第9回 マルウェア


1. はじめに
昨年秋から年末にかけて、EMOTET(エモテット)というマルウェアが感染を広め、多くの被害を及ぼしました。新しい年になってからもEMOTETの被害の増加が危惧されています。EMOTET自体は数年前から存在し、一度、流行の気配はあったものの、その後広い感染は見当たりませんでした。それが昨年秋から爆発的に流行したのです。その理由はEMOTET自体の進化にあり、強い感染能力を得たことにあります。その感染能力とは、感染した先のパソコンやサーバ等で、それらが持つ情報を分析し、アドレス帳や過去に送ったメールの宛先に、改めて過去のメールを再送するとともに、マルウェアを添付することによって感染を広めるのです。むやみに感染を広めるだけでなく感染先の状況に応じて、マルウェアの機能を変化させる、正確にはダウンロードしてくる機能を変化させるとともに、発見を遅らせる機能も持っているのです。このようにマルウェアは日々進化しているのです。


2. マルウェアとは
今となっては、マルウェアの脅威を楽観的に考える人はいないでしょう。サイバー攻撃の定石は、相手のパソコンの脆弱性(弱点)に付け込んで、マルウェアを感染させ、ひそかにそのマルウェアが動作することによって悪事をはたらくことなのです。攻撃する側にとって、如何にマルウェアを感染させるか、そのマルウェアにどのような悪事をはたらかせるか、そして如何に発見されないように動作させるかが工夫の要になります。

マルウェアはコンピュータウイルスとも呼ばれます。その定義は要約すると、「利用者の意に反する行動を取るプログラムであり、その行動としては、許可なくパソコンに侵入する行為(感染)、プログラム自体をパソコンに保存する行為(潜伏)、そしてプログラムを起動して何らかの意に反する作業を行う行為(発症)であり、その一つにでも当てはまれば該当する」となります。マルウェアの悪意とは、主にこの意に反する作業のことです。マルウェアはコンピュータの出現時からありました。20世紀ごろまでは感染させること自体が目的であり、発症は感染したことを示す、そして誇示するための行為でした。したがって発症にも悪意があるとはいえ、いわば目立ちたいための「いたずら」程度のことだったのです。具体的には誇大なメッセージを表示したり、音を鳴らしたりといった行為です。21世紀になってからは、発症が目的になり、その発症に伴う悪事は金銭目的や相手に対して何がしかの損失(ダメージ)を与えることとなりました。「いたずら」から「犯罪」になったわけです。具体的にはパソコンを遠隔操作して、他のパソコンやサーバを攻撃したり、パソコン内の情報を搾取(漏えい)したり、パソコンについているカメラやマイクを利用して盗撮・盗聴したりするのです。


3. ランサムウェア
ここ数年、話題になっているマルウェアの発症における行為は身代金要求です。身代金と言っても人間を誘拐するわけではなく、パソコンを誘拐するのです。もちろんパソコンを盗むわけにはいきませんので、パソコンを使用不能にして、復旧を条件に金品を要求するのです。このようなマルウェアをランサムウェアと呼びます。その仕組みは、ランサムウェアに感染するとパソコンの中のファイルを暗号化してしまうのです。この暗号を解かなければパソコンは動きません。この暗号を解く方法を質に金品を要求するのです。このランサムウェアへの対策ですが、感染しないことが第一です。しかしウイルス対策ソフトを強化しても感染する場合がないとは言えません。感染に備えて、定期的にファイルのバックアップを行うべきです。いわゆる外付けハードディスク等に特に重要なファイルは定期的に保存し、バックアップを取るとき以外はパソコンと接続しないことです。感染したとしても、暗号化されたファイルは元に戻りませんが、バックアップを用いてパソコンを以前の状態に戻すことは可能になります。またランサムウェアに感染したとしても、バックアップを使わずとも復旧できる可能性もありますので、ランサムウェアに精通した人、もしくは専門家に相談しましょう。

冒頭のEMOTETにおいてもランサムウェアを引き込むことが多いのですが、その発症行為に変化がみられるようになりました。ランサムウェアと同じように意に沿わぬ行為を行い、パソコンを乗っ取るのですが、暗号化して使用不能にするのではなく、パソコンの計算能力を奪い取ってしまうのです。奪い取った計算能力を仮想通貨の採掘(マイニング)に用いるのです。詳しい説明は省きますが、今、話題の仮想通貨は作り出す(発行する)ために大きな計算能力を必要とします。その計算を小分けして、感染させたパソコンに行わせるのです。この場合、感染したパソコンは気づかれることなく計算を繰り返し、その結果を送り続けるのです。感染したパソコン側としては無用な計算を行うことによって、動作が遅くなったり、ソフトウェアが動かなくなったりする場合もあります。勝手にパソコンを利用されてしまい、無用な電気代を払わされるわけですから深刻なマルウェアに違いはありません。


4. マルウェアの脅威とは
マルウェアに感染すると情報漏えいが起こり、パソコンが遠隔操作されてしまうことを説明しました。誰でもが身近な被害として、自分の銀行口座の預金が他人に送金されたり、ランサムウェアの場合は、自分のパソコンが使用不能になり、復旧したければ不当なお金(身代金)を要求されるのです。このようなマルウェアが日本国内の多くのパソコンに感染しているのです。一昨年、大阪商工会議所が、大阪市内の中小企業を対象にマルウェア感染の有無について調査を行い、600社程度の企業から回答があり、7%の企業がランサムウェアに感染した経験があると回答しています。たった7%と思う人もいることでしょう。これはランサムウェアに感染して、身代金を要求された企業の数であって、それ以外のマルウェアに感染した数を除外しています。マルウェアに感染しても気付かない人も多いのです。最近のマルウェアは密かに行動し、情報漏えいでさえ、気付かないのです。実際、3年前に大きな話題となった日本年金機構の情報漏えいでさえ、機構自体は一切気が付かず、漏えいして数か月後に警察からの問い合わせで判明したのです。今では日本国内のパソコンの1割はマルウェアに感染している可能性があると言われています。

日本ではマルウェアの感染が増加傾向にあると言われています。このマルウェアを感染させている張本人は日本人とは限らず、国外からの感染が圧倒的なようです。以前は日本でのマルウェア感染は必ずしも多くはありませんでした。その理由の一つは日本語という言葉の壁です。しかし自動翻訳も精度が上がり、日本国内でも犯罪に加担する人が現れたことで増加したのです。そして何よりも海外に比べて日本人の危機意識、セキュリティ意識が希薄であるということが露呈したからでしょう。ランサムウェアに感染して身代金を支払ってしまう率も海外に比べて高いという報告もあります。マルウェアの感染が心配になった方は、まずアンチマルウェアソフトが期限切れにならず、動作しているか否かを調べ、それでも十分でないと感じた場合は、マルウェア対策に熟知した人に相談しましょう。