TOPセキュリティ > マルウエアの種類と特徴(中)

セキュリティ

マルウエアの種類と特徴(中)

2020/12/09

Roger A. Grimes CSO

5:ランサムウエア

 ランサムウエアは、感染先のマシンのデータを暗号化して「人質」にとり、仮想通貨で「身代金」を支払うよう要求するマルウエアだ。ここ数年は、マルウエア全体の中で大きな割合を占めており、現在も増え続けている。これまで、企業、病院、警察、さらには自治体までもが、ランサムウエアの被害に遭ってきた。

 ランサムウエアの多くはトロイの木馬で、何らかのソーシャルエンジニアリングにより侵入する。ランサムウエアが動作を始めると、数分のうちにファイルを暗号化する場合が多いが、最近では静観型のアプローチをとるランサムウエアも見られ、何時間かユーザーを観察したうえで暗号化の処理を始める。こうした時間を使って、どの程度の身代金を奪えるかを見定めたり、ユーザーが安全に保存したつもりのバックアップの削除や暗号化を行ったりする。

 ランサムウエアの防御策は他のマルウエアと変わらない。だがランサムウエアの場合、いったん侵入を許したら、検証済みの万全なバックアップがない限り、復旧は厳しい。いくつかの調査によると、身代金を支払う被害者は25%程度いるが、そのうち30%程度は、結局ファイルを元に戻せないままとなっている。ファイルの復号が可能な場合でも、適切なツールと復号鍵、そしてかなりの運が必要だ。重要なファイルは、オフラインですべてを確実にバックアップしておくことをお勧めする。

6:ファイルレスマルウエア

 ファイルレスマルウエアは、実行や常駐の方法で見た区分の1つだ。従来型のマルウエアは、ファイルという形で移動し、新たなマシンに感染する。ファイルレスマルウエアは、ファイルやファイルシステムを直接的には使わず、メモリー上のみの処理で攻撃や拡散を行ったり、レジストリーキー、API、スケジュールタスクなど、OSが備えるファイル以外のオブジェクトを利用したりする。現在では、マルウエア全体の50%以上を占め、増え続けている。

 ファイルレス攻撃の多くは、既存の正当なプログラムを利用し、新たに起動されたサブプロセスとなるか、あるいはOSに標準装備の正規のツール(例えばMicrosoftのPowerShellなど)を利用する。このため、検出や停止が難しい。

翻訳:内山卓則=ニューズフロント

↑ページ先頭へ