コンピューターワームの定義
コンピューターワームはマルウェアの一種で、人間が介入することなく自動的に伝播または自己複製し、ネットワークの他のコンピューターに拡散する能力を備えています。ワームは、多くの場合被害を受けた組織のインターネット接続またはローカルエリアネットワーク (LAN) 接続を使用して、ワーム自身を拡散していきます。
ワーム、ウイルス、トロイの木馬
サイバー犯罪者は多種多様なサイバー攻撃手法を駆使しており、それぞれの手法は混同されがちです。コンピューターワームはウイルスやトロイの木馬と同じものだとよく誤解されていますが、攻撃が伝播するかしないかに違いがあります。
- ワームはコンピューターからコンピューターへと拡散する能力を備えており、独立して移動し、動作することができます。ワームの最も危険な点は、自身のコピーを数百、数千と拡散できる能力にあります。
- ウイルスは、ほとんどの場合、実行可能ファイルに付加されており、最初は休眠状態にありますが、被害者が感染したアプリケーションを開く、不正なファイルをダウンロードする、リンクをクリックするなどの操作を行うことにより攻撃が開始されます。ウイルスは、人間の操作なしで拡散する能力を備えていません。
- トロイの木馬は、正規のコードであると自身を偽装したマルウェアです。攻撃者は、デバイス上でファイルのエクスポート、データの変更、ファイルの削除を行うことができます。一般的に、トロイの木馬は他のファイルへの自身の埋め込みや、自身の伝播は試みません。
コンピューターワームの仕組み
ワームは、オペレーティングシステムの脆弱性を標的にして、自らをネットワークにインストールします。ワームは、ソフトウェアに設けられたバックドア、意図しないソフトウェアの脆弱性、フラッシュドライブなどを経由した複数の方法でアクセス権を獲得します。サイバー犯罪者は、インストールされたワームを悪用して、以下のようなさまざまな悪意のある操作を実行します。
- 分散型サービス拒否 (DDoS) 攻撃を開始する
- ランサムウェア攻撃を実行する
- 機密データを窃取する
- 他のマルウェアを投下する
- 帯域幅を消費する
- ファイルを削除する
- ネットワークを過負荷にする
Expert Tip
ワーム拡散の最も一般的な方法
コンピューターワームの最も一般的な拡散方法として、以下があります。- Eメール:現在でも、Eメールの添付ファイルにワームが潜んでいるケースが多く見られます。
- ネットワーク:ワームは、接続されたネットワークに自身を伝播することができます。
- システムの脆弱性:オペレーティングシステムやソフトウェアの脆弱性を巧みに利用するようコーディングされているワームも存在します。
- ファイル共有:ピアツーピア (P2P) ファイルネットワークを通してワームなどのマルウェアが拡散することがあります。
- インスタントメッセージ (IM):Internet Relay Chat (IRC) などのインスタントメッセージングプラットフォームを通してワームが拡散することがあります。
ワームが危険な理由
コンピューターワームの危険性は、自己複製を通してシステムをクラッシュさせる、悪意のあるアプリケーションをダウンロードする、機器にアクセスするためのバックドアをハッカーに提供するなど、さまざまな攻撃を実行する点にあります。
ワームには、修復が困難であるという特徴もあります。ワームは自動的かつ短時間で拡散してしまうため、環境内に広まったワームを取り除き、完全に復旧するためには多くの時間と手間がかかります。たとえば、データストレージ環境内でワームが拡散した場合、完全に除去するためには数か月かかることがあります。損害を与える悪意のあるペイロードがワームに含まれていない場合であっても、ITマネージャーは貴重なリソースを割いてインシデント対応プロセスにあたらなければならず、その意味でも非常に厄介な存在と言えます。
コンピューターワームのタイプ
悪意のあるコンピューターワームには、以下のようなタイプがあります。
| タイプ | 説明 |
|---|---|
| Eメール型ワーム | 名前のとおり、Eメール型ワームはEメールを介して拡散します。Eメール型ワームは、大量メール送信型ワームとも呼ばれ、Eメールの添付ファイルとして、または侵害されたWebサイトやハッカーが所有するWebサイト上の感染したファイルへのリンクとして送りつけ、自身のコピーを拡散します。 |
| ファイル共有型ワーム | ファイル共有型ワームは、メディアファイルに埋め込まれ、悪意のないメディアファイルであるかのように偽装します。無防備なユーザーがそのファイルをダウンロードすると、ワームがデバイスに感染します。ワームがデバイスを侵害すると、機密情報が窃取され、攻撃者に悪用されたり、他の攻撃者に販売されたりします。 |
| IM型ワーム | IM型ワームは、ソーシャルメディアプラットフォーム上で、あたかも普通の添付ファイルやリンクであるかのように偽装し、被害者を巧みに誘導して、URLをクリックさせようとします。IM型ワームが実行されると、インスタントメッセージングネットワークを通してワームが拡散されます。 |
| 暗号型ワーム | 暗号型ワームは、被害者のシステム上のデータを暗号化して、再度データにアクセスしたければ身代金を払うよう求めるワーム攻撃です。 |
| IRC型ワーム | IRC型ワームは、IRCチャンネルを悪用して、感染したメッセージを送信することによりチャットルームやメッセージフォーラムを感染させる、悪意のあるプログラムです。 |
| P2P型ワーム | P2P型ワームは、P2Pネットワークのメカニズムを使用して、自身のコピーを無防備なP2Pユーザーに拡散します。 |
コンピューターワームの事例
コンピューターワームは、50年以上にわたる長い歴史を持っています。1971年に作成された最初のコンピューターワームはCreeperと呼ばれています。Creeperは積極的に悪意のある振る舞いをしなかったものの、後の多くの深刻なコンピューターワーム攻撃の基礎となりました。以下では、過去に重大な損害をもたらしたコンピューターワームの例を示します。
Morris
MITの大学院生だったRobert Morrisは、1988年にMorrisワームを拡散させました。このワームは国内の6,000台以上のUNIXマシンの負荷を高め、クラッシュさせました。Morrisは悪意を持ってこのワームを拡散させたわけではありませんでしたが、結果としてこのワームは10万ドルから1,000万ドルの損害を与えました。また、このワームは、1986年に制定された米国のコンピューター不正行為防止法(Computer Fraud and Abuse Act)に基づき重罪との判決が下された最初の事例となりました。
SQL Slammer
SQL Slammerは2003年に出現したコンピューターワームで、いくつかのインターネットホストでサービス拒否を引き起こし、インターネットトラフィック全体を遅延させ、世界中のルーターをクラッシュさせました。わずか10分足らずで、被害を受けた7万5千台のマシンのほとんどに感染しました。
Mydoom
MydoomはWindowsコンピューターを標的としたコンピューターワームで、歴史上最も急速に拡散したワームの1つと考えられており、2004年に放たれてから、数百万台のマシンに感染しました。Mydoomは2004年に推定で380億ドルの被害をもたらしましたが、このワームは現在でも出回っており、悪意のあるEメール全体の1%を占めています。
Storm Worm
2007年に現れたStorm Wormは、その直前にヨーロッパで発生した気象災害に乗じて、「ヨーロッパを襲った暴風雨により230人が死亡」という危機感をあおる件名を付けたEメールで受信者を誘導し、数百万台ものコンピューターを攻撃しました。
Duqu
巧妙なコンピューターワームDuquは、2011年に発見されました。このワームは、2010年にイランの核施設のタービンを破損させたStuxnetワームを生み出したグループにより作成されたと考えられています。Duquは、他社から窃取した正当なデジタル署名を悪用し、産業制御システムの攻撃に役立つ情報を収集します。
ILOVEYOU
Love Bugとも呼ばれるILOVEYOUワームは、2000年にラブレターが添付されたEメールを装って拡散しました。10日のうちに5,000万台以上のPCに感染し、ワームを除去するために推定で150億ドル以上の費用が発生しました。
ワーム感染の兆候
コンピューターワームから保護するには、エンドポイント保護ソリューションが不可欠です。ダッシュボードを表示し、最新のエンドポイント保護レポートを参照することにより、セキュリティ管理の仕組みがワームやその他の攻撃を阻止できているかを確認できます。
一方で、エンドポイント保護ソリューションがコンピューターワームを検知およびブロックできていない場合、以下のようなはっきりとした兆候が表れます。
- CPUリソースの使用率が高まり、システムのパフォーマンスが低下する
- ファイルやフォルダーが隠しファイルや隠しフォルダーになったり、消去されたりする
- 気付かないうちに連絡先にEメールが送信される
- 警告なしでコンピュータープログラムがクラッシュする
- コンピューターにインストールした覚えのない不審なファイルやプログラムが存在する
- 自動的にプログラムが実行されたり、Webサイトが起動したりする
- ブラウザのパフォーマンスやプログラムの振る舞いに異常がある
ワームの除去方法
何よりもワームは急速に拡散する能力を備えているため、組織がワーム攻撃を受けた場合の対応方法について、詳細な計画を策定しておく必要があります。対応計画を策定しておくと、ワームなどのセキュリティインシデント発生時に迅速に対応できるため、効果的に影響を最小限に抑え、復旧時間を短縮できます。
復旧のためには、以下の作業が必要です。
- 効果的に攻撃を封じ込め、他のシステムへの拡散を阻止して、さらなる損害の発生を防止します。
- ワームが自身のインストールに成功したすべてのシステムを特定することにより、攻撃の範囲を評価します。
- 環境からワームのあらゆる痕跡を除去します。これには、侵害されたすべてのホストでマルウェアを修復する、侵害されたユーザーアカウントを閉鎖するかパスワードを変更する、侵害されていないバックアップからシステムを復元するなどの作業が含まれる場合があります。
防御のためのベストプラクティス
ワームの危険性を考えると、ワームを阻止する防御対策を講じることが重要です。以下のような対策を検討する必要があります。
- エンドポイント保護ソフトウェアの使用:
最新のエンドポイント保護ソリューション(EDR(エンドポイント検知・対応) が理想です)を使用すれば、損害が生じる前にワームやその他のサイバー攻撃を検知し、ホストコンピューターから除去することができます。
- 従業員の意識向上トレーニングの導入:問題のあるリンクをクリックしたり、添付ファイルをダウンロードしたりすることでマルウェアを誤って拡散してしまうリスクを低減するために、コンピューターワームの脅威の兆候を把握して警戒できるよう従業員をトレーニングする必要があります。
- DNSフィルタリングの使用:Webセキュリティメカニズムにより、ユーザーが誤って悪意のあるWebサイトにアクセスすることがないよう、不正なWebコンテンツや望ましくないWebコンテンツをフィルタリングできます。
- ソフトウェアの更新とシステムへのパッチ適用:パッチの管理は、システムの欠陥を悪用しようと狙うワームを回避する取り組みの基礎となります。影響を受けるシステムにただちに展開する必要がある優先度の高いパッチを可視化する、常時接続された強力なパッチ管理プロセスがあることを確認します。
クラウドストライクが問題解消にどう貢献できるか
サイバー犯罪者は、エンドポイントデバイスへの感染と、そこからの拡散を目標にコンピューターワーム攻撃を仕掛けます。コンピューターワームやその他のサイバー脅威に対して保護するためには、効果的なエンドポイント保護が欠かせません。
CrowdStrike Falcon® Preventは、継続的なシグネチャの更新、オンプレミスの管理インフラストラクチャ、複雑な統合がなくても動作する単一の軽量エージェントを使用したアーキテクチャにより、優れたエンドポイント保護を実現します。クラウドベースのFalcon Preventを導入することで、複雑性を取り除き、エンドポイントセキュリティを簡素化できます。また、ユーザーがたとえオフラインでも、コモディティマルウェアから高度な攻撃まで、あらゆる種類の攻撃に対する優れた保護を実現できます。
CrowdStrike Falcon Preventの詳細をご覧ください。
バートは、クラウドストライクの脅威インテリジェンスのシニアプロダクトマーケティングマネージャーであり、脅威の監視、検知、インテリジェンスにおいて20年を超える経験を持っています。ベルギーの金融機関でネットワークセキュリティ運用アナリストとしてキャリアをスタートさせた後、米国東海岸に移り、3Com/Tippingpoint、RSA Security、Symantec、McAfee、Venafi、FireEye-Mandiantなどの複数のサイバーセキュリティ企業に入社し、製品管理と製品マーケティングの両方の役割を果たしました。
