マルウェアがPCのウイルス対策をすり抜ける5つの巧妙な方法

企業、組織、あるいは病院がランサムウェア攻撃の被害に遭わない週はほとんどありません。彼らのコンピュータシステムは、すべてのファイルを暗号化し、高額の身代金を支払わなければ復元できない恐喝ウイルスに攻撃されています。しかし、被害者のコンピュータのほとんどがウイルス対策プログラムで保護されています。なぜこのようなことが起こるのでしょうか？

さらに読む： 2024年版ベストアンチウイルスソフトウェア：マルウェア、スパイウェアなどからPCを安全に守る

1. 攻撃の膨大な量

2023年に、AV-Testのアンチウイルス専門家、アンドレアス・マルクス氏に、アンチウイルスソフトウェアは実際には優れた保護機能を備えているにもかかわらず、なぜこれほど多くの感染が検知されないのかを尋ねました。マルクス氏の答えは、「多くのプログラムは約99.9%の攻撃を防御できますが、それは1,000件に1件の攻撃が成功していることを意味します。年間1億件以上の新たなマルウェアプログラムと数十億台のWindows PCが存在する状況では、常に残存リスクが存在するのです」というものでした。

言い換えれば、大勢がウイルスを拡散しているということです。犯罪者は数百万人単位でウイルスを拡散するため、最終的にはコンピュータシステムのセキュリティホールをすり抜ける者が依然として多く存在します。セキュリティ専門家であり、AV-Comparativesの共同創設者でもあるピーター・ステルツハマー氏も、拡散されるウイルスの量がマルウェアの成功の要因であると考えています。しかし、彼は他にも理由を挙げ、適切な保護対策のヒントを提供しています。ピーター・ステルツハマー氏へのインタビューは、記事の最後に掲載されています。

IDG

マルウェアのほとんどはメールを介して拡散します。悪意のあるコードが添付ファイルとして直接送られてくる場合もあれば、メール内のリンクがウイルスに感染する場合もあります。ごく稀に、メッセンジャーやSMS経由で送られてくる場合もあります。これらの場合、ほとんどの場合、悪意のあるコードまたは感染したウェブサイトへのリンクが送信されます。

基本的な保護は、ウイルス対策プログラムをインストールすることで提供されます。また、PCにセキュリティ上の脆弱性が残っていないことも重要です。すべてのプログラムとWindowsのアップデートを常にインストールすることで、これを確実に実現できます。これらのパッチは、システムに新たに発見された脆弱性を解消します。これらの技術的要件に加えて、あなた自身もセキュリティガードになる必要があります。見覚えのないメールの添付ファイルやリンクには、常に細心の注意を払ってください。

疑わしい場合は、添付ファイルを開かないでください。それができない場合は、Any.run のサンドボックスなど、安全な環境でのみ添付ファイルを開いてください。

2. セキュリティ上の欠陥を狙った攻撃

セキュリティ研究者は、プログラムの標準設定にセキュリティ上の欠陥が繰り返し発見されています。頻度は高くないものの、多くの場合、これらの脆弱性は、典型的なPCウイルスを使わずに悪用される可能性があります。例えば、企業のPCへのリモートアクセスが、標準のパスワードや単純なパスワードでのみ保護されている場合などがこれに該当します。これは、ハッカーがこれらのシステムを乗っ取るための招待状と同義です。

一度システムにログオンすると、インストールされているウイルス対策プログラムを無効にしたり、悪意のあるコードをシステムに忍び込ませるなどして、さらなる被害を引き起こす可能性があります。

脆弱なシステムの検出は想像以上に簡単です。スキャナーを使えば、インターネットの広範囲にわたって脆弱なシステムを検索できます。最も単純なケースでは、攻撃者はShodanなどのセキュリティ脆弱性検索エンジンを使用します。

誰かがあなたのコンピュータにログオンできるすべてのサービスには、非常に複雑で固有のパスワードを使用してください。二要素認証を有効にすることを推奨します。一般的なホームネットワークでは、2つの場所で影響を受けます。1つ目はルーター（リモートアクセスが有効になっている場合）、2つ目はコンピュータ自体（Windowsのようなリモートデスクトップサービスを使用している場合）です。

IDG

3. クレデンシャルスタッフィング：盗まれたログインデータ

この手法では、攻撃者は誰かがソフトウェアや標準設定のセキュリティホールを見つけるのを待つ必要がありません（上記参照）。その代わりに、攻撃者はアンダーグラウンドフォーラムから数十万、あるいは数百万人のユーザーの認証情報を入手し、それらの認証情報を使ってログインを試みます。これらの攻撃はクレデンシャルスタッフィングと呼ばれ、主にメールボックスやショッピングサイトなどのオンラインサービスを標的としますが、リモートデスクトップにも適用可能です。

Sentry MBAのようなツールを使えば、クレデンシャルスタッフィングは自動的に実行されます。これらのツールは、ユーザー名とパスワードの組み合わせを複数のウェブサイトで同時にテストします。一部のオンラインショップでは、ログイントラフィックの大部分が既にこのようなツールから発生しています。

複数のアカウントで同じパスワードを使用しているユーザーは全員危険にさらされます。一方、サービスごとに別々のパスワードを作成しているユーザーは、それほど心配する必要はありません。

これらの攻撃は主に企業の従業員に影響を与えますが、自宅の個人用PCにも影響を与えます。これは、LastPass開発者の個人用ラップトップへの攻撃によって明らかになりました。ハッカーはこのラップトップにアクセスした後、LastPassの企業ネットワークに侵入し、相当量の顧客データを盗み出すことに成功しました。

攻撃の形態の一つとして、スピアフィッシングが挙げられます。このハッキング手法では、攻撃者は攻撃前に被害者に関する非常に詳細な情報を入手します。例えば、ハッカーは経理担当者や人事部門の従業員を特定します。これらの従業員は、請求書や申請書が添付されたメールを受け取ります。当然のことながら、メールは従業員個人に宛てられ、直接語りかけ、テーマも完全に自分の業務分野に合致しているため、従業員は添付ファイルを開きます。添付ファイルには通常、企業のPDFビューアの新たな脆弱性を悪用する悪意のあるコードが埋め込まれたPDFファイルが含まれています。

スピアフィッシングは被害者に合わせて攻撃がカスタマイズされるため、適切な防御策を講じることは特に困難です。メールの添付ファイルを保護された環境（サンドボックス、仮想PC）でのみ開けるようにするなど、適切な技術的対策が効果的でしょう。

5. SMSやビデオなどの新しい手口による攻撃

ウイルスは、非常に新しいうちは、通常、ウイルス対策プログラムをすり抜けることができます。なぜなら、保護プログラムはまだそのウイルスを認識していないからです。新しいウイルスはアンダーグラウンドフォーラムで入手できるため、攻撃者はウイルスが新しいものであることを確信できます。しかし、攻撃者はできるだけ早く、できるだけ多くのPCに新しい製品を侵入させなければなりません。これは、大量のメール（ポイント1を参照）や、新しい手口によって行われます。例えば、新しいマルウェアへのリンクを含むSMSメッセージを送信するなどです。

例えば、ニーダーザクセン州刑事警察局は、このようなフィッシングSMSメッセージに注意を促しています。犯罪者はしばしばDHLのサポート担当者を装います。偽の小包SMSメッセージを使って、被害者から個人情報を聞き出そうとします。そして、その情報は後に詐欺師によって個人情報窃盗に利用されます。もちろん、この詐欺は悪質なコードを拡散させるためにも利用される可能性があります。

最新の事例は、人工知能（AI）を活用して作成された動画の利用です。これらの動画では、例えばAdobeのような高価なソフトウェアがクラックによって無料で利用できる様子が紹介されています。このクラックへのリンクにはマルウェアが含まれています。高価なソフトウェアのクラックとされるものは、何十年も前から他人のPCに感染させるために使用されてきました。新しいのは、説明動画という形で巧妙にパッケージングされている点です。

SMSによるスパム対策は、Eメールによるスパム対策にも役立ちます。メッセージ内のリンクには十分に注意しましょう。この不信感は、精巧に作られた動画や長文のメッセージなど、他の手段にも当てはまります。

セキュリティ専門家へのインタビュー

このトピックについて、セキュリティ専門家であり、AV-Comparatives（www.av-comparatives.org）の共同創設者でもあるPeter Stelzhammer氏に話を伺いました。インタビューは以下をご覧ください。

PCWorld:ウイルス対策プログラムは PC マルウェアの 99 ～ 100 パーセントを検出できるにもかかわらず、これほど多くのコンピューターが感染しているのはなぜでしょうか?

ステルツハマー氏：問題は、ウイルス対策プログラムが依然として部分的に事後対応的であるということです。一方、サイバー犯罪者は通常、事前対応的なアプローチを取ります。つまり、犯罪者はウイルス対策プログラムの脆弱性を探し出し、それを悪用します。ウイルス対策ツールのメーカーは事後対応、つまり事後対応的に数時間または数日以内に脆弱性を解消することしかできません。これは、当社のウイルス対策ソフトウェアのテストでも確認されています。多くのツールは、現在存在するすべてのウイルスに対して99%以上の防御率を誇ります。そのため、少数のウイルスは依然として侵入を許してしまいます。そして、ウイルスの量が膨大であるため、感染したシステムの一部は、このことが原因であると考えられます。ちなみに、当社のテストで100%検出率を達成したプログラムも、すべてのテストで100%検出率を達成しているわけではありません。

PCWorld:では、ウイルス対策は無意味なのでしょうか?

ステルツハマー：いいえ。私は既に、優れたアンチウイルスプログラムとアップデートをインストールしたコンピューターで、マルウェアから十分に保護されています。特にプライベートな人間としてはなおさらです。しかし、アンチウイルスプログラムやその他のインストール済みプログラム、そしてもちろんWindowsも最新の状態に保つことが重要です。感染から万全に保護するためには、バックアップも必要です。バックアップはPCに接続したままにしないでください。ランサムウェアによって暗号化されてしまう可能性があるからです。

PCWorld:攻撃は企業や個人の PC をターゲットにしているのでしょうか?

ステルツハマー氏：企業です。その方が儲かります。感染した個人のPCは巻き添え被害になります。

PCWorld:最も頻繁に発生する攻撃の種類は何ですか?

ステルツハマー氏：メールやその他のメッセージ、偽のウェブサイトによるフィッシングが、最も大きな侵入経路です。犯罪者は巧妙な手口を使います。例えば、www.poIizei.comというドメインがあります。このアドレスの「L」は実際には大文字の「I」です。このようにして、犯罪者は「L」が含まれるほぼすべてのウェブアドレスを偽造することができます。

IDG

PCWorld:フィッシング攻撃は、少し練習すれば簡単に見分けられるのではないでしょうか?

ステルツハマー氏：フィッシングの手口を熟知していれば、騙される必要はありません。しかし、今日ではメールやウェブサイトを巧妙に偽造したメールが数多く存在します。Chat-GPTなどの新しいAIツールによって、犯罪者は大量のフィッシングメールを個別に作成できるようになるため、偽造メールの質はさらに向上するでしょう。被害者がそれに返信すると、AIはもっともらしい返信を送信します。これにより、被害者にPCマルウェアを仕込んだり、データを抜き出したりすることがさらに容易になります。

PCWorld:犯罪者はどうやってこれほど多くの恐喝ウイルスを企業に密かに持ち込むのでしょうか?

ステルツハマー： 2つの方法があります。1つは、ランサムウェアが何百万ものメールアドレスに送信される大規模攻撃です。不注意な従業員がメール内のランサムウェアへのリンクをクリックするのです。そして、そのランサムウェアがウイルス対策ソフトが検知できないマルウェアの1%に該当する場合、PCは感染します。

一方、巧妙に偽造されたメールを使った企業への標的型ソーシャルエンジニアリング攻撃も存在します。多くの場合、人事部宛てのメールにはPDFファイルが添付されています。従業員はPDFファイルが添付されたメールを期待しており、添付ファイルをクリックするでしょう。

PCWorld:保護ソフトウェアは通常、アンチウイルス、インターネットセキュリティ、トータルセキュリティの3つのクラスに分かれています。どのクラスをお勧めしますか？

ステルツハマー：重要な保護メカニズムがすべて搭載されているバージョンを選ぶべきです。今日では、有害なファイルから保護するだけでなく、優れた行動ベースの検出機能やフィッシングサイトに対するWebフィルターを内蔵した優れたウイルス対策製品が存在します。これらの機能があれば十分です。より高度な機能を備えた製品はより快適ですが、必ずしもより強力な保護機能を備えているわけではありません。快適さには代償が伴うのです。

PCWorld: Microsoft Defenderは比較テストでいつも低いスコアを出していますね。無料のオンボード製品をお勧めいただけますか？

Stelzhammer： Defenderはプライベートユースには十分です。しかし、より高度な機能を備えた無料アンチウイルスソフトは他にもあります。弊社ウェブサイト（www.av-comparatives.org）で公開している比較テストをご覧になることをお勧めします。

この記事はもともと当社の姉妹誌 PC-WELT に掲載され、ドイツ語から翻訳およびローカライズされました。