SECURITY Q&A

セキュリティ質問箱 | ビジネス現場の疑問について回答します

社員が使っているパソコンにマルウェアが潜伏しているのではないかと不安でなりません。

この記事をシェア

被害報道を読むと、外部からの通報により感染に気付くことが多いようですが、内部で検査をするには、どのような手順が必要でしょうか?

 

A

企業を攻撃するマルウェアの中には、ウイルス対策ソフトを運用していても検知しにくいものがあります。多くのマルウェアは不特定多数を狙ってばらまかれるのですが、場合によってはあなたの組織だけを標的としていることもあります。この場合、ウイルス定義データベースと合致しない亜種のマルウェアが用いられており、ウイルス対策ソフトのスキャンに引っ掛からない可能性があります。また、常にウイルス対策ソフトは最新のウイルス定義データベースを配布しているのですが、新種マルウェアの攻撃がある場合、この更新が間に合わないこともあります。その結果、検知をすり抜けて社内のパソコンなどに潜伏している可能性が出てきます。特に業務で外部からのメールや受け付けフォームなどをやりとりする部署では感染リスクが高くなりますので、機会を設けてきちんとした検査をするべきでしょう。

近年、検知をすり抜けて感染した多くのケースでは、「標的型攻撃メール」という手法が用いられています。普段取引をしている社名や担当者名、いかにも自分に関係のありそうな件名や添付ファイル名などが記載されており、普通のメールと区別がつきにくいのが特徴です。

実際に被害があった組織へのメールには、件名に「医療費のお知らせ」「医療費通知のお知らせ」「健康保険のお知らせ」「謹賀新年」「新年のご挨拶」などのほか、標的となった組織の業務に固有の件名などが用いられていました。

そのため、思わず添付ファイルを開いたり、本文中のリンクURLをクリックしたりしてしまい、感染に至ります。そしてその後、機密情報を盗み出したり、スパムメールを送信したり、組織内の他のパソコンに侵入するなど、本格的にマルウェアの攻撃活動が始まります。

つまり標的型攻撃メールは、(1)メールの受信、(2)ウイルス感染、(3)攻撃活動、といった3段階で被害をもたらします。

つまり標的型攻撃メールは、(1)メールの受信、(2)ウイルス感染、(3)攻撃活動、といった3段階で被害をもたらします。

1)メールの受信

攻撃側から標的型攻撃のメールが送られてきます。送信者や件名、本文、添付ファイル名などは明らかに怪しい場合もありますが、ほとんど違和感のないものが数多く出現しています。

もちろんメールが届いた時点でウイルス対策ソフトが検知する場合もあります。ただし圧縮の仕方が巧妙だったり、ウイルス定義データベースにない亜種が添付されていたりすれば、その限りではありません。

2)ウイルス感染

メールを受信しただけで攻撃が始まるわけではありません。送られてきたメールにある、圧縮された添付ファイルを解凍したり、本文中にあるURLリンクをクリックしたりすることによって、ウイルス感染、つまり攻撃側の望む活動ができるようなプログラムが起動します。

ここでも、ウイルス対策ソフトが検知する場合があります。ヒューリスティックエンジンを備えていれば、ウイルス定義データベースにない亜種でも挙動やプログラムのパターンによっては検知できることもあります。

3)攻撃活動

ウイルス対策ソフトの裏をかいて、直ちに不正行為を行わず、しばらくの間は静かにしていて突然活動を始めたり、こっそりと外部との通信ができるようにしておいて後から本攻撃のためのプログラムを投入したり、攻撃側はかなり巧妙な手口を使います。

その結果、パソコン内の情報を盗み出すのが最も多いケースで、そのほか遠隔操作によってスパムメールを送信したり組織内の他のパソコンに侵入して感染を拡大させたりするなど、さまざまな攻撃を仕掛けます。

検査の仕方

こうした標的型攻撃によって組織内のパソコンにマルウェアが潜伏してしまっているのではないかと不安な場合、下記の2点について、まず確認を行ってください。

1)怪しいファイルが潜伏していないか

怪しいファイルについては、これまでにセキュリティベンダや公的団体が収集している情報がありますので、その情報を基に怪しいファイルの存在の有無を確認するとともに、自動起動設定に怪しいファイルが紛れていないかを調べます。

2)怪しい通信が行われていないか

通信状況を取得し、通信先の確認を行い、接続を行っているプロセスを調べます。

実際の検査内容・方法など

上記の1)と2)については、IPA(独立行政法人情報処理推進機構)が詳しい情報を公開しています。怪しい実行ファイルの名称一覧、怪しいファイルや通信方法の確認の仕方、発見した場合の対応について、説明されています。

怪しいファイルや通信を発見したときの対応

怪しいファイルを発見した場合は、マルウェアが侵入を試みた可能性が高くなります。そのため、マルウェアによる怪しい通信の確認も行った方がいいでしょう。万が一、ウイルス感染が疑われた場合の対応を以下に示します。

1)該当するパソコンをネットワークから切り離す
2)ファイアウォールやプロキシサーバーで通信をブロックする
3)セキュリティベンダなどの専門家に相談する

該当するパソコンが踏み台とされ、他のパソコンにウイルス感染が広がっている可能性も考えられます。セキュリティベンダなどの専門家に相談するなど、正確な被害範囲や感染原因を把握した上で対応を進めることをお勧めします。

この記事をシェア

業務PCのセキュリティ対策に

マルウェア情報局の
最新情報をチェック!