マルウェア対策ソフトとは? その機能とは?
サイバー犯罪者は、最先端の技術を駆使してお客様のシステムにアクセスし、金銭的な利益を得るためにお客様の機密情報や個人情報を盗み出そうとしています。そのために、マルウェアを使用します。マルウェアとは、プログラム可能なデバイス、サービス、ネットワークに危害を加えたり、悪用したりするように設計された悪意のあるソフトウェアの総称です。サイバー犯罪者に対抗するために、サイバーセキュリティベンダーは、これらの現代的な攻撃を阻止するために、同じ技術を取り入れるよう努力しています。この記事で、消費者の皆さんにも企業で関連業務に携わるかたにも、マルウェアとは何かを理解し、これらの継続的な攻撃を阻止するために何ができるのかを知っていただく一助になれば幸いです。
マルウェアとは?
マルウェアとは、悪意のあるソフトウェアの略で、システムに損害を与えたり、データを盗んだり、ネットワークに不正にアクセスしたり、大惨事を引き起こしたりする目的で書かれたアプリケーションのことです。マルウェアの感染は、個人や組織が直面する最も一般的なサイバー脅威です。マルウェアは、金銭目的でデータを盗むために使用されることが多いですが、国家が組織的に行う攻撃の武器として、ハクティビストが抗議の意味を込めて使用したり、システムのセキュリティ態勢を確認するために使用したりすることもあります。マルウェアとは、トロイの木馬、ワーム、ランサムウェアなどの悪意のあるソフトウェアを総称したものです。
マルウェアの種類について
マルウェアには、ウイルス、トロイの木馬、ランサムウェア、キーロガー、ワームなど、さまざまな種類があります。
コンピュータウイルスは、クリーンなファイルに付着して複製し、他のクリーンなファイルに感染しようとする悪意のあるコードです。ウイルスは、疑うことを知らないユーザーが、感染した電子メールの添付ファイルを開く、感染した実行ファイルを実行する、感染したウェブサイトにアクセスする、感染したウェブサイトの広告をクリックするなどの行為を行うことで実行されます。コンピュータウイルスは今日では珍しく、マルウェア全体の10%以下に過ぎません。
トロイの木馬は、ギリシャ人がトロイの木馬の中に隠れて侵入したトロイ戦争の物語にちなんで名付けられました。トロイの木馬(またはトロイアの木馬)は、正規のアプリケーションを装ったり、その中に隠れたりします。この種のマルウェアは、目立たないように行動し、セキュリティバックドアを開けて、攻撃者や他のマルウェアの亜種がシステムに容易にアクセスできるようにします。
ランサムウェアは、現在最も危険なタイプのマルウェアの一つであり、特に注意が必要です。もともとランサムウェアは、システムを制御してユーザーをロックし、サイバー犯罪者に身代金を支払ってアクセス権を回復させることを目的としていました。最近のランサムウェアは、通常、ユーザーのデータを暗号化し、さらにシステムからデータを抜き取ることで、攻撃者が被害者に与える影響力を飛躍的に高めることができます。
バックドアとは、システム上の通常の認証や暗号化を回避するためのステルス性のある方法です。バックドアは、システムへのリモートアクセスを確保したり、特権的な情報にアクセスしてその情報を破壊したり盗み出したりするために使用されます。バックドアには、独立したプログラム、他のプログラムの一部として隠されたもの、ファームウェアのコード、オペレーティングシステムの一部など、さまざまな形態があります。バックドアの中には、悪意のある目的で密かにインストールされているものもありますが、サービスプロバイダーがユーザーのパスワードを復元する方法を提供するなど、合法的な用途で意図的に広く知られているバックドアもあります。
ワームの名前の由来は、システムに感染する方法にあります。ウィルスとは異なり、ワームはホストファイルやアプリケーションを必要としません。ワームはシステムに感染すると、ネットワークを介して他のシステムに自己複製し、連続して感染するたびにさらに拡散していきます。ワームはメモリ内に存在し、何百回も複製を繰り返すことができるため、ネットワークの帯域幅を消費します。
キーロガーは、ユーザーの個人情報や機密情報を盗むことを目的として、キーストローク、訪問したウェブサイト、検索履歴、電子メールの送受信、チャットやメッセージのやり取り、ログイン名やパスワードなどのシステム認証情報など、ユーザーのコンピュータでの行動を記録します。
AV-TEST研究所では、毎日350,000以上の新しい悪意のあるプログラム(マルウェア)および望ましくない可能性のあるアプリケーション(PUA)を登録しています。
多くのマルウェアの攻撃は、ランサムウェアやワームの機能を組み合わせてトロイの木馬のような形でやってくることがあります。さらに、マルウェアは、数百から数千の改変されたサンプルで構成されることがあります。例えば、WannaCryは、ウイルスとトロイの木馬の両方を含むランサムウェアの一例です。最後に数えた時点で、WannaCryのプログラムが修正されたため、多くのサンプルが存在していました。2017年の時点で、386個のランサムウェアWannaCryのサンプルが野放しになっており、この記事を書いている時点で、さらに数千個のサンプルがあると予想されます。
マルウェア対策ソフトはどのように機能するのですか?
40年ほど前に登場したマルウェア対策ソフトは、単純なシグネチャと、既知のマルウェアの足跡を記録したデータベースを併用していました。マルウェア対策ソフトは、コンピュータをスキャンする際に、この足跡を検索します。マルウェアが検出されると、ソフトウェアはそのマルウェアを削除するか隔離します。
シグネチャベースのアンチマルウェアは現在も使用されていますが、サイバー犯罪者は、コード内の何かを変更してシグネチャが機能しないようにすることで、このアプローチを回避することができます。そこで登場したのがヒューリスティックです。ヒューリスティック検知は、プログラムが何をするかに基づいており、プログラムが「誤動作」した場合、マルウェアとしてフラグが立てられます。このアプローチは現在、ルールがプログラムの行動を追跡する行動ヒューリスティックへと進化しています。例えば、ほとんどの正規のソフトウェアは、システムのプロセスに自分自身を注入することを意図していませんが、それが行われた場合、マルウェアとしてフラグが立てられます。
現在、ほとんどのマルウェア対策ソフトウェアは、シグネチャ検知、行動ヒューリスティック分析、人工知能(AI)または機械学習(ML)ベースのアプローチを採用しています。MLアプローチは、ヒューリスティック分析に似ていますが、MLアルゴリズムは、プログラムやファイルが何をするかを分析するだけでなく、どのように見えるかをも分析します。そのためには、モデルに組み込まれた行動ヒューリスティックを使用するか、あるいは、継続的なトレーニングによって独自の行動アルゴリズムを作成し、継続的に改善することができます。MLベースのシステムは、アナリストの介入や直接の入力を最小限に抑えながら、検出の多くを自動化します。
市場では、この3つのタイプのアプローチが別々に、または組み合わされて提供されていますが、理想的なソリューションは、この3つを組み合わせたものでなければなりません。1つのタイプですべてのマルウェアを阻止できるという保証はありません。
また、マルウェアを検知する技術は他にもあります。例えば、サンドボックス化では、あるプロセスをサンドボックス(仮想マシンVM)に入れ、マルウェアに実際の環境で実行していると思わせます。時間の経過とともに、ソフトウェアはその動作を監視してマルウェアを検出することができます。残念ながら、マルウェアの中にはすぐには実行しないものもあるため、この作業には時間がかかります。
マルウェア対策ソフトのメリットについて
マルウェア対策ソフトウェアの最大のメリットは、機密情報や個人情報を保護し、ユーザーのシステム、アプリケーション、データを保護することです。より具体的には、マルウェア対策ソフトウェアは、ユーザーを以下のことから保護します。
● マルウェア、フィッシング、ランサムウェアなどの攻撃
● ユーザーが悪意のあるウェブページにアクセスした際に発生するドライブ・バイ・ダウンロード
● ネットワーク上に不正かつ長期的に存在し、機密データを収集したり、組織の運用能力を低下させたりすることを目的としたAPT攻撃(Advanced Persistent Threat、持続的標的型攻撃)
● ゼロデイ脆弱性を利用したエクスプロイト
● 意図的なものであれ、データの取り扱い上の過失やミスによるものであれ、データの漏洩
アクロニスが消費者と企業をマルウェアから守る方法
アクロニスは、データ保護、バックアップ、マルウェア対策を1つのソリューションにまとめているため、マルウェア対策以上のものを提供しています。
Acronis True Image (現:Acronis Cyber Protect Home Office)は、インストールや管理が簡単で、効率的かつ安全なソリューションであり、今日の市場で入手可能な最高の個人用サイバー保護を個人に提供します。Acronis True Imageを使用すると、以下のことが可能になります。
● 2回のクリックでフルイメージのバックアップを作成します
● ローカル・バックアップをAcronis Cloudに複製します
● ゼロデイランサムウェアやクリプトジャッキング攻撃などの最新のマルウェアから、データ、アプリケーション、モバイルデバイスを含めたデバイスを保護します
Acronis True Imageの特徴は、実績のあるバックアップ技術と、最新の脅威も阻止するマルウェア対策を独自に統合して提供する、唯一の個人向けサイバー保護ソリューションであることです。つまり、あるベンダーからバックアップソリューションを購入し、別のベンダーからアンチウイルスソリューションを購入する必要はもはやありません。Acronis True Imageを使えば、必要なシステムとデータの完全な保護を1つの統合されたソリューションで得ることができます。
Acronis Cyber Protectは、パンデミック後の現実の中でビジネスを展開する企業のニーズに合わせて開発されました。データ保護と次世代サイバーセキュリティ機能を独自に統合することで、Acronis Cyber Protectはセキュリティの向上、コストの削減、効率の改善を実現します。自動化と合理化された管理により、規模の大小を問わず、あらゆる企業がリスクを減らし、ダウンタイムを回避し、ITチームの生産性を向上させることができます。
Acronis Cyber Protectは、エンドポイント、システム、データを保護し、その他の機能として、ゼロデイ攻撃を阻止するAIベースの行動検知、URLフィルタリング、脆弱性評価、ビデオ会議保護、自動パッチ管理などを備えており、お客様のビジネスが最短時間でデータやシステムを復旧できるようにします。
※このブログは英語版 "What is anti-malware software and how does it work?” の抄訳です。
