テレワークを導入している方は、マルウェアという言葉を聞いたことがあるでしょうか。テレワーク化が進んだため、これまで会社のセキュリティ部門などにパソコンのことを一任していた方も、セキュリティに関する知識がある程度必要になるでしょう。今回は、マルウェアの概要やセキュリティ対策に効果的なEDRの4つの機能について解説します。
マルウェアの種類
まずは、代表的なマルウェアの種類を見てみましょう。
ウイルス
アプリケーションソフトフェアに感染し、プログラムの動作を妨げたり、プログラムの一部を書き換えたりして、ユーザーの意図に反する動作や不具合をもたらします。単独では存在できず、他のファイルに寄生し、感染機能や自己拡散(増殖)機能があるのが特徴です。
ワーム
ウイルス同様、感染機能や自己拡散(増殖)する機能がありますが、こちらは独立したプログラムであることが特徴です。拡張させるためのファイルは必要とせず、自身を複製して他のシステムに拡張することができます。
ネットワークを通して他のコンピュータに伝染していく点はウイルスと同じため、ワームとウイルスは同じものとされることもあるようです。USBメモリなどのストレージデバイスを利用することで、拡散するケースが多くあります。
トロイの木馬
他のプログラムの内部に隠れて、悪意のある行動をするマルウェアです。無害かつ有益なソフトフェアに見え、ユーザー自身にインストールさせます。インストール後、しばらくすると有害な行動を開始しますが増殖はしないため、発見できれば駆除はそれほど難しくありません。
スパイウェア
知らない間にインストールされていて、感染したパソコンの内部情報を勝手に送信するのが特徴です。気づきにくく、被害が出てから判明することもあります。
マルウェアの主な感染経路
マルウェアはどこから感染するのでしょうか。主な感染経路について解説します。
悪意あるWEBサイトの表示による感染
プライベートだけでなく仕事でも、さまざまな情報を得るためWebサイトを閲覧することがあるでしょう。しかし、マルウェアが埋め込まれたWebサイトを訪問するだけで、コンピュータにマルウェアが感染するため注意が必要です。
Eメールの添付ファイルやリンク先からの感染
Eメールに添付されているファイルを開いたり、リンク先をクリックしたりするだけで感染することがあります。「拡張子が.exeのものは感染源である」とされていたこともありますが、最近では文書ファイルを装った悪質なファイルもあるので十分注意してください。また、HTML形式のメールもマルウェアを埋め込むことができるため、開封する際は送信者が信頼できる人であることを確認しましょう。メールはテキスト形式で受信することをおすすめします。
USBメモリ、DVDなどからの感染
USBメモリや出所が不明なDVDなどからも、マルウェアに感染することがあります。特にUSBメモリは、パソコンに接続すると自動的にプログラムを実行する機能があり、それを悪用して感染させるマルウェアも存在するため注意が必要です。
ファイル共有ソフトからの感染
ファイル共有ソフトを使って作業を行っている時にも、マルウェアに感染することがあります。共有ファイルに偽装したマルウェアファイルだと気づかずに、ファイル共有ソフトで共有して感染してしまうケースや、感染源とつながっているネットワークを経由し、パソコンやサーバーに感染するものもあります。
マルウェアに感染した場合の対処法
マルウェアに感染した場合は、どうすればよいのでしょうか?
まず、知らないソフトやアプリがないか探し、あれば削除しましょう。コントロールパネルから、パソコンにインストールされているソフトウェアを確認することができます。もし身に覚えのないものがインストールされていれば、マルウェアである可能性が高いでしょう。
マルウェアである可能性があるソフトは、コントロールパネルからアンインストールできないこともあります。その場合はセキュリティソフトを使ってパソコンをスキャンし、不審なソフトかどうか確認しましょう。不審なソフトだった場合は、そのまま削除できます。
すでにマルウェアに感染し、パソコンの起動すらできない状況であれば、起動機能のついたセキュリティソフトディスクがおすすめです。パソコンにディスクを入れるだけでパソコンを起動することができるうえに、マルウェアを検知して駆除することもできます。
このような方法を試してもパソコンが正常に起動しない場合は、最終手段としてパソコンやスマホを初期化しましょう。そうすることで、マルウェアを削除できます。
テレワークが浸透し、新しい働き方が模索されています。これまで会社のPCを管理する部門に頼りがちだった部分も、自分で対応しなければならないかもしれません。マルウェアに感染しないためには、セキュリティソフト選びが重要になります。
EDRと従来のアンチウィルスソフトの違い
従来のアンチウィルスソフトは、マルウェアやハッカーの攻撃を防いで、侵入させないことを目的としていました。最新のマルウェアに対応するために常にアップデートされてはいるものの、新しいマルウェアは次々に作られており、攻撃パターンが把握できない未知のマルウェアへの対応は困難を極めます。
さらに、昨今は検知や防除ができないサイバー攻撃が増えており、これまでのやり方では機密情報、業務システム、エンドポイントなどが危険にさらされるようになっているのです。
これに対応するため、EDRが注目を浴びています。EDRは、エンドポイントが攻撃されて内部ネットワークに侵入されることを想定し、その脅威をいち早く検知し防除することを目的としています。つまりサイバー攻撃を受けることを前提とし、マルウェア感染後の被害を最小限に抑えることに主眼が置かれているのです。
EDRの代表的な4つの機能
EDRの代表的な4つの機能は、以下のとおりです。
検知防御機能
EDRは、サイバー攻撃などの脅威が侵入してくることを前提に作られています。そのため、すぐに検知して防御できるのが特徴です。いつどのようなサイバー攻撃が仕掛けられても、すぐに検知して防御できるようにシステムを常に見張っています。
インシデント対策機能
EDRはインシンデント対策機能によって、不審な動きを発見すると迅速にその端末を封じ込めます。検知された端末をネットワークから隔離し、外部への情報漏洩を防ぐのです。被害を最小限に抑えるため、他の端末への感染も防ぎます。
解析調査機能
脅威が検知された場合、防御やインシデント対策を行った上で、原因や感染経路、影響を受けた範囲などを解析し、調査する必要があります。
EDRには解析調査を自動で行う機能が備わっているものがあり、疑わしいファイルの隔離やログの保存などを行い、遠隔地にある感染端末のプロセスを強制的にシャットダウンすることができます。このような機能があれば、遠隔地における解析調査の効率化を図れるでしょう。
エンドポイント監視(モニタリング)機能
サイバー攻撃をエンドポイントで検知してそれ以上の侵入を抑える、いわゆる水際対策を行うのがEDRです。そのため、エンドポイントを監視(モニタリング)する機能が備わっています。ネットワーク内のそれぞれのエンドポイントをリアルタイムで監視し、すべてのエンドポイントの状態をわかりやすくモニターに表示して可視化できることもメリットです。
マルウェアに感染したときの為にできること
マルウェアのセキュリティ対策について解説しました。マルウェアに感染しないためには、セキュリティソフトを使うことや、安易にメールの添付ファイルを開かないことなど、個々の対策も必要です。
しかし、新しいマルウェアが次々に生まれるため、それだけでは守りきれない部分も出てくるでしょう。特にテレワークを前提とした新しい働き方においては、EDRを導入し、エンドポイントでの検知と防除によって機密情報の漏洩などを防ぐことが大切です。
CrowdStrikeは、クラウドベースのエンドポイント保護プラットフォームです。会社のセキュリティ対策を強化するために、ぜひ導入を検討してみてください。
