本記事は学習用です。作成には ChatGPT と GitHub Copilot を使用しています。
1. 導入:マルウェアとは何か
マルウェア(malware)は、malicious(悪意のある)と software(ソフトウェア)を組み合わせた造語であり、不正アクセス・情報窃取・システム破壊などを目的として作られた悪意あるソフトウェアの総称を指す。(〖NTT西日本〗法人向けICTサービス・ソリューション)
NIST(米国国立標準技術研究所)はマルウェアを「情報システムの機密性・完全性・可用性に悪影響を与える不正な処理を行うソフトウェアまたはファームウェア」と定義し、その例としてウイルス、ワーム、トロイの木馬、スパイウェア、アドウェアなどを挙げている。(NISTコンピュータセキュリティリソースセンター)
日本国内の解説サイトやベンダー資料では、代表的なマルウェアとして以下が頻出する。(Hitachi Solutions)
- ウイルス
- ワーム
- トロイの木馬
- ランサムウェア
- スパイウェア
- アドウェア
- ボット/ボットネット
- ルートキット
- リモートアクセス型トロイ(RAT)
- キーロガー
- インフォスティーラー
- ファイルレスマルウェア
- クリプトマイナー など
これら多様なマルウェアを分類の観点ごとに整理し、代表的な種類を押さえたうえで、実務的な対策の考え方を理解できる状態にする。
2. マルウェア分類の軸を整理する
2.1 分類の主な観点
- 自己増殖性の有無
- 自己増殖する:ウイルス、ワーム など
- 自己増殖しない:トロイの木馬、ランサムウェアの多く、スパイウェア など
- 感染経路・侵入手段
- メール添付ファイル
- マクロ付き文書(Office ファイル)
- 改ざん Web サイト(ドライブ・バイ・ダウンロード)
- 脆弱性攻撃(exploit kit、リモートサービスの脆弱性)
- USB メモリなどのリムーバブルメディア
- 主な目的・被害内容
- 情報窃取(インフォスティーラー、キーロガー、スパイウェア)
- 金銭要求(ランサムウェア、バンキングマルウェア)
- 不正利用基盤化(ボット、クリプトマイナー)
- システム破壊・妨害(ワイパー型マルウェア、DDoS ボット)
- 隠蔽手法・持続性
- ルートキットによるカーネル/ドライバレベルの隠蔽
- ファイルレス(レジストリやメモリ上のみで活動)
- 正規ツールの悪用(Living off the Land:PowerShell, WMI など)
2.2 分類のイメージ表
代表的なマルウェアを、自己増殖性と主目的の軸でざっくり整理すると次のようになる。
| 種類 | 自己増殖 | 主な目的 | 典型的な被害例 |
|---|---|---|---|
| ウイルス | あり | 破壊・妨害・拡散 | ファイル破壊、動作遅延、誤動作 |
| ワーム | あり | 拡散・侵入 | ネットワークを介した急速な感染 |
| トロイの木馬 | なし | 不正侵入・バックドア | 攻撃者による遠隔操作 |
| ランサムウェア | なし ※ | 金銭要求 | ファイル暗号化、業務停止 |
| スパイウェア | なし | 情報窃取 | ID/パスワードや閲覧履歴の漏えい |
| ボット/ボットネット | 場合により | 不正利用基盤化 | DDoS 攻撃発信、スパム送信 |
| ファイルレスマルウェア | なし | 様々(情報窃取・横展開など) | メモリ上のみで活動し検知回避 |
| クリプトマイナー | なし | 暗号資産のマイニング | CPU/GPU 資源の占有、電力コスト増大 |
※ ランサムウェアの中にはワームのように自動で横展開するもの(WannaCry など)もある。
このような「分類の軸」を押さえておくと、新しいマルウェアに出会ったときでも、どの系統に近いか、どのような対策の組み合わせが効きやすいかを推測しやすい。
3. 主なマルウェアの種類(基礎編:ウイルス・ワーム・トロイ)
3.1 コンピュータウイルス
コンピュータウイルスは、他のプログラムやファイルに自分自身をコピーしながら増殖するマルウェアである。多くの場合、感染したファイルが実行されることで活動を開始する。(情報処理推進機構)
特徴:
- 他の実行ファイル等に寄生して増殖
- 感染ファイルが実行されると活動開始
- ファイル破壊・改ざん、動作妨害、メッセージ表示など多様なペイロード
現在は、純粋な「古典的ウイルス」単体よりも、トロイの木馬やランサムウェアなどに機能が統合されているケースが多いとされる(推測だが、近年の報告や実事案の傾向からの一般論)。
3.2 ワーム(Worm)
ワームは、ネットワーク経由で自己増殖するマルウェアであり、ファイルに寄生しない点がウイルスと異なる。(情報処理推進機構)
特徴:
- OS やサービスの脆弱性を悪用して自動感染
- ユーザー操作がなくても、ネットワーク上で急速に拡散
- ネットワーク帯域の逼迫や大量トラフィックによるサービス障害を引き起こすことがある
代表例として、Code Red、SQL Slammer、Conficker などが歴史的に有名。
3.3 トロイの木馬(Trojan Horse)
トロイの木馬は、一見無害なアプリケーションやファイルを装い、ユーザー自身にインストール・実行させることで侵入するマルウェア。(skyseaclientview.net)
特徴:
- 正規ソフトウェアやゲーム、ユーティリティ、文書ファイルを装う
- 表向きは期待された動作を行いつつ、裏で不正処理(バックドア、情報窃取など)を実行
- メール添付や不審サイトからのダウンロード、クラック版ソフトなどから広がる
トロイの木馬は「動作の隠蔽・偽装」という観点で重要であり、ランサムウェアやスパイウェアの配布手段として利用されることも多い。
4. 主なマルウェアの種類(実務で頻出のタイプ)
4.1 ランサムウェア(Ransomware)
ランサムウェアは、感染端末のファイルを暗号化したり、端末をロックしたりして利用不能にし、「元に戻す代わりに身代金(ransom)を支払うよう要求する」マルウェアである。(jpcert.or.jp)
特徴:
- ファイル暗号化型、画面ロック型、データ窃取+恐喝(ダブル/トリプル恐喝)などの亜種
- 侵入後に内部ネットワークで権限昇格・横展開したうえで、一斉暗号化する「侵入型ランサムウェア攻撃」が主流(jpcert.or.jp)
- 日本でも、IPA の「情報セキュリティ10大脅威」で組織向け脅威の第 1 位として複数年連続で選出されている。(警視庁)
代表的な攻撃シナリオ(簡略化):
- VPN や公開サーバの脆弱性、フィッシングメールなどから侵入
- 管理者権限の取得、ドメインコントローラ支配
- バックアップや監視の無効化、ログ削除
- ファイルサーバ・クライアントを一斉暗号化
- 盗んだデータを材料に、復号鍵と引き換えの身代金要求+情報公開の脅し
4.2 スパイウェア(Spyware)・インフォスティーラー
スパイウェアは、ユーザーの行動や情報を密かに収集し、攻撃者に送信するマルウェアである。(skyseaclientview.net)
- ブラウザ履歴、クッキー、保存されたパスワード
- クリップボード内容
- 入力フォームの内容 などを盗み取る。
特に認証情報や機微情報の窃取に特化したものを インフォスティーラー(information stealer) と呼ぶことが多い。企業環境では、侵入後の横展開前に「どのアカウントが使えそうか」を探るフェーズで活用される。
4.3 キーロガー(Keylogger)
キーロガーは、キーボード入力を記録するマルウェアであり、ID・パスワード・クレジットカード番号・チャット内容などを盗み見る目的で使われる。(lanscope.jp)
- OS レベル、ドライバレベル、アプリケーションレベルなど、さまざまな実装形態がある
- セキュリティソフトから見えにくいよう、ルートキットやドライバ署名を悪用するケースもある
4.4 ボット(Bot)・ボットネット
ボットは、攻撃者が遠隔から指令を送ることで、不正行為に利用できるようにされたマルウェア感染端末である。多数のボットがネットワークでつながり、指令サーバのもとで連携して動作する状態を ボットネット(Botnet) と呼ぶ。(sec.cloudapps.cisco.com)
主な用途:
- DDoS 攻撃の踏み台
- スパムメール送信
- さらなるマルウェア配布
- クリック詐欺、広告不正 など
ボット自体は単純なマルウェアでも、ボットネット全体としての規模と運用が大きな脅威となる。
4.5 クリプトマイナー(Cryptominer)
クリプトマイナーは、感染端末の CPU/GPU 資源を密かに利用して暗号資産(仮想通貨)のマイニングを行うマルウェアである。(lanscope.jp)
- 端末の動作が重くなる、電力消費が増える
- クラウド環境では予期せぬリソース課金・コスト増につながる
- 他のマルウェアとの複合(ボット+クリプトマイナー)も見られる
金銭的なインセンティブが明確なため、今後も形を変えて継続的に発生すると考えられる(推測だが、近年の動向から見た一般的見解)。
5. マルウェアの種類(隠蔽・持続・高度化の観点)
種類の名前だけでは見えにくいが、実際の攻撃では「侵入」「隠蔽」「権限維持」「横展開」を通して複数のマルウェア機能が組み合わさることが多い。
5.1 ルートキット(Rootkit)
ルートキットは、マルウェアや攻撃者の存在を OS から隠蔽するための仕組みの総称であり、単独でも、他のマルウェアに組み込まれても使われる。(情報処理推進機構)
- カーネルモジュールやドライバとして組み込まれるタイプ
- ブートキット(ブートローダ起動前に常駐するタイプ)
- UEFI やファームウェアに常駐する高度なタイプ
深い層に入り込むため、検出・駆除には専門家に確認が必要なケースが多い。
5.2 RAT(Remote Access Trojan)
RAT(リモートアクセス型トロイの木馬) は、攻撃者が GUI やコマンドを通じて感染端末を自由に操作できるようにするマルウェアである。(lanscope.jp)
典型的な機能:
- ファイルのアップロード/ダウンロード
- キーロギング、画面キャプチャ、Web カメラ・マイクの遠隔操作
- シェル操作、プロセス実行
- 他マルウェアの配布、横展開
RAT は「人手による侵入型攻撃」の中核を担うことが多く、ランサムウェア攻撃前の偵察・準備にも使われる。
5.3 ファイルレスマルウェア(Fileless Malware)
ファイルレスマルウェアは、ディスク上にマルウェア本体のファイルをほとんど残さず、レジストリやメモリ上で活動するタイプのマルウェアを指す。(lanscope.jp)
特徴:
- 正規ツール(PowerShell, WMI, Office マクロなど)を悪用
- シグネチャベースのウイルス対策ソフトで検知しにくい
- 挙動ベースの検知、EDR(Endpoint Detection & Response)の重要性が増す
5.4 モバイルマルウェア・悪意あるモバイルコード
スマートフォンやタブレット、IoT 機器を狙う モバイルマルウェア も増加している。IPA によるマルウェアガイドでは、悪意のあるモバイルコードをマルウェアの一分類として示している。(情報処理推進機構)
- 偽のアプリストアやフィッシング SMS を通じて配布
- 認証アプリや SMS 認証コードの盗み見(2FA 無効化)
- カメラ・位置情報・連絡先などモバイル固有の情報の窃取
モバイル環境は BYOD やテレワークとも関係し、企業の境界防御モデルを崩す要因となる。
6. マルウェアの感染経路と攻撃パターン
マルウェアの種類を理解したら、どのような経路で侵入し、どのような流れで被害が広がるかを押さえることが重要になる。
6.1 典型的な感染経路
代表的な解説サイトを踏まえると、以下の感染経路が特に多い。(skyseaclientview.net)
- フィッシング/マルスパムメール
- 添付ファイル(Office マクロ付き、ZIP+実行ファイルなど)
- メール本文中の URL から不正サイトに誘導
- 改ざん/悪性サイトによるドライブ・バイ・ダウンロード
- 正規サイトが改ざんされ、悪性コンテンツが埋め込まれる
- 広告ネットワークを悪用したマルバタイジング
- ソフトウェア・OS の脆弱性悪用
- VPN 機器やリモートデスクトップ(RDP)
- Web サーバやアプリケーションの脆弱性
- ミドルウェア(例:Confluence、VMware、メールゲートウェイなど)
- USB メモリなどリムーバブルメディア
- 社外から持ち込まれた USB 経由で感染
- ICS/工場系ネットワークで特に問題になる
- サプライチェーン・正規ソフトの侵害
- 正規ソフトウェア配布サイトやアップデートサーバが侵害される
- サードパーティ製ソフトウェアにマルウェアが混入
6.2 侵入型ランサムウェア攻撃のパターン
JPCERT/CC が「侵入型ランサムウェア攻撃」として整理しているパターンを参考に、一般化すると次のような流れになる。(jpcert.or.jp)
- 初期侵入(VPN/公開サーバの脆弱性、フィッシングなど)
- 認証情報窃取(インフォスティーラー、キーロガー、Mimikatz などツールの悪用)
- 権限昇格・ドメイン支配
- 内部偵察(共有フォルダ、バックアップ、重要システムの把握)
- ランサムウェア展開準備(セキュリティ製品停止、ログ削除)
- 一斉暗号化+データ窃取と恐喝
この流れの各ステージで、前述したマルウェアの複数種類が組み合わされることが多い。
7. マルウェア全般に共通する対策・設計と運用のポイント
7.1 技術的対策の基本
複数の国内外解説を踏まえると、企業・組織に求められる基本的対策は次のように整理できる。(〖NTT西日本〗法人向けICTサービス・ソリューション)
- パッチ管理・脆弱性対応
- OS・アプリケーション・ミドルウェアを最新状態に保つ
- VPN 機器・NAS・各種アプライアンスのアップデートを漏らさない
- 重要な公開サービスについては、脆弱性情報を能動的に追う
- マルウェア対策ソフト/EDR の導入
- シグネチャ+挙動検知
- ファイルレス攻撃・正規ツール悪用に対応できる EDR の検討
- 検知ルールのチューニングとアラート運用
- ネットワークセグメンテーション
- 社員端末、サーバ、管理ネットワーク、OT/ICS を論理的に分離
- ランサムウェアの「横展開」を抑制する設計
- 境界防御とゼロトラストの両立
- メール・Web ゲートウェイでのスキャン
- プロキシ/ファイアウォールで不要な通信の制限
- ゼロトラストの考え方に基づく、端末・ユーザーごとの認証・認可の強化
- バックアップ戦略
- オフラインバックアップ、世代管理
- バックアップからのリストア手順を定期的に検証
- バックアップもランサムウェアの標的であることを前提に設計する
7.2 運用・プロセス面のポイント
- ログ取得と分析基盤
- OS/セキュリティ製品/ネットワーク機器からのログを一元管理
- 少なくとも認証失敗、管理者権限の取得、疑わしいプロセス実行を追跡可能にする
- IPA もログの取得・管理方法の定期的な点検を推奨している。(情報処理推進機構)
- インシデント対応計画
- 感染を前提にした「封じ込め・根絶・復旧」の手順書
- 連絡体制(経営層、CSIRT、関係当局)と役割分担
- ランサムウェア被害時の法的・社会的影響の検討
- 教育・訓練
- フィッシングメールの見分け方
- 不審なファイル・リンクを開かない行動
- USB や外部サービスの利用ルール
- サプライチェーン・委託先管理
- セキュリティ要件を契約書・SLA に盛り込む
- 重要システムの委託先に対するセキュリティ状況の確認
7.3 技術者として種類を学ぶときの視点
マルウェアの種類を学ぶ際には、以下の問いで整理すると理解が深まりやすい。
- これは「自己増殖型」か「非自己増殖型」か
- 主な目的は「情報窃取」「金銭要求」「破壊」「不正基盤化」のどれか
- どのレイヤーに常駐し、どのように隠蔽するか
- 実際の攻撃シナリオのどのフェーズで使われることが多いか
- 既存のどのマルウェアファミリと似た構造を持っているか
この視点で分類していくと、新しい名前のマルウェアに出会ったときでも、既知のカテゴリとの共通点・相違点を理解しやすくなる。
8. まとめ
- マルウェアは「悪意あるソフトウェアの総称」であり、ウイルス・ワーム・トロイの木馬・ランサムウェア・スパイウェアなど多数の種類がある。(〖NTT西日本〗法人向けICTサービス・ソリューション)
- 分類の軸として、「自己増殖性」「感染経路」「目的(情報窃取/金銭要求/破壊/不正基盤化)」「隠蔽手法」を押さえると理解しやすい。
- 近年の実務では、ランサムウェア・スパイウェア/インフォスティーラー・ボット・ファイルレスマルウェア・クリプトマイナーなど、金銭的インセンティブの強いマルウェアが重点的な脅威になっている。
- 実際の攻撃では、複数種類のマルウェアが「侵入→偵察→権限昇格→横展開→破壊/恐喝」というライフサイクルの中で組み合わされる。
- 種類ごとの個別対策だけでなく、パッチ管理、EDR 導入、ネットワークセグメンテーション、ログ管理、バックアップ、教育など、横断的な対策が重要である。
- 重大なインシデント対応や法的判断が必要な場面では、組織内 CSIRT や外部のセキュリティ事業者、弁護士などの専門家に確認が必要である。
A. 参考サイト
- NTT 西日本「マルウェアとは?種類から感染経路、症状、対策まで解説」(〖NTT西日本〗法人向けICTサービス・ソリューション)
- SKYSEA Client View「マルウェアとは?種類や感染経路・感染時の対処法を解説」(skyseaclientview.net)
- Hitachi Solutions「サイバー攻撃の目的とは?どんな種類があるの?」(Hitachi Solutions)
- LANSCOPE セキュリティブログ「【最新版】マルウェアの種類14選!特徴や事例・対策をわかりやすく解説」(lanscope.jp)
- IPA「マルウェアによるインシデントの防止と対応のためのガイド(NIST SP800-83 翻訳)」(情報処理推進機構)
- JPCERT/CC「ランサムウエア対策特設サイト」「侵入型ランサムウェア攻撃を受けたら読む FAQ」(jpcert.or.jp)
コメント