内部データを難読化しています。
• ステガノグラフィーなどの情報隠蔽技術を使用して検出を回避する (ステゴマルウェア)

マルウェア感染はどのようにして起こるのでしょうか?

マルウェアの感染は、コンピュータ、アプリケーション、またはネットワーク全体に影響を与える可能性があります。感染は、物理的および仮想的な手段を含むさまざまな手段を通じて発生します。マルウェアの作成者は、多くの場合、トリックを使用して、ユーザーに悪意のあるファイルをダウンロードして開かせようとします。例えば、 フィッシング攻撃 これは一般的なマルウェア配信方法であり、正規のメッセージを装った電子メールに悪意のあるリンクや添付ファイルが含まれており、疑うことを知らないユーザーにマルウェア実行可能ファイルを配信する可能性があります。

マルウェアは、USB フラッシュ ドライブや外付けハード ドライブなどの感染したリムーバブル ドライブを通じて広がることもあります。感染したドライブを PC に接続すると、マルウェアが自動的にインストールされる可能性があります。さらに、一部のマルウェアは、ダウンロードした他のソフトウェアにバンドルされています。これには、サードパーティの Web サイトからのソフトウェア、ピアツーピア ネットワークを通じて共有されるファイル、ソフトウェア キー (keygen) の生成に使用されるプログラム、ブラウザのツールバー、プラグインなどが含まれます。

攻撃者は、既存のソフトウェアの欠陥 (脆弱性) を悪用する可能性があります。 安全でないコーディング手法 アプリケーションを悪意のあるコードに感染させます。悪意のあるコードは、インジェクション攻撃の形で侵入する可能性があります ( SQLインジェクション 、JSON インジェクション、 クロスサイトスクリプティングなど。 ）、 ディレクトリトラバーサル攻撃 、 クロスサイト リクエスト フォージェリ (CSRF) 攻撃など。ソフトウェアの欠陥の典型的な例としては、 バッファオーバーフローの脆弱性 。多くのマルウェアはバッファ オーバーフローの脆弱性を悪用して、ターゲットのアプリケーションやシステムを侵害します。

高度なマルウェア攻撃では、多くの場合、悪意のある攻撃者が感染したシステムと通信して制御できるようにするコマンド アンド コントロール サーバーが使用されます。 ボットネット 機密データを盗んだり、彼らの言いなりにさせたりするためです。

コンピュータが悪意のあるコードに感染していることをどうやって判断できるのでしょうか? ユーザーは、ディスク容量の突然の減少、速度の長時間化、奇妙なカーソルの動きやマウスのクリック、デバイスやデータへのアクセスの拒否、未知のアプリケーションの出現などの異常なアクティビティを観察した場合、マルウェア感染を検出できる可能性があります。インストールされなかった、異常なネットワーク トラフィックなどが原因でした。

マルウェアは Mac、Linux、モバイル デバイスに影響しますか?

ほとんどのユーザーは、マルウェアに対して脆弱なのは Windows マシンだけだと考えています。彼らは、Linux および Mac デバイスのユーザーには免疫があり、予防策を講じる必要がないと想定しています。実際のところ、マルウェアは Windows、Linux、さらには Mac デバイスにも影響を与える可能性があります。

Windows デバイスは市場シェアを独占しているため、他のプラットフォームよりもマルウェアの大きなターゲットであると考えられており、悪意のある攻撃者にとってより重要でアクセスしやすいターゲットとなっています。現在、Mac は以前ほど安全ではありません。 Mac デバイスの人気が高まるにつれ、マルウェア作成者は Mac デバイスにさらに注目しているようです。によると Malwarebytes の 2020 年のマルウェアの現状レポート 、Mac 上のマルウェアの量が初めて PC を上回っています。

タブレット、スマートフォン、スマートウォッチなどのモバイル デバイスのオペレーティング システムを特にターゲットにする悪意のあるコードもあります。これらのタイプのマルウェアは、特定のモバイル オペレーティング システムの悪用に依存しています。モバイル マルウェアは、ワークステーションを標的とするマルウェアほど蔓延していませんが、消費者向けデバイスに対する懸念が高まっています。

iPhone などの Apple iOS デバイスは、Android デバイスよりもマルウェアに感染する可能性が低くなります。これは、iOS デバイスが高度にロックダウンされており、アプリが App Store に掲載される前に広範なチェックが行われるためです。しかし、一部の政府や高度な犯罪者が、iPhone に侵入できる数百万ドルのハッキング ツールを装備していることはわかっています。それにもかかわらず、iOS デバイスは一般に安全であり、ジェイルブレイクされた場合にのみ脆弱になります。

一般的なマルウェアの種類は何ですか?

悪意のあるコードは、さまざまなマルウェア プログラムを指す広義の用語です。例には、コンピューター ウイルス、ワーム、スパイウェア、アドウェア、ルートキット、ロジック ボム、ファイルレス マルウェア、トロイの木馬、ランサムウェアなどがあります。

コンピュータウイルス コンピュータ システムやホスト アプリケーションに感染する小さなアプリケーションまたは悪意のあるコードの文字列です。コンピュータ ウイルスは自動的には拡散しません。伝播するにはキャリアや USB やインターネットなどの媒体が必要で、ほとんどの場合、標的のコンピュータ上のファイルが破損または変更されます。コンピュータ ウイルスにはさまざまな形式があり、その中には次のようなものがあります。

• 多態性ウイルス - 多態性ウイルスは、新しいシステムの感染時にそのシグネチャを変更することで、シグネチャ ベースのウイルス対策アプリケーションを回避しようとします。
• 圧縮ウイルス - システム上の実行可能ファイルに自身を追加し、ユーザーの権限を使用してそれらを圧縮するウイルス。
• マクロ ウイルス - Microsoft Office マクロや Excel マクロなどのマクロ言語で書かれたウイルス。
• ブート セクター ウイルス - PC のブート セクターに感染し、システム起動時にロードされるウイルス。
• マルチパート ウイルス - 複数のベクターを介して広がるウイルス。マルチパート ウイルスとも呼ばれます。
• ステルス ウイルス - ウイルス対策アプリケーションとして OS から隠れるウイルス。

ワーム : ワームは、自分自身を複製して他のコンピュータに拡散するマルウェアです。これらはウイルスよりも感染力が高く、多くの場合、コンピューター ネットワークを使用して感染を拡大し、ターゲット コンピューター上のセキュリティ上の欠陥を利用してアクセスします。ワームは、悪意のあるコード (ペイロード) を運び、積極的な自己伝播によって帯域幅の低下やサービス妨害を引き起こす可能性があるため、危険です。最も有名なコンピューター ワームの 1 つは次のとおりです。 スタックスネット 、シーメンスの SCADA システムをターゲットにしました。イランの核開発計画に重大な損害を与えた原因であると考えられていた。

スパイウェアとアドウェア: スパイウェアは、特定のユーザーまたはエンティティに関する情報 (閲覧習慣を含む) を収集するために密かにインストールされる悪意のあるソフトウェアの一種で、個人情報の盗難、スパム、ターゲット広告などの悪意のある目的のために、その情報が別のエンティティに送信されます。

アドウェア は、オンライン広告を自動的に生成することで開発者に収益をもたらすソフトウェアです。広告は、ポップアップ、ユーザー インターフェイス コンポーネント、またはインストール プロセス中に表示される画面を通じて提供できます。アドウェアの目的は、悪意のある活動を実行することではなく、販売収入を生み出すことですが、一部のアドウェアは侵入的な手段を使用しており、セキュリティやプライバシーの問題を引き起こす可能性があります。

ルートキット: ルートキットは、コンピュータまたはそのソフトウェアの通常では許可されていない領域への root アクセスを可能にするように設計された悪意のあるソフトウェア ツールのコレクションです。侵害されたシステムにはルートキットがロードされ、攻撃者がその痕跡を隠しながら悪意のある活動を実行できるようになります。攻撃者は通常、デフォルトのシステム ツールを、類似した名前を持つ新しい侵害されたツールに置き換えます。

ルートキットは、OS のユーザー レベルまたはカーネル レベルに存在できます。また、仮想化システムのファームウェアまたはハイパーバイザー内に存在することもあります。ユーザーレベルのルートキットには最小限の権限しかないため、それほど大きな損害を与えることはできません。ルートキットがシステムのハイパーバイザー内に存在する場合、ハードウェア仮想化機能を悪用し、ホスト オペレーティング システムをターゲットにする可能性があります。ソフトウェアの整合性チェックは通常ファームウェア レベルまで拡張されないため、ファームウェア内のルートキットを検出するのは困難です。 ルートキットの検出と削除 ルートキットは、それを見つけることを目的としたソフトウェアを破壊できる可能性があるため、複雑になる可能性があります。検出方法には、動作ベースの方法、シグネチャベースのスキャン、およびメモリ ダンプ分析が含まれます。

ロジックボム: ロジック ボムは、指定された条件が満たされた場合にネガティブな機能を起動するために、ソフトウェア システムに意図的に挿入された悪意のあるコードです。ロジック ボム ソフトウェアには、特定の時間またはユーザーが特定のアクションを実行した後にペイロードの実行をアクティブにする多くのトリガーを含めることができます。たとえば、悪意のある攻撃者は、フォレンジック活動が実行された場合にすべてのデジタル証拠を削除するロジック ボムをインストールおよび構成する可能性があります。

ファイルレスマルウェア: ファイルレスマルウェア 名前が示すとおり、アクティビティの一部をコンピュータのハード ドライブ上のファイルに書き込みません。代わりに、被害者のコンピュータのメモリのみから動作します。スキャンするファイルがないため、従来のマルウェアよりも検出が困難です。また、被害者のコンピュータを再起動するとマルウェアが消えるため、フォレンジックがより困難になります。

ウイルス対策ツールやフォレンジック ツールで分析できるファイルがないため、このようなマルウェアを検出するのは困難な場合があります。 2017年には、 カスペルスキーがレポートを公開 世界中の 140 の企業ネットワークに影響を与えるファイルレス マルウェア攻撃についての調査で、銀行、通信会社、政府機関が主な標的となっています。

トロイの木馬： あ トロイの木馬 正規のプログラムを装ってユーザーにその真の意図を誤解させるマルウェアです。トロイの木馬は、バックグラウンドで悪意のある機能に加えて、予期される通常の機能も実行します。通常、ユーザーは何らかのソーシャル エンジニアリングによってだまされて、システムにトロイの木馬を読み込ませ、実行させます。トロイの木馬は、一度インストールされると、おとりを使用して、自分が正規のものであるかのような錯覚を維持することもできます。

たとえば、壁紙やゲーム アプリケーションを装ったトロイの木馬は、実行されると通常、壁紙やゲーム アプリケーションとして実行されます。ユーザーがこれらのおとりに気を取られている間に、トロイの木馬はバックグラウンドで静かに悪意のあるアクションを実行する可能性があります。トロイの木馬は、実行する悪意のあるアクションの種類に応じて分類されます。例としては、バンキング型トロイの木馬、 リモート アクセス トロイの木馬 (RAT) 、バックドア トロイの木馬、FakeAV トロイの木馬など。トロイの木馬の有名な例には、Zeus、MEMZ、FinFisher などがあります。

ランサムウェア: ランサムウェアは、身代金が支払われない限り、被害者のファイルを暗号化することで被害者のデータを公開したり、そのデータへのアクセスを永久にブロックしたりすると脅すマルウェアの一種です。ランサムウェア攻撃は通常、フィッシング詐欺の一環として実行されるか、正規のファイルを装ったトロイの木馬を使用して実行され、ファイルが電子メールの添付ファイルとして到着したときにユーザーがだまされてダウンロードしたり開いたりします。攻撃者は、知っている数学的キーによってのみ開くことができる特定の情報の暗号化を進めます。攻撃者が支払いを受け取ると、データのロックが解除されます。

注目すべきランサムウェア攻撃には次のものがあります。 泣きたい （2017）とREvil（2020）。 WannaCry ランサムウェアは 2017 年にインターネットを通じて拡散し、150 か国以上の 230,000 台以上のコンピュータに感染し、コンピュータ 1 台あたり 300 ドルを要求しました。 REvilはプライベートです サービスとしてのランサムウェア (RaaS) 被害者のデータをブログに公開すると脅す作戦 ( 暴露 ）身代金が支払われない限り。 2021年4月には、 REvil が Apple の次期製品の設計図を盗んだ そして5,000万ドルの身代金を支払わなければ公開すると脅迫した。 WannaCry と REvil は両方とも削除されました。

IT 資産をマルウェア感染から防ぎ、保護するにはどうすればよいでしょうか?

デバイス、重要なアプリケーション、そして実際にはネットワーク全体をマルウェアの長いリストから保護するには、単にウイルス対策ソフトウェアを展開するだけでは不十分です。現在、ウイルス対策やその他のシグネチャベースのセキュリティアプローチは、現代のサイバー脅威からシステムを保護するのに十分とは考えられていません。以上で 毎日 350,000 の新しいマルウェアが発見されている ウイルス対策アプリケーションがこれらの新たな脅威を監視することは事実上不可能です。

このため、組織は、次の原則を採用したリスクベースの情報セキュリティ プログラムを開発する必要があります。 ゼロトラストセキュリティモデル サイバーレジリエンスを高めるセキュリティ戦略の一環として。セキュリティ プログラムは、戦略的、戦術的、運用上の観点からリスク問題に対処する必要があります。これには、以下の表 1.0 に詳述されているように、重要なデジタル資産を保護するための管理的、物理的、および技術的制御の設計と実装が含まれます。管理統制は、セキュリティ ポリシー、手順とガイドライン、セキュリティ意識向上トレーニング、および組織のセキュリティ目標に沿って人員や業務慣行を定義するセキュリティの人的要因に重点を置いています。物理的制御は、重要な IT 資産への不正な物理的アクセスを防ぐために導入される対策です。技術的な制御は、ウイルス対策、ファイアウォール、IPS/IDS、 アクセス制御リスト (ACL) 、 アプリケーションのホワイトリスト 、など。

表 1.0 |管理的、物理的、および技術的なセキュリティ管理の比較

ビジネスクリティカルなアプリケーションを開発する組織にとって、悪意のあるコードによるアプリケーションの破壊を防ぐ 1 つの方法は、 安全なコーディングの実践 、ソフトウェア開発ライフサイクルにおける静的コード分析が含まれます。静的分析は、アプリケーションが実行されていないときにソース コードをレビューして悪意のあるコードや既知の安全でない行為の証拠を特定することにより、アプリケーションを保護するために使用されます。これは、悪意のあるコードがビジネスの重要なアプリケーションに損害を与えることを防ぐ最も効果的な方法の 1 つです。などの自動化ツール 無敵 、 アキュネティックス 、 ベラコード 、 チェックマークス など、静的コード分析を実装して、バックドア、ロジックボム、ルートキットなどの悪意のあるコードを検出して防止します。

悪意のあるコードが PC に感染するのを防ぎたいユーザーは、追加のセキュリティ層としてマルウェア対策ソフトウェアをインストールできます。さらに、ユーザーは自分のコンピュータやその他の個人用デバイス上で安全な行動を実践することでマルウェアを回避できます。これには、ソフトウェアを常に最新の状態に保つこと、可能な限り非管理者アカウントを使用すること、偽装されたマルウェアが含まれる可能性のある未知のプログラムや添付ファイルのダウンロードに注意することなどが含まれます。