マルウェアに感染するとデータを盗まれたり、気付かないところで攻撃の加害者になったりしてしまいます。潜伏期間の長いマルウェアもあり、ユーザーが気付きにくいケースもあります。しかし、感染の可能性を示す危険信号を知ることで被害を最小限にすることも可能です。ここではマルウェア感染の兆候となる代表的な症状と感染した場合の初期対応について解説していきます。早期に不審な挙動に気づくことと、感染が疑われる場合はまず端末を隔離することが大切です。
1.マルウェアに感染した時の症状とチェック方法
1-1 身に覚えのないアプリケーションが動いている
マルウェアに感染してプログラムが勝手に動作している可能性があります。プログラムを開いてソフトウェアの一覧を確認しましょう。
コントロールパネルからプログラムと機能を選択し、インストールされているプログラムの一覧を表示します。ここにインストールした覚えのないアプリケーションや不審なアプリケーションがないか確認しましょう。身に覚えのないものがあれば調べましょう。
<Windows10の場合>
1-2 不審なポップアップが出る
例えばランサムウェアは感染すると身代金を要求するポップアップが出ます。ランサムウェアの場合、感染すると利用していたPCが利用できなくなり、ファイルにもアクセスできない状態になります。
<ランサムウェアのポップアップ>
1-3 普段使わない時間帯に通信が発生している
たとえば普段パソコンを使っていない深夜の時間帯に大量のパケットが発生したような場合は何者かがパソコンを操作している可能性もあります。IT部門等で端末ごとの時間帯別通信状況などをモニタリングしている場合は、自分の使用していない時間帯に通信が発生していないか確認することも異常を把握する手段の一つです。
1-4 PCが重くなった
マルウェアによるプログラムが作動した結果、パソコンのCPUが消費され、端末のパフォーマンスが低下し、挙動が重くなることがあります。(ただし、ディスク断片化や経年による性能劣化の可能性などもあります。)1-1で紹介したコントロールパネルの確認で不審なアプリケーションがないかの確認、タスクマネージャー(Windowsではctrl+alt+deleteでも選択できます)からアプリケーションの稼働状況を確認し、不審なアプリケーションがCPUを消費していないか確認しましょう。
<タスクマネージャーを確認する>
1-5 予期しない挙動や身に覚えのない操作履歴がある
マルウェアに感染してパソコンが乗っ取られた場合、攻撃者に自由に操作されてしまうことがあります。例えば遠隔操作されてプログラムが勝手に起動したり、スパムメールを配信されてしまうこともあります。このような予期しない挙動がないか、メールの履歴に身に覚えのない送信履歴がないか確認しましょう。
2.感染した場合にまずすべきこと
不審なアプリケーションの活動が確認されたり、身に覚えのない操作履歴が確認されるなど感染の可能性がある場合は以下の対応を行いましょう。
2-1 端末を隔離する
感染の疑いがある場合は、まず端末を組織内のネットワークから隔離しましょう。一部の感染した端末から組織内のネットワークを通じて他の端末に感染が広がったり、重要サーバーにマルウェアが到達する可能性があります。感染が疑われる場合は、Wifiを切ったり、LANケーブルを抜いて端末を隔離し、組織のネットワーク内にマルウェアが侵入しないようにしましょう。
<一部の端末の感染から組織の情報が搾取されるリスクも>
2-2 セキュリティ部門に連絡を
組織内にセキュリティの担当者がいる場合は、すぐに担当者に連絡しましょう。またマルウェア感染の疑いがある場合に、初動を素早く行えるように、セキュリティ部門に連絡すべき症状は普段から社員研修などを通して周知しておくことも大切です。
2-3 ウイルスソフトでスキャンする
ウイルス対策ソフトをインストールしている場合、ソフトが最新の状態(定義ファイルが最新版)であることを確認の上、パソコンのディスク内のファイルに対してウイルススキャンを実行しましょう。潜伏・感染していたファイルを見つけ次第、自動処理でウイルス駆除を行う事ができます。なお、パソコンの性能やディスク内のファイルの数にもよりますが、フルスキャンは数時間かかることもあります。
ウイルス対策ソフトをインストールしていない場合はソフトのインストールをお勧めします。代表的なソフトを記載します。
・マカフィーリブセーフ
・ノートンセキュリティ
・ウイルスバスター
また、手軽にチェックできる方法として以下のような無料のオンラインスキャンもありますが、製品版に比べて性能が制限されるため確実に対応するには製品版のインストールをお勧めします。
・McAfee Security Scan Plus
・ノートン セキュリティスキャン
・トレンドマイクロ オンラインスキャン
2-4 対応手順が分からない場合
セキュリティ部門が組織されていない場合や担当者不在で自分で対応しなければならないときに、手順が分からない場合もあるかもしれません。まずは端末の隔離、ウイルス対策ソフトによるスキャン・駆除を行いましょう。なお、スキャンの手順などが不明の場合、ウイルス対策ソフトのサポートページやベンダーのQ&Aなどで手順が掲載されていますので参照して対処していきましょう。
2-5 初期化せざるを得ないケースも
ランサムウェアなどは一度感染した場合、ユーザー側での対応が難しいケースがあります。最終的な手段としては端末を初期化しマルウェアを削除し、クリーンな状態にして利用することが挙げられます。ただし、この場合、マルウェアのファイルだけでなく、パソコンに保存されていたファイル、アプリケーションがすべて消えてしまいますので、日ごろからバックアップを取っておくようにしましょう。
上記の対処は感染した場合の応急措置的な対応となりますが、本質的にはウイルス対策ソフトによる対策以外に、組織内でデータの暗号化や重要サーバーの隔離、外部との不正通信の監視・遮断といった多層防御のセキュリティ体制の構築が必要です。
3.何をすると感染するのか
そもそも何故マルウェアに感染してしまうのか。マルウェアに感染する代表的な要因としては以下が挙げられます。
3-1 メール経由で感染する
フィッシング・ワンクリック詐欺を目的として不正サイトへの誘導を試みる詐欺型のメール、特定組織の情報搾取を狙った標的型メールなど、メールの添付ファイルを開いたり、メール本文のURLをクリックして感染させられたりします。
3-2 WEBサイト経由で感染する
悪意のあるサイトを閲覧しただけで感染することもあります。また、正規サイトの一部を改ざんするケースやサイトのバナー広告にマルウェアが仕込まれるマルバタイジングの手法によって感染することもあります。
3-3 脆弱性を突かれる
アプリケーションの脆弱性やゼロデイの脆弱性を突かれて感染するケースがあり、脆弱性を放置しておくと感染のリスクが高まります。
3-4 外部記録媒体から感染する
マルウェアに感染したUSBメモリなどをパソコンに接続することで感染することがあります。外部記録媒体がマルウェアの運搬役になってパソコンからパソコンに感染が拡大していくケースもあります。
4.感染した場合の被害例
次にマルウェアに感染した場合の代表的な被害例を紹介します。
4-1 端末を乗っ取られる
端末を乗っ取られてしまうと、勝手にアプリケーションを操作されたり、外部と通信されたり、攻撃の踏み台にされてサイバー攻撃の加害者になってしまうケースもあります。
4-2 情報を搾取される
個人情報を不正に搾取されたり、オンラインバンキングを不正操作されてしまい、不正送金されることもあります。
4-3 情報の破壊やファイルをロックされる
データを破壊・改ざんされたり、ランサムウェアのようにパソコンやファイルをロックされて身代金を要求されたりします。
5.マルウェアに感染しないために
主な予防策としては以下が挙げられます。感染の入り口は各従業員の端末となるケースもあり、とりわけメール経由が多いと言われていますので、個人個人のセキュリティ意識を高めていくことも必要です。
・OSやアプリケーションは最新の状態にする
・ウイルス対策ソフトをインストールし、最新版を保つ
・不審なメールは開かない、怪しいサイトを閲覧しない
・怪しいリンクはクリックしない(リンクにカーソルを当ててURLをチェックする)
6.まとめ
マルウェアも巧妙化しており、潜伏して攻撃の機会をうかがっている場合もありますのでウイルス対策ソフトの導入など基本的なことは徹底しましょう。そのうえで、感染の疑いがある挙動などを知ることで感染を未然に防ぐ、仮に感染してしまったとしても感染の初期段階で気づき拡大する前に駆除していくような体制作りが大切です。
![[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス](https://blogs.trellix.jp/wp-content/uploads/2018/03/クラウドとビジネス.png)