個人情報へのアクセスから重要なビジネスデータの窃盗まで、脅威アクターは悪意のあるコードやマルウェアを使用して世界中のシステムを侵害し、損害を与えます。悪意のあるコードとは、システム内部に好ましくない影響を与えようとするコード全般を指します。

悪意のあるアクターは、スパイウェアやトロイの木馬などのコードを使用して攻撃することがあります。この悪意のあるコードを特定してシステムから削除することが、セキュリティと安定性のためには不可欠です。まず第一に、悪意のあるコードを予防するための戦略があります。では悪意のあるコードとは何でしょうか。また、どのようにして防御すればよいでしょうか。

悪意のあるコードの定義

悪意のあるコードとは、スクリプトの一部になっている場合もソフトウェアシステムに埋め込まれている場合も、アプリケーションのセキュリティに損害、セキュリティ違反、またはその他の脅威を発生させるように設計されたコードを指す用語です。この定義で重要なのは、意図があることです。悪意のない攻撃もありますが、多くは偶発的なものか過失によるものです。マルウェアは、たとえばフィッシングEメールからネットワークに感染することがあります。

悪意のあるコードには、次のようなさまざまな形式があります。

• トロイの木馬
• ウイルス
• ワーム
• ランサムウェア
• バックドア攻撃

悪意のあるコードは、コンピューターやネットワークを大きく混乱させる恐れがあります。ファイルが削除される、ハッカーがコンピューターを乗っ取る、パスワードが侵害される、日常業務が停止するなどの危険性があります。このような危険性があるため、米国ではNIST SPにあるセキュリティ管理ガイドラインに準拠することが非常に重要です。悪意のあるアクターは、システム内に挿入されたコードによりアクセス権を取得します。どのような損害が生じるかは、使用された悪意のあるコードの種類と攻撃者の意図に応じて異なります。

悪意のあるコードの例

悪意のあるコードはコンピューターの登場した当初からありますが、年月を経て形態は変化しています。1980年代には、悪意のあるコードはフロッピーディスクを使用してファイルを感染させるという形態を取っていました。テクノロジーの標準化に伴い、悪意のあるコードやマルウェアは増大し、Web 2.0が幅広く使用されることで、それがさらに加速されました。

さまざまな種類の悪意のあるコードが、さまざまな方法でシステムを攻撃します。

• バックドア攻撃は、ウイルスまたはテクノロジーを使用して、あらゆるセキュリティ対策をバイパスし、システムまたはネットワークへ不正にアクセスできるように設計されています。
• スクリプト攻撃は、通常はWebアプリケーションを介したブラウザ側のスクリプトとして、信頼できるWebサイトに悪意のあるスクリプトを挿入します。TweetDeckが受けた攻撃では、被害に遭ったユーザーが全員それをリツイートした結果、短時間で広範囲に広がりました。
• コンピューターワームとは、自分を複製してネットワーク内のコンピューターに広がるように設計されたウイルスです。2004年には、MyDoom、Bagle、Netskyの作者がEメールワームをお互いに拡散させ、最終的にEメールスキャンの実装を強化するという結果になりました。
• トロイの木馬は、正当なコードまたはソフトウェアになりすますマルウェアです。ネットワーク内部に入った攻撃者は、正当なユーザーと同じアクセス権を取得し、ファイルやデータを変更できるようになります。
• スパイウェアは隠れて潜伏し、攻撃者がコンピューターのハードドライブから情報を収集してデータを送信できるように設計されています。これにより、攻撃者は画面取得、キーロギング、カメラ制御などの機能にアクセスできます。
• ランサムウェアは、攻撃者に金銭が支払われるまでシステムへのアクセスをブロックするという悪意のあるソフトウェアです。

攻撃者は、悪意のあるコードの種類に応じてさまざまな方法を使用します。方法には、次のようなものがあります。

• ソーシャルエンジニアリング。これは人間同士のやり取りを通じて行われ、セキュリティ質問への回答のような機密情報を開示するように相手を誘導するという方法です。
• 悪意のあるスクリプト。正当なWebサイトまたはサードパーティのスクリプト内に隠された、コードの断片または悪意のあるファイルです。
• 脆弱性の悪用。ネットワークやシステムをマルウェアの影響を受けやすくし、悪意のあるコードを挿入してさらに攻撃を加えやすくするために使用されます。
• サプライチェーンの悪用。供給や販売を行う外部関係者と組織の間の関係を標的にします。

このような悪意のある攻撃は、それぞれが1台のコンピューターにアクセスするだけで、システムに大混乱を生じさせることができます。形態がマルウェア攻撃の場合もコンピューターウイルスの場合も、この悪意のあるコードは早期に検出して削除する必要があります。

悪意のあるコードの検出と削除

コンピューターまたはネットワークが悪意のあるコードまたはマルウェアの被害を受けていることを警告する一般的な兆候がいくつかあります。

• 夜間にコンピューターの速度が大幅に低下する
• コンピュータープログラムが、再起動しても頻繁にクラッシュする
• コンピューター上にスパイウェアがあると通知するポップアップが何度も画面に表示される
• オフライン中にネットワークアクティビティにアクセスがあれば、ウイルスの兆候
• ハードドライブの容量が急に増減する
• 自分のEメールアドレスからの不審なメッセージを連絡先のユーザーが受信することがある

このような兆候がある場合、システム内に悪意のあるコードがすでに侵入していることは確かです。このような悪意のあるコードには、各種のアンチウイルスソフトウェアとアンチマルウェアで検出して削除できるものがあります。このコードを削除するには、インターネット接続を手動で切断し、セーフモードに入り、一時ファイルを削除します。

この後、マルウェアスキャナーを実行してシステムの回復操作を開始できます。悪意のある攻撃から回復させるには、ビジネスのリソースを大量に消費する場合があります。次に、悪意のあるコードをまとめて防止するための手順を説明します。

悪意のあるコードの防止

悪意のあるソフトウェアの形態は無数にあり、ビジネスを安全に保つことは苦しい戦いになることがあります。悪意のあるコードを避けて安全を保つことは継続的なプロセスですが、ビジネスでの安全を確保するために実施できる手順があります。

• ホワイトボックステストを使用して、システムがどのように機能するかを完全に理解した上で、攻撃に対するシステムのセキュリティをチェックする。
• 社内全体で社員のセキュリティトレーニングを実施する。
• フィッシング対策ソリューションを使用して、信頼できる実体を装った攻撃者からのフィッシング試行をブロックする。
• アンチウイルスソフトウェアとアンチマルウェアソフトウェアを購入して保守する。
• 安全なWeb閲覧機能を使用する。
• ソフトウェア脆弱性を頻繁にスキャンする。
• ソフトウエアのパッチ適用と更新を頻繁に行う。
• ゼロトラストアクセス管理を使用する。これは、本人の身元が確認できるまでの間、すべてのアクセス試行を信頼できないものとして扱います。

これらの異なるセキュリティ戦略を組み合わせて使用すると、悪意のあるコードに対するビジネスの保護に大きく役立ちます。多くの場合、悪意のある攻撃に対する防御としては、アンチウイルスソフトウェアの使用がベストですが、別の方法を取り入れることで、ビジネスの安全性は大幅に高まります。

クラウドストライクによる悪意のあるコードからの保護

現代のビジネスには、情報テクノロジーの使用が必須です。ソフトウェア、コード、Eメールの使用は、セキュリティの脆弱性につながるおそれがあります。攻撃者は悪意のあるコードとマルウェアを使用して、この脆弱性を利用しますが、それを防ぐための対策を講じることができます。

クラウドストライクには、最先端のテクノロジーに人間らしさを加味したさまざまな製品があります。CrowdStrike Falcon®プラットフォームは、単一の軽量エージェントを介してクラウドネイティブな次世代エンドポイント保護を行い、一連の補完的な予防および検出方法を提供します。詳しくはこちらをご覧ください。