マルウェアの種類、攻撃方法がぱっと出てこないので一覧にしました。
マルウェアの種類
- スパイウェア
参考:https://cybersecurity-jp.com/security-measures/22807- 概要:パソコン内でユーザーの個人情報や行動を収集し、別の場所に送ることができる。
- 予防方法:セキュリティ対策ソフトの導入
セキュリティ対策ソフトのアップデート
OSのアップデート
不審なメールを開封しない(メール自体を開かない)
不審なリンクを踏まない
不審なプログラムをインストールしない - 攻撃方法:ユーザーがなんらかの形でスパイウェアをインストールすることでPCに侵入する。主なものでは、有用なプログラムの一部に仕込んだり、メールの添付ファイルとして送付されたりする。また、OSの脆弱性をつくものもある。
深刻なものでは、キーボードの入力を監視してそれを記録するキーロガーや、ユーザーに無断でソフトウェアをダウンロードするダウンローダなどが存在する。軽度のものでは、ポップアップ広告が頻出されるアドウェアや、派手な音/画像が表示されるジョークプログラムなどがある。
- コンピュータウイルス - 概要:自己伝染機能、潜伏機能、発病機能があるソフトウェアのこと。 自己伝染機能というのは、自分自身をほかのプログラムファイルにコピーすることでシステムに伝染する機能。 潜伏機能というのは、特定時刻や一定時間、処理回数などの条件をあらかじめ記憶させ、それらの条件が満たされるまで挙動させない機能。 発病機能とは、プログラムやデータなどを破壊し、コンピューターに予期せぬ動作を起こさせる機能。 - 予防方法:セキュリティ対策ソフトの導入 セキュリティ対策ソフトのアップデート OSのアップデート 不審なメールを開封しない(メール自体を開かない) - 攻撃方法:マクロ感染型は、マイクロソフトのWordやExcelといったデータファイルに搭載されているマクロ機能を利用して感染する。マクロ機能を使うと、WordやExcelなどで頻繁に使用する、定型化された処理手順が必要な時に簡単に呼び出せる。 ファイル感染型のウイルスは単体では活動せず、拡張子が「.com」「.exe」「.sys」といった実行型ファイルに付着している。プログラムが実行されるたびに、元のプログラムを勝手に書き換えて感染・増殖し、制御を失わせる。
- ランサムウェア - 概要:PCのデータを暗号化するなどしてアクセスを制限し、その制限を解除するための身代金を要求するソフトウェアのこと。 - 予防方法:セキュリティ対策ソフトの導入 セキュリティ対策ソフトのアップデート OSのアップデート 不審なメールを開封しない(メール自体を開かない) - 攻撃方法:Webサイトを閲覧した場合と、メールを開いた場合が多い。ebサイトを閲覧した場合だと、攻撃側がウイルスを仕掛けたWebサイトを作り、ユーザーが閲覧するとランサムウェアに感染する。正規のWebサイトであっても攻撃側が侵入し、いつの間にかプログラムを書き換えたケースも発見されました。メールの場合は本文内のリンクや添付ファイルを開くことでランサムウェアに感染させる手口が多い。 - 被害事例:WannaCryと呼ばれるランサムウェアは、コンピュータにあるファイルを暗号化しロックします。そしてその後アクセスを回復させるために金銭を要求してきます。Microsoftのファイル共有ネットワークプロトコルの脆弱性をついた攻撃でした。 Bad Rabbitと呼ばれるランサムウェアは、Adobe Flashのインストーラーに偽装しており、これを実行することでPCが感染します。
参考:なぜWebサイトを開いただけでウィルスに感染するのか? https://xtech.nikkei.com/it/members/NNW/NETHOT/20020329/1/
- トロイの木馬 - 概要:表面上は有益・無害なプログラムに偽装されており、攻撃対象となるデバイスに侵入した後に攻撃を開始する。PCだけでなくスマートフォンでも被害が拡大しており、マルウェアの80%以上を占めるともいわれている。ウイルスと異なり、自己伝染も行わない。 - 予防方法:セキュリティ対策ソフトのアップデート 不審なメールを開封しない(メール自体を開かない) 不審なリンクを踏まない 不審なプログラムをインストールしない - 攻撃方法:バックドア型は前述の通り、バックドアを仕込んで他のソフトウェアをダウンロードしたり、それによって情報を抜き出したりする。 パスワード窃盗型は被害者のマシン上のあらゆる種類のパスワード、IPアドレス、被害者のマシンの詳細な情報などを収集し、電子メール、ICQ、IRCを用い、攻撃者へ送信する。 クリッカー型はウェブブラウザのセキュリティーホールを悪用するエクスプロイトを使用し、本来管理者権限でしか変えることのできない設定を改変する。 プロキシ型はルータやDNSの設定を無許可で改変し、マシン上にプロキシサーバを構築する。攻撃者のインターネットへのアクセスは全て、このトロイを実行したマシンを経由して行われるようになるため、情報が筒抜けとなる。
- ワーム - 概要:ワームとは、独立したプログラムであり、自身を複製して他のシステムに拡散する性質を持ったマルウェアである。宿主となるファイルを必要としない点で、狭義のコンピュータウイルスとは区別される。ウイルス、トロイの木馬と比べ、感染スピードが速い。 - 予防方法:セキュリティ対策ソフトのアップデート 不審なメールを開封しない(メール自体を開かない) 不審なリンクを踏まない 不審なプログラムをインストールしない - 攻撃方法:バックドア開けたりとか。
マルウェアの使用手法
- ルートキット
- 概要:セキュリティ攻撃(パスワードの盗聴や個人情報の抜出など)を行ったあと、その痕跡を消すことができる。 一般に、その侵入を検知することが難しいといわれている。
- 攻撃方法:侵入深度は、カーネルレベルとアプリケーションレベルの2つある。(カーネルとはOSの中核のことである。)
前者は、コマンド実行ログを削除するためのコードを追加したり、置換したりする。
後者は、アプリケーションそのものを置換したり、追加コードやパッチによって挙動を改ざんしたりする。
- バックドア - 概要:英語で「裏口」を意味し、一度侵入したPCに対して再侵入の容易な入り口を設置できる。 - 攻撃方法:管理者権限を乗っ取って行われることが多い。管理者権限を持つと、普段は使用されていないポートを開けたり、使用されているポートに隠れた経路を作ることができる。その他にも、管理者のPWが変更された後も特定のSSH接続をすることでPWなしログインできるようにしたり、PWがなくてもDSA認証鍵を作ったりできる。(つまり、侵入後のセキュリティ対策を無効化できる) - 被害事例:Pokémon GO
Android版Pokémon GOで2016年にバックドア型の遠隔操作ツールである「DroidJack」に感染させられたバージョンが見つかりました。これは正規のものではなく、第三者が意図的に作成したもので、これをインストールことで、外部から自由に端末を遠隔操作されてしまうというものです。
- ボットネット - 概要:マルウェアにより乗っ取った多数のゾンビコンピュータで構成されるネットワークのこと。ボットネットに加わったコンピュータは、使用者本人の知らないところで犯罪者の片棒を担ぐ加害者(DDOS攻撃の実行者や、踏み台、迷惑メールの送信など)になる危険性がある。
攻撃者は、インターネットで繋がった大量のマシンをまとめて管理し、特定のターゲットに一度に大規模な攻撃を仕掛けられるようになる。
たとえば「GameOver Zeus」だと、場合によっては百万といった単位でボット化したパソコンを、C&Cサーバー(Command and Control server)でコントロールして攻撃をしかける。
- 盗聴 - 概要:ネットワークでやりとりされているデータや、 ネットワーク上に接続されているコンピュータのデータを不正に盗み取ることです。 ネットワーク盗聴やパケット・スニッフィングとも呼ばれることがあります。 - 攻撃方法:インターネットは通信する内容をIPパケットという単位に分割して送信する。IPパケットは多数のルータを中継することによって目的のノードに到達する。IPパケットが暗号化されずに送られると、そのIPパケットを中継するノードは通信内容を知ることができてしまう。 - フィッシング - 概要:インターネットのユーザから経済的価値がある情報(例:ユーザ名、パスワード、クレジットカード情報)を奪うために行われる詐欺行為である。典型的には、とにかく信頼されている主体になりすましたEメールによって偽のWebサーバに誘導することによって行われる。 - 攻撃方法:物のウェブサイトを装った偽のウェブサイトへのURLリンクを貼ったメールを送りつけ、クレジットカードの会員番号といった個人情報や、銀行預金口座を含む各種サービスのIDやパスワードを獲得する。また、DNS書き換えなどにより、正しいURLを入力しているのに偽のウェブサイトに誘導されてしまうファーミングという類似手法もある。 - スパム - 概要:受信者の意向を無視して無差別かつ大量に一括してばらまかれる各種ネットメディアにおけるメッセージのこと。