「マルウェアって結局いろんな種類があって、違いがよくわからない」「自社で対策しているつもりだけど、本当に足りているのか不安」——情シスや中小企業のIT担当者からよく聞く声です。ウイルス、ワーム、トロイの木馬、スパイウェア、ランサムウェア……呼び方はさまざまですが、種類ごとに感染の広がり方も被害の出方も違います。違いを理解せずに対策すると、思わぬ穴を突かれてしまいます。
この記事では、マルウェアの代表的な種類と特徴、感染経路、そして現場で使える防御手順を整理して解説します。情シス1人体制でも今日から実践できる対策レベルまで、正しく知って正しく備えるための知識を網羅します。
マルウェアとは?なぜ種類を知る必要があるのか
マルウェア(malware)は「malicious software」の略で、悪意を持って作られたソフトウェア全般を指す総称です。つまり「マルウェア=ウイルス」ではなく、ウイルスはマルウェアの一種にすぎません。
情報処理推進機構(IPA)の「情報セキュリティ10大脅威 2024」でも、ランサムウェアや標的型攻撃は法人向け脅威の上位を占め続けています。攻撃者は目的に応じて異なるタイプのマルウェアを使い分けるため、種類ごとの特徴を知ることが防御の第一歩です。
種類を知っておくと、次のような実務判断ができるようになります。
・検知ツールの選定: ふるまい検知が必要か、シグネチャ検知で十分かの判断基準になる
・インシデント初動: 「これはワームだから横展開を止めるのが最優先」といった判断が早くなる
・従業員教育: 「添付ファイル=ウイルス」ではなく、リスクを正しく伝えられる
マルウェアの主な種類と特徴
代表的なマルウェアを、現場で混同されやすいポイントを踏まえて整理します。
1. コンピューターウイルス
既存のファイル(実行ファイル、ドキュメント等)に自分自身のコードを埋め込んで感染を広げるタイプです。宿主となるファイルを開くと実行されるため、ユーザーの操作がきっかけになります。
近年の単独ウイルスは減少傾向で、より複合的なマルウェアの一部として使われるケースが主流です。
2. ワーム(worm)
ユーザー操作なしに自己複製しネットワーク経由で拡散するマルウェアです。脆弱性を突いて他のホストへ自動的に侵入するため、社内LAN内で一気に被害が広がる特徴があります。
2017年のWannaCryは、Windowsの脆弱性(MS17-010)を悪用したワーム機能とランサムウェア機能を併せ持ち、世界150カ国以上に短時間で拡散した代表例です。
3. トロイの木馬(Trojan)
正規のアプリケーションや便利なツールを装ってユーザーに実行させ、裏で悪意ある動作を行うタイプです。自己複製はしませんが、バックドアの設置や認証情報の窃取といった「潜伏活動」を担います。
最近の攻撃では、正規のOSSライブラリに似せた名前で配布される「タイポスクワッティング型トロイの木馬」も確認されています。
4. スパイウェア
ユーザーに気づかれずに情報を収集し、外部へ送信するマルウェアです。キー入力を記録するキーロガー、画面をキャプチャするスクリーンロガー、ブラウザの閲覧履歴を盗むタイプなど多彩なバリエーションがあります。
法人環境では、認証情報(ID・パスワード)や顧客情報の漏洩につながるため、目立たず長期潜伏する点が最も厄介です。
5. ランサムウェア
ファイルを暗号化し、復号の対価として身代金を要求するマルウェアです。近年は「データを暗号化した上で窃取し、払わなければ公開する」という二重脅迫型、さらに顧客やサプライヤーへの通知まで脅す四重脅迫型へと進化しています。
LockBit、Conti、RansomHouse、Qilinなど、攻撃グループ名とマルウェアの対応関係も現場担当者として押さえておきたいポイントです。
6. アドウェア
強制的に広告を表示したり、ブラウザの挙動を書き換えて広告サイトへ誘導したりするタイプです。単体では直接的な破壊活動は行いませんが、悪質なアドウェアはスパイウェアを同梱している場合があり、無害とは言えません。
7. ルートキット
OSの深い階層に潜み、プロセスやファイルの存在を隠蔽する機能を持つマルウェアです。管理者権限を奪取した上で、他のマルウェアの活動を検知されにくくするための「隠し装置」として使われます。
Linuxサーバーでのルートキット検知は、chkrootkitやrkhunterといった専用ツールで定期スキャンするのが基本です。
8. ボット / ボットネット
C&C(コマンド&コントロール)サーバーからの指令で動作するマルウェアです。感染端末が多数集まるとボットネットとなり、DDoS攻撃やスパムメール送信の踏み台として悪用されます。
自社が攻撃の「被害者」だけでなく、知らぬ間に「加害者側」にされてしまうリスクがある点が特徴です。
| 種類 | 拡散方法 | 主な目的 |
|---|---|---|
| ウイルス | 宿主ファイル経由(ユーザー操作あり) | 破壊・他マルウェア配布 |
| ワーム | ネットワーク経由(自動拡散) | 横展開・被害の大規模化 |
| トロイの木馬 | 偽装した正規ソフト経由 | バックドア・情報窃取 |
| スパイウェア | ソフト同梱・偽広告 | 認証情報・個人情報窃取 |
| ランサムウェア | メール添付・RDP侵入・VPN脆弱性 | 暗号化・身代金要求 |
| ルートキット | 他マルウェアが導入 | 隠蔽・永続化 |
| ボット | 脆弱性悪用・他マルウェア経由 | DDoS・踏み台 |
感染経路と攻撃の流れ(敵を知る)
種類は違っても、企業ネットワークへの侵入経路は大きく以下の4つに集約されます。
・メール経由: 添付ファイル(Office文書のマクロ、ISO、LNK)やフィッシングリンク
・Web経由: 改ざんされた正規サイト、マルバタイジング、偽のソフトウェア配布サイト
・リモートアクセス経由: VPN機器の脆弱性、RDPのブルートフォース、SSHの認証情報漏洩
・サプライチェーン経由: ソフトウェアアップデート、OSSライブラリ、取引先経由の侵入
典型的な攻撃の流れは「初期侵入→権限昇格→横展開→永続化→目的達成(暗号化・情報窃取)」というキルチェーン型です。どのフェーズで検知・遮断できるかを意識すると、後述する対策も具体的にイメージしやすくなります。
具体的な防御手順
マルウェア対策は「入れない・広げない・気づく」の三層で設計します。
1. 入口対策(入れない)
最も多いメール経由の侵入をまず塞ぎます。
・メールゲートウェイでの添付ファイルサンドボックス検査
・マクロ付きOffice文書を原則ブロック、必要時のみ許可
・SPF・DKIM・DMARCを設定してなりすましメールを減らす
・従業員向けフィッシング訓練を年2回以上実施
・Webフィルタリングで既知の悪性URLをブロック
次に、リモートアクセス経路を固めます。
# 例: SSHサーバーの最低限の堅牢化(/etc/ssh/sshd_config) # デフォルトから変更するポイントをコメントで明記 PermitRootLogin no # rootの直接ログイン禁止 PasswordAuthentication no # パスワード認証を無効化(鍵認証のみ) MaxAuthTries 3 # 認証試行回数を制限 ClientAliveInterval 300 # アイドルセッションを切断
VPN機器は脆弱性が公表された場合、可能な限り早くパッチ適用する運用ルールを決めておきます。
2. 内部対策(広げない)
侵入されても被害を最小化するために、横展開を止める設計が重要です。
・ネットワークセグメンテーション(部署・用途でVLANを分離)
・EDR(Endpoint Detection and Response)の導入
・管理者アカウントと一般ユーザーアカウントの分離徹底
・最小権限の原則(必要な人だけに必要な権限を付与)
・多要素認証(MFA)を重要システムに必須化
3. 検知・対応(気づく)
侵入と被害拡大の両方に気づける仕組みを作ります。
・EDRのアラートを24時間モニタリング(SOC外部委託含む)
・認証ログ・プロセス実行ログの集約(syslog / Windowsイベント)
・アンチウイルスソフトの定義ファイル自動更新
・バックアップは3-2-1ルールで、オフラインコピーを必ず確保
・インシデント対応手順書を事前に準備し、年1回は机上訓練
Linuxサーバー環境での権限設計やログ監視については、姉妹サイトLinuxMaster.JPで実践的な手順を詳しく解説しています。
中小企業でも今日からできること
「予算もないし、情シスも1人体制」という中小企業でも、次の5つは今日から着手できます。
・Windows Updateの自動適用: グループポリシーで強制、月初にパッチ適用状況を確認する運用に切り替える
・Microsoft Defenderの設定見直し: 有償ツールがなくても、Defenderのクラウド保護とサンプル送信を有効化するだけで検知精度が上がる
・重要データのオフラインバックアップ: 外付けHDDへ週次コピーし、作業後は必ず切り離す
・パスワードマネージャーの全社導入: 使い回しパスワードを根絶し、スパイウェア経由の横展開リスクを下げる
・メールのSPF・DMARC設定: DNS設定を変更するだけで、なりすましメールの受信拒否率が向上する
これらは大半が「設定変更」で実現でき、追加費用をほぼかけずに進められます。「何から始めればいいかわからない」状態から抜け出すための最初の一歩として有効です。
よくある誤解と注意点
現場で繰り返し出会う誤解を整理しておきます。
・「ウイルス対策ソフトがあるから大丈夫」: シグネチャ型のアンチウイルスだけでは、未知のマルウェアや正規ツールを悪用する攻撃(LotL)は検知しきれません。EDRとの併用が現実解です
・「Macは安全」: macOSも標的型のマルウェアや情報窃取型マルウェアの対象になっています。プラットフォーム神話に依存しないことが重要です
・「バックアップを取っているから復旧できる」: オンラインで接続されたバックアップはランサムウェアに暗号化されます。オフライン・イミュータブル保存がないと実質的な復旧手段になりません
・「社内LANは安全」: 境界型防御の前提は崩れています。社内からの通信も信頼しないゼロトラストの考え方が主流です
・「100%防げる対策がある」: どんな対策も万能ではありません。「防ぐ・検知する・復旧する」の3軸で多層化することが必要です
不正アクセス禁止法や個人情報保護法との関係については、詳細は法律の専門家にご確認ください。
本記事のまとめ
マルウェアは「総称」であり、ウイルス・ワーム・トロイの木馬・スパイウェア・ランサムウェア・ルートキット・ボットなど、種類ごとに拡散方法も目的も異なります。違いを理解することで、自社の検知・対策が「どの脅威にどれだけ効いているか」を正しく評価できるようになります。
対策の基本は「入れない・広げない・気づく」の三層設計。そして中小企業でも、設定変更レベルで今日から実行できる施策は多くあります。不安を煽られて高額なツールに飛びつく前に、まず土台となる基本を固めることが、結果的にいちばんコスト効率の高い投資になります。
マルウェア対策を体系的に身につけませんか?
種類ごとの特徴・検知方法・現場での対応手順を、実務で使えるレベルまで落とし込みたい方へ。
正しいセキュリティ知識を体系的に身につけたい方へ、メルマガで実践的なセキュリティ対策ノウハウをお届けしています。
コメント