セキュリティ対策ソフトの評価サイト

​

AV-Comparatives
AV-TEST.org
Dennis Technology Labs
VIRUS BULLETIN 100

​

この中でも評価の高いカスペルスキー、ノートン、トレンドマクロなどを導入しておきましょう。

プライベートのパソコン、スマホにも必ずインストールしておきましょう。

セキュリティを担当される方が、マルウエアに感染すると・・・ですし、自宅のパソコンをどうしたらよいかと聞かれたら、すぐに、上記の外部機関による評価結果をもとに、良いセキュリティ対策ソフトをアドバイスできるようにしておきましょう。

​

企業だとCylanceがおすすめです。残念ながら現時点でコンシューマー向けはありません。

​

​

​

攻撃対象のアクセスを奪取するためには、対象のコンピュータをマルウエアに感染させてからアクセスを奪取することが効率的と考えられます。

情報セキュリティ責任者として幅広いマネジメント層やユーザーと対話をする中でマルウエアやウイルスとはどんなものか質問されることが多いと思います。ここでは​マルウエアの種類と、感染経路、対応方法、デモンストレーションについて押さえておきましょう。

 

マルウエアのサンプル検体もWEBで簡単にダウンロードできる状況で、だれがいつ仕掛けてくるかわかりません。

マルウエアはサイバーセキュリティを考えるうえでもトップリスクとしてとらえましょう。

標的型攻撃を考える場合、マルウエアでアクセスを奪取した後は、パスワード（ハッシュ）を奪ってクラックする、RATなどを仕込んで、内部の他のシステムにアクセスを展開するなどが考えられます。

 

言葉の定義を簡単に振り返りましょう。

マルウエア

悪意を持ったソフトウエアの総称です。

コンピュータウイルス、トロイの木馬、スパイウエア、そのほか利用者の意図に反する振る舞い（ファイルの改ざん、削除、情報の収集）を実行するプログラム全般を指します。

 

代表的なマルウエアの種類

コンピュータウイルス

他のファイルやプログラムに寄生して悪意のある行為を行うマルウエアと呼びます。

日本では、歴史的に、悪意のあるプログラム全体のことをマルウエアではなくコンピュータウイルスと呼ぶ傾向にあります。

 

ワーム

他のファイルやプログラムに寄生せず、単独で活動可能なマルウエア。

主に脆弱性を利用し、自己の複製をほかのコンピュータにコピーしながら（感染させながら）増殖します。

 

トロイの木馬

一見無害な画像やアプリケーション、PDFなどの文書に偽装し、コンピュータの内部に入り込むマルウエア。ギリシャ神話のトロイアから呼び名がついています。

 

ボット・RAT（Remote Administration Tool)

標的のコンピュータに侵入し、攻撃者の遠隔操作を可能にするマルウエアです。

機密データのアップロード、スパムメールの送信、DDoS攻撃、インターネットバンキングの不正送金などが行われます。

 

スパイウエア

コンピュータの利用者が閲覧したサイトの情報、キーボードに入力した情報を勝手に収取するマルウエアです。

 

キーロガー

キーボード入力情報の収集に特化したスパイウエアはキーロガーとも呼ばれます。メールなどの入力やパスワードを盗み見されるリスクがあります。

 

アドウエア

利用者のコンピュータ上に強制的に広告を掲載するプログラムの総称です。

利用者の行動履歴に基づき広告を表示させるため、スパイウエアとしての機能を持つ場合があります。

アドウエアに感染した後、悪意のあるWEBにアクセスさせられたり、スパイウエア、トロイの木馬、ランサムウエアなどが徐々にインストールされるなど、マルウエア感染被害の第一歩となる場合が多いです。

 

ランサムウエア

コンピュータ上の特定の識別子のファイル（txt/pdf/docx/xlsx/pptxなど文書ファイル、png/jpg/bmpなど画像ファイル）を手当たり次第に暗号化し、読み取れない状態にしてしまうマルウエアです。ファイルを暗号化した後に、ファイルの復元と引き換えに金銭を要求するような文書や画像、音声を表示することからランサムウエア(ランサムとは身代金の意味:Ransom)と呼ばれます。

ランサムウエア自体を駆除しても一度暗号化されたファイルを復元することはできません。

アンチマルウエアソフトの導入を徹底しておくこと、パッチを最新の状態に保つこと、定期的なバックアップを取ることが必須です。これまでにランサムウエアに感染してしまった被害者を見てきましたが、大事なデータが暗号化された後に必ず大きな後悔をしています。

もしランサムウエアで暗号化されてしまった場合、Kasperskyなどがリリースしている復号化ツールがサポートしていれば復元可能な場合があります。念のために定期的に複合化ツールをチェックしてセキュリティポータルサイトに掲載しておきましょう。

要求された身代金を支払ってもファイルを元に戻せる保証はありません。

セキュリティポリシーとして支払わないこと。払ってしまうと、さらなる標的型攻撃の対象になったり、ニュースに掲載され風評リスクにつながる可能性が考えられます。

 

スケアウエア

"PCに問題があります””PCのパフォーマンスを改善します””スパイウエアを検知しました”などうそのメッセージを画面に表示し、セキュリティソフトに見せかけ利用者にインストールを促し、金銭や個人情報を盗み取るマルウエア。

 

​マルウエアの感染経路

電子メールによる感染

一般的に言われる通り、メールの添付ファイルを不用意に開いてしまうことによる感染が後を絶ちません。

最近でもFedexのinvoice添付ファイルなど広くニュースで取り上げられていた通りです。

（不用意に見知らぬメールの添付ファイルやリンクをクリックしないこと。）

 

WEBサイトからの感染

ドライブバイダウンロード攻撃とも呼ばれます。

攻撃者は脆弱性のあるWEBサイトに悪意のあるプログラムを埋め込みます。

改ざんされたWEBにアクセスしたユーザーのWebブラウザに脆弱性がある場合、サイトを閲覧しただけで、マルウエアがダウンロード・インストールされ感染してしまいます。マルウエアの種類によって、利用者のコンピュータに情報漏洩や遠隔操作が仕込まれてしまいます。

（利用者のコンピュータにセキュリティ対策ソフトをインストールし、セキュリティパッチの適用、バージョンのアップデートすることは非常に重要です。）

 

WEBサイトへの悪意のあるプログラムの埋め込み方の一例：

ハッキング情報収集のページにあるようなツールを使って、脆弱性のあるWEBを探して、Metasploitの(firefox_proxy_prototype)などを実行します。

 

USBメモリなど外部記憶媒体からの感染

私見ですが、多くのセキュリティ対策ソフトはデフォルトの設定で、USBなど外部記憶媒体がコンピュータに接続されてもファイルを読み書きしない限りマルウエアスキャンしないことが多いと思います。そのため、USBファイルにはマルウエアが残っていることが多いように感じます。

良く何年も前に開発したアプリケーションを使っているオフラインPCや社内ネットワークに接続せずインターネットにだけ接続して使っているPCを見かけます。これらの管理者はパッチを適用すると動かなくなるとか、アンチマルウエアソフトを入れるとアプリケーションが動かなくなったりパフォーマンスが落ちると抵抗することがあります。遅かれ早かれUSBからウイルス感染したりインターネットを閲覧してウイルス感染して泣きついてくることがありました。今の時代パッチを当てて動かなくなるアプリケーションは利用禁止にしましょう。また、ほとんどのアンチマルウエアソフトは、スキャン対象の除外を指定できると思います。アンチマルウエアソフトと互換性がないソフトウエアはコーディングの品質やアーキテクチャに問題がある可能性が高いので、それらも利用禁止にし大体アプリケーションを利用するよう指導しましょう。

 

 

マルウエア対策（利用者全員）

セキュリティ対策ソフトをインストールして、定義ファイルを最新にする。（可能であれば定義ファイル・ふるまい検知のソフトではなく、AIベースのものを利用する）

 

Windowsを使っている場合、Windows Firewallを有効にする。（セキュリティ対策ソフトの機能でも可）

 

セキュリティパッチを適用する。ソフトウエアバージョンを更新する。

身に覚えのない送信元のメールを開かない。中身を確認するためにメールを開いたとしても、添付ファイル、本文中のURLリンクをクリックしない。

外部から持ち込んだUSBを不用意にコンピュータに接続しない。接続する場合はファイルを開く前にウイルススキャンを実行する。

 

マルウエア対策(セキュリティ）

ファイアウォールで不要な通信をブロックするとともに、社内から社外へのアクセスが監視できるようにポリシーを設定する。

IPS/IDSを導入し、不審な通信を検知・遮断できるようにする。

Proxyサーバを設置して、URLフィルタリングを実装する。

​SIEMを実装して、セキュリティ対策ソフト、ファイアウォールログ、IPS/IDSログ、Windows ADなどの認証ログを集約してリアルタイムのモニタリングを行う。

詳しくは、セキュリティ対策(SIEM)を参照。

 

マルウエアの検体の入手

マルウエアの検体の入手方法をまとめました。情報を利用する際は以下を一読いただくようお願いします。

マルウェア検体を収集可能なサイトに関しては、あくまでユーザー自身のパソコン環境において検証目的等のために利用してください。

 

マルウェア検体の取り扱いについて正しい知識を有していないユーザーが利用することは、ユーザー自身のパソコン環境において誤って感染してしまうなど重大なセキュリティ問題を引き起こす可能性があります。

 

マルウェア検体はマルウェア検体に関する正しい知識を有するユーザーが、自己責任で行世の中に多数のサイトがありますが、以下4サイトを押さえておけばよいと思います。

Malwaretips.com

https://malwaretips.com/forums/malware-vault-samples.104/

 

Vxvault.net　

http://vxvault.net/ViriList.php

 

Malc0de.com

http://malc0de.com/database/

 

Zone-h.org

http://www.zone-h.org/

http://www.zone-h.org/archive/special=1

不正改ざんサイトに関するURLを配信する海外サイトですがマルウェアの検体を入手することもできます。うようにしてください。

 

著者はこれまでに何度かランサムウエアのサンプル検体をネットワークに接続していないVMにダウンロードし、ユーザーにクリックさせランサムウエアに疑似感染するデモンストレーションを実施しました。毎回ユーザーには印象的な出来事として記憶に残り、そのあとの行動も慎重になります。

​

​