マルウェアの脅威を理解する

  • 8 分

ユーザーと直接対話するコンピューター システムは、エンドポイント システムと見なされます。 ノート PC、スマートフォン、コンピューターなどのデバイス上のシステムは、セキュリティで保護する必要があります。 これらのデバイスをセキュリティで保護することにより、組織のネットワーク システムでセキュリティ攻撃を行うためのゲートウェイとして機能することを防ぎます。 現代の bring-your-own-devices の世界では、ビジネス リソースに対してアクセス権を持つ個人用デバイスを保護することも意味します。

ニュースには、事故によって個人を特定できる情報を漏洩させた組織に関する話が溢れています。 このような事故は多くの場合、セキュリティ対策の不足や意図的な攻撃の結果として発生します。 ハッカーは、実際のユーザーになりすましたり、ネットワークへのアクセスが承認されているコンピューターやデバイスに何らかの方法で "マルウェア" を侵入させることで、システムへのアクセス権を取得します。

マルウェアとは

マルウェアは、コンピューターまたはネットワークに損害を与えることが意図された悪意のあるソフトウェアです。 多くの場合、ソフトウェアの脆弱性や、知らずにインストールする疑いを持たないユーザーが悪用されます。

マルウェアには、次のような複数の形式があります。

  • ウイルス
  • ワーム
  • トロイの木馬

ウイルス

コンピューター ウイルス (ライブ ウイルスなど) には、住み着く "ホスト" が必要です。 ウイルスは小規模なコードであり、既存のプログラムやドキュメントに添付されたり、ブート セクターなどのハード ドライブの保護領域に隠されたりしています。 保護された領域で非表示になっているため、検索や削除が難しい場合があります。 感染したプログラムが起動すると、多くの場合、ユーザーに気付かれることなく、ウイルスが実行されます。 その後、ユーザーのデータやその他のファイルに対して悪意のある操作が実行されます。 感染したコンピューターから別のコンピューターにファイルが送信されると、データと共にウイルスが拡散される可能性があります。 この動作は、コンピューターのウイルスを分類するものです。他のプログラム内に存在し、ユーザーの介入を必要とします。

ウイルスの例には以下のものがあります。ILOVEYOU、Shamoon、CIH (チェルノブイリ ウイルス)。

ワーム

ワームは、コンピューター ネットワークを経由して自身を複製するスタンドアロン ソフトウェアの 1 つです。 ウイルスに類似したワームは、それ自身を複製するように設計されています。 しかしワームは、既存のファイルに隠れるのではなく、人間の関与なしで他のコンピューターに感染することができる独立したプログラムとして存在します。 ワームはしばしば、感染したコンピューター上のバックグラウンドで実行されながら、コンピューター ネットワーク上を移動していきます。 そこから、コンピューター ソフトウェアの既知の脆弱性を使用して、接続されている他のデバイスを見つけて感染します。

ウイルスの例には以下のものがあります。Melissa、Code Red、Stuxnet。

トロイの木馬

トロイと、街への侵入に使用された木馬の物語は誰もが知っています。 このマルウェアは、何か別のもののふりをするので、同じ名前を採用しています。 トロイの木馬は、その設計内容から、最も危険な種類のマルウェアと考えられています。 これは、ユーザーがインストール "したがる" 便利なソフトウェア ユーティリティを装って拡散されます。 このマルウェアは多くの場合、ユーザーがインストールを承認することが原因で、機密データやプライベート データを含むユーザーのファイルへのアクセス権を取得します。 さらに、トロイの木馬は多くの場合、ハッカーがコンピューターに侵入できるようにするバックドアや、パスワードやクレジット カードなどのキーストロークをキャプチャする "キー ロガー" をインストールします。 他の種類のマルウェアとは異なり、トロイの木馬は広範囲にわたって自己複製するようには設計されていません。感染する特定のコンピューターを制御または破壊することを目的としています。

トロイの木馬の例には以下のものがあります。Gh0st RAT、Zeus、(Android 上の) Shedun。

マルウェアがインストールされるしくみ

マルウェアがコンピューターに最初に侵入する方法はいくつかあります。

  1. 直接インストール。 現在、ほとんどのソフトウェアはインターネット経由で配布されています。 ユーザーは、さまざまなソースからソフトウェアをダウンロードしてインストールすることに慣れています。 マルウェアは、ユーザーが知らないうちに、または改ざんによって承認されたダウンロードを通してインストールされる可能性があります。 この方法は、コンピューターに挿入される感染したドライブ (USB キーなど) にも適用されます。

  2. セキュリティの脆弱性。 ブラウザーなどのソフトウェアの実行における欠陥またはバグ。 オペレーティング システムに存在していて、コンピューターへのマルウェアのインストールを可能にする場合もあります。 この場合、マルウェアによってセキュリティの欠陥を悪用して管理者アクセスが取得されたり、感染したファイルがコンピューターに取得されたりします。

  3. バックドア。 マルウェアは、ソフトウェアに残されている意図的な穴を通してインストールされる可能性もあります。 これらの "バックドア" は、多くの場合、テストやデバッグのために配置されています。 バックドアは、残されたまま運用環境にリリースされた場合、コンピューターやネットワークへのアクセス権を取得するために悪用される可能性があります。

マルウェアから保護する

Microsoft Defender for Cloud と共に使用して、コンピューターやネットワークをマルウェアから保護することができるいくつかの重要な戦略があります。

  • 最新の OS 修正プログラムとバージョンでサーバーを最新の状態に保ちます。 Defender for Cloud は、監視対象システムに修正プログラムが適用されていない場合、自動的にユーザーに警告を行います。
  • Azure Cloud Services および Virtual Machines 用の Microsoft Antimalware などのマルウェア対策をインストールし、ウイルス、スパイウェア、およびその他の悪意のあるソフトウェアを特定して削除します。
  • ファイアウォールを使用してネットワーク トラフィックをブロックします。 Defender for Cloud により、VM とサーバーに対するオープン トラフィックが特定され、Azure の組み込みのファイアウォール機能を有効にする手順が提供されます。
  • マルウェア対策ソリューションと Defender for Cloud を統合して、マルウェア対策保護の状態を監視します。

この最後の手順は、完全な監視計画に不可欠です。 マルウェアの脅威に対して VM とコンピューターを脆弱にする、検出された脅威や不十分な保護などの問題が Defender for Cloud によって強調表示されます。 エンドポイント保護の問題の情報を使用して、特定された問題に対処する計画を立てることができます。