マルウェア.

マルウェア(悪意のあるソフトウェア)は、実行されるシステムや利用者に害を及ぼす挙動を持つコードの総称である。ウイルス、ワーム、トロイの木馬、ランサムウェア、スパイウェア、ルートキット、ローダー、ワイパーなどを含み、現代の攻撃ではこれらが連鎖的に組み合わされることが多い。たとえば、メールのおとりがローダーを投下し、そのローダーがバンキング型トロイを取得し、さらにランサムウェアを展開するといった流れである。配布経路としては、フィッシング、ドライブバイダウンロード、不正広告(マルバタイジング)、サプライチェーン侵害、外部メディア、未パッチ脆弱性の悪用などが用いられる。

象徴的なインシデントを見ると、その全容が浮かび上がる。Stuxnet(2010 年)は 4 件の Windows ゼロデイを利用してイランのウラン濃縮用遠心分離機を破壊し、物理的破壊を引き起こした最初のマルウェアとなった。WannaCry(2017 年 5 月)は、流出した SMBv1 の脆弱性 EternalBlue(MS17-010)を武器化し、150 か国で 20 万台超の端末へワームのように拡散した。NotPetya(2017 年 6 月)はランサムウェアを装っていたが実際はワイパーであり、Maersk や Merck などに推定 100 億ドルの被害をもたらした。Emotet はバンキング型トロイから主要なマルウェア・アズ・ア・サービス(MaaS)型ローダーへと成長したが、協調的な摘発作戦(Operation Ladybird)によって 2021 年 1 月にインフラが押収された。ただし、その後再び復活した。

現代のマルウェアは、パッキング、ポリモーフィズム、システム正規ツールの悪用(LOLBins)、ファイルレス技術などを用いて、シグネチャ検知を回避する。防御は多層的に行う。挙動ベースの検知を担うエンドポイント検知・対応(EDR/XDR)、迅速なパッチ適用、アプリケーション許可リスト、ネットワーク分離、最小権限、フィッシング耐性のある多要素認証(MFA)、利用者教育、そして復元テスト済みの改ざん不可能なオフラインバックアップを組み合わせることが重要である。

flowchart TD
  D[Delivery: phishing / exploit / supply chain] --> E[Execution on endpoint]
  E --> P[Persistence: registry, scheduled task, service]
  P --> C2[Command and control channel]
  C2 --> A{Objective}
  A --> S[Steal data or credentials]
  A --> R[Encrypt for ransom]
  A --> L[Lateral movement]
  L --> P