マルウェアとは、 悪意のあるソフトウェアやコードの総称です。有害な動作を行う意図で作成され、感染すると情報の窃取やデータ改ざんといった、さまざまな被害にあう危険性があります。

個人や会社のデバイスが、気がつかないうちにマルウェアに感染している場合も多く、日頃から定期的に検出や対処を行う必要があります。

そこで本記事は、マルウェアの検出方法や必要なツール、検出された場合の対処方法を紹介します。

マルウェアを検出・駆除するには「セキュリティツール」が必要

PCへのマルウェア感染が疑われる場合、必要となるのがマルウェアを検出可能な「セキュリティソフト」です。アンチウイルス、あるいはウイルス対策ソフトとも呼ばれます。

あるいは後述しますが、近年ではPCに侵入した後のマルウェア検知・駆除に優れた、EDRというセキュリティも注目を集めています。

マルウェアを駆除する一般的な流れとしては、あらかじめ導入しているアンチウイルスを利用し、感染したPC端末のフルスキャンを実施。そうすることで「マルウェアへの感染有無」に加え、マルウェアの位置・感染状況などを特定することができます。

マルウェアの感染が確認されたら、次はアンチウイルスのもつ駆除機能により、マルウェアの検出・削除を行います。ただしマルウェアの種類によっては自動駆除が困難なケース、手動による隔離などが必要となるケースなど、経験のあるベンダーに依頼すべき場合もあります。

上記が一般的な、セキュリティツールを用いたマルウェア検出・駆除の流れです。基本的にはデバイスを安全に保つため、定期スキャン機能をONにしておくことをおすすめします。

マルウェアを検出するセキュリティツールには、有償と無償のものがある

マルウェアを検出するセキュリティツールには「有償」と「無償」のものがあり、有償製品は各社ベンダーが様々な製品を提供しています。

例えば、Windowsに標準搭載されている「Microsoft Defender」は、無償ながらも高いマルウェアの検出精度を誇ります。

ただし一般的には、操作性やサポート面では有償版が勝っていることが多く、また無償のセキュリティツールでは、利用できるライセンス数や使用できる機能に、制限のある場合も見られます。

個人利用であれば無償版も検討要素の１つですが、法人で利用する場合、基本的にはサポートや機能の充実した有償の製品を利用するのが望ましいでしょう。導入支援に加え、万一のインシデント発生時にフォローを受けられるサービスもあります。

マルウェア検出は、Microsoft Defenderだけで問題ないか？
（パターンマッチング式は未知のマルウェアに対策できない）

必要最低限の脅威検出・スキャンを求めている場合であれば、Microsoft Defenderだけの利用でも問題ないかもしれません。

実際、2023年11月に発表された AV-Comparatives が主催する保護機能のパフォーマンステストにて、Microsoft Defenderは「ADVANCED+（★２）」を獲得しており、他の有料セキュリティと遜色ない精度の高さが証明されています。

出典：AV-Comparatives｜Real-World Protection Test July-October 2023

しかし、Microsoft Defenderをはじめ無償版のセキュリティ製品の多くは、マルウェア検出の方法に「パターンマッチング方式」を採用しています。パターンマッチング方式は古くからアンチウイルスで採用されている検知手法で、過去に検知したマルウェアのデータファイル（指名手配書のようなもの）を元に、性質が類似しているかを比較し、マルウェアや脅威を見分けるといった方法です。

パターンファイルを元にマルウェアを検知するため「誤検知が少ない」というメリットがある一方、過去に検知した経験のあるマルウェアしか防げない点が最大のデメリットです。

近年のサイバー攻撃では「1日に約100万個の新たなマルウェアが作られている」とも言われ、次々と誕生する新種のマルウェアを、全て未然にパターンファイルへ登録することは実質不可能です。

▼未知のマルウェアが増加し、定義ファイル型の対応は限界に

よって、個人に比べより重要な情報資産を保持する企業・組織においては、未知・亜種のマルウェアであっても検知可能な、パターンマッチング方式に頼らない有料のアンチウイルスを導入することが望ましいと言えます。

LANSCOPE サイバープロテクションでは、パターンファイルを用いないAI技術により、未知・亜種のマルウェアやランサムウェア攻撃も検知する、2種類のAIアンチウイルスを提供しています。

マルウェア検出の主な仕組み

アンチウイルスにおける、基本的なマルウェアの検出方法をご紹介します。

従来のシグネチャベースの製品では、初めて観測されるマルウェアに対抗できないことから、「静的ヒューリスティック」や「動的ヒューリスティック」といった手法が開発されました。

・シグネチャベースの検出
先述した「パターンファイル」を用いた検出方法。誤検知は少ないが、過去に検知・分析された「既知のマルウェア」にのみ対応できる。

・静的ヒューリスティック
マルウェアの振る舞いやコード構造に基づく予測によって識別する方法で、プログラムを実行させずに分析するのが特徴。未知のマルウェアも検出可能だが、誤検知が多い。

・振る舞い検知（動的ヒューリスティック）
ソフトウェアの振る舞いを「サンドボックス」で実行させ、分析することで、その振る舞いから脅威を識別する。静的ヒューリスティックと比べ、さらに未知のマルウェアを検出する精度は高まるが、その分誤検知も多い。

また、昨今ではよりマルウェア検出や誤検知防止の精度を高めるため、上記にAI（機械学習）技術を組み合わせたアンチウイルスも、展開されています。AIが既存のデータから脅威のパターンを自動学習することで、未知や亜種のマルウェアを検出しながらも、誤検知を最小限に抑えることが期待できます。

マルウェア感染時の兆候

以下のような兆候が見られる場合、あなたのPCはマルウェアに感染している可能性があります。万一のケースに備え、改めて感染の兆候をお伝えします。

▼マルウェア感染のサイン

・PCのパフォーマンスが低下する
・不審なポップアップや広告が頻繁に表示される
・勝手に端末の電源が落ちる、もしくは起動しなくなる
・身に覚えのない不審な操作履歴がある
・インストールした覚えのないアプリケーションがある

例えば、マルウェアの活動によってCPUやメモリが使用されることから、パフォーマンスが著しく低下し、動作が重くなる傾向にあります。また、マルウェアがシステムの設定を変更する影響で、端末の電源が勝手に落ちたり、起動できなくなったりする現象も見られるようになります。

他にも、記憶にない送信履歴・アカウントへのログイン履歴などが見られる場合、マルウェアの感染が疑われます。

マルウェアに感染した際の対処法

マルウェアに感染した場合、以下のような手順で対処をするのが一般的です。

1.ネットワークから端末を速やかに隔離する
2.セキュリティツールで端末スキャン・マルウェアを駆除する
3.フォレンジック調査で感染経路や範囲を特定する

1．ネットワークから端末を速やかに隔離する

マルウェアに感染した場合は、直ちにインターネットから端末を隔離しましょう。

マルウェアは、ネットワークを経由して他の端末に感染を広げるため、ネットワークから切り離すことで被害拡大を防ぐ効果があります。

2．セキュリティツールで端末スキャン・マルウェアを駆除する

次に、セキュリティツールで感染した端末をスキャンして、マルウェアの検出・駆除を実施しましょう。基本的にはフルスキャンを実施して、全ての脅威を洗い出します。

容量の大きいPCの場合、時間がかかる場合があります。

3．他端末のマルウェア感染の有無を調査・駆除する

先述の通り、マルウェアはネットワークを経由して他の端末に感染を広げます。

マルウェアに感染してしまった場合、同じネットワーク内にあるすべての端末においてマルウェア感染の有無を調査し、影響範囲の特定と駆除対応を行います。

4．フォレンジック調査で感染経路や範囲を特定する

被害状況の確認に加え、再発防止策を検討するため、感染経路や原因を明らかにする、フォレンジック調査を実施します。

フォレンジック調査は、自社で行うもしくは専門機関へ依頼する方法があります。より確実に、かつ速やかに復旧を目指したい場合は、専門機関への依頼がおすすめです。

マルウェアの主な感染経路

マルウェアの主な感染経路としては、以下のようなものがあります。

・メールの添付ファイルにマルウェアを仕込む
・SMSにマルウェア感染を目的としたWebサイトのURLを貼る
・Webサイトを閲覧するだけで、マルウェア感染する
・マルウェアの仕込まれた無償のソフトウェアをインストールする
・クラウドストレージ等で、マルウェアを仕込んだファイルを共有する
・マルウェアが含まれる外部媒体（USBメモリなど）をPCに差し込み感染
・ソフトウェア・OSの脆弱性につけこみ、マルウェアに侵入される

特に多いのが、メールの添付ファイルや記載されたURLを開くことで、マルウェアに感染するケースです。

攻撃者は、社内の連絡メールや取引先、あるいは政府機関などの信頼性の高い公的機関を装ってメールを送り、受信者を油断させてマルウェアを含む添付ファイルや、悪質なWebサイトのURLを開くよう仕向けてきます。

また、近年ではスマートフォンのSMSを用いてURLをクリックさせる、同様の手口（スミッシング）も増加しています。リンクをクリックすることで不正なサイトに遷移し、マルウェアが仕込まれた偽アプリをダウンロードさせる、あるいはサイトの閲覧だけで感染するケースもあります。

その他、ソフトウェアやOSに潜む脆弱性につけこみ、マルウェアに感染させるようなサイバー攻撃手口もあります。組織は日常から最新の状態へのアップデートを行い、脆弱性対策をおこなうことが有効です。

このように、マルウェアは普段の何気ない操作で感染することが多く、また「トロイの木馬」のような潜伏型のマルウェアの場合、感染していても長期間気づけないパターンが少なくありません。

これらマルウェアの感染を防ぐためには、怪しいメールやWebサイトを閲覧しないといった基本的な対策は勿論、マルウェアを検知する優秀なセキュリティツールの導入が欠かせません。

マルウェア感染を防ぐための対策

ここまでの内容を踏まえ、マルウェア感染を防ぐために個人・組織がおこないたい基本的な対策についてご紹介します。

1.定義ファイルに頼らない、アンチウイルスソフトを導入する
2.OSは常に最新の状態にしておく
3.ユーザー権限の厳密化
4.ネットワーク検知・監視のセキュリティソリューションを導入する
5.社内教育の促進（不審なリンクや添付ファイルは開かない等）
6.アンチウイルスとあわせてEDRを導入する

ここからは、それぞれの対策について簡単に解説します。

1．定義ファイルに頼らない、アンチウイルスソフトを導入する

これまで述べた通り、PCやモバイル端末をマルウェア感染から防ぐ肝となるのが「優れたアンチウイルスソフトの導入」です。アンチウイルスをPCやモバイル端末に導入しておくことで、侵入を未然に検知しブロックすることが可能です。

冒頭でも述べた通り、アンチウイルスの選定で重要となるのが、「パターンファイル」を用いないアンチウイルスを検討すること。パターンファイルとは、マルウェアや脅威を見分けるため、過去の検知情報を基に作成された「マルウェア情報が掲載されたファイル」です。

従来のアンチウイルスは「パターンファイル」を用いた製品が一般的でしたが、近年の高度化し急速に未知・亜種が増え続けるマルウェア攻撃には、対応しきれない事例が増えています。

アンチウイルスを選定する1つの判断材料として、検知方法・対策できるマルウェアの種類に注目することをおすすめします。

2．OS・ソフトウェアは常に最新の状態にしておく

主な感染経路の1つとして挙げたように、OSやソフトウェアに脆弱性（セキュリティ上の欠陥）があれば、攻撃者はその脆弱性を狙い、マルウェア感染を試みます。

マルウェアを侵入させないためにも、OSは常に最新の状態へアップデートし、パッチを適用することで脆弱性を無くす必要があります。

身近な例としては、WindowsOSで定期的におこなわれるWindowsUpdateなどが挙げられます。

3．ユーザー権限の厳密化

マルウェア攻撃では、被害者ネットワークを水平に動き回り（ラテラルムーブメント）、権限昇格を繰り返しながら、より重要データを窃取する犯行も見受けられます。

あらかじめ特権ユーザーの絞り込みや権限を最小化することで、攻撃者が機密情報へ辿り着くハードルをあげ、情報漏洩被害の抑制が期待できます。

パソコンやサーバー端末、社内システムの接続時等は、必ずユーザーIDとログインパスワードを設定しましょう。多要素認証の導入も効果的です。

4．ネットワーク検知・監視のセキュリティソリューションを導入する

マルウェア感染の起点の多くは「エンドポイント」ですが、監視領域をネットワークに広げることで、より早期にマルウェア等の脅威を検出することができます。

ネットワークを監視・検知するソリューションの例としては、境界型防御に特化した「ファイアウォール」、 ネットワークの通信を検知・分析する「IDS/IPS」、ネットワーク全体をポートスキャンで幅広く監視できる「NDR」「SIEM」等といった製品があります。

近年のサイバー攻撃対策として注目される「多層防御」を実現する上で、アンチウイルス等のエンドポイントセキュリティとあわせて検討したい製品です。

エムオーテックスでは、ネットワーク全体の通信状況を可視化でき、マルウェア等の異常な挙動を検知できる、NDR「Darktrace（ダークトレース）」を提供しています。

5．社内教育の促進（不審なリンクや添付ファイルは開かない等）

従業員に対する社内教育も、マルウェア感染を防ぐために欠かせません。

基本的なことですが「不審なメールやWebサイト、添付ファイルの閲覧は控える」「感染時は速やかに上司や担当者へ伝達する」「社内で取り決めたセキュリティポリシーを徹底する」などを共有しましょう。

社内でトレーニングや研修を行い、最新のサイバーセキュリティの脅威に対する知識を定期的に更新し、従業員がセキュリティ意識を高められるよう心がけることが必要です。

6．アンチウイルスとあわせてEDRを導入する

先述のとおり、アンチウイルスと共にエンドポイントセキュリティで欠かせないのが「EDR」です。

EDRとは、PCやスマートフォンなどのエンドポイントに対し、侵入前の偵察から侵入後・実行後のマルウェアの動きを検知し、駆除や隔離、復旧などの対応を行うためのセキュリティ製品です。

近年のサイバー攻撃は巧妙化しており、マルウェアの侵入を100％防ぐことは難しいと言われています。

そこで、アンチウイルスでマルウェアの侵入を未然に防ぎ、万が一侵入を許してしまった場合、EDRでインシデントにいち早く対応する、という両者を組み合わせた対策が非常に効果的です。

マルウェアの検出精度を高めたいならLANSCOPE サイバープロテクションにお任せ

最後にマルウェア検知に優れた、弊社のAIアンチウイルスについてご紹介させてください。
「LANSCOPE サイバープロテクション」では、未知のマルウェアも検知・ブロックする、2種類のAIアンチウイルスを提供しています。  

▼2種類のアンチウイルスソリューション
1. アンチウイルス✕EDR✕監視サービス（MDR）をセットで利用できる>「CylanceGUARD」
2． 各種ファイル・端末に対策できる次世代型アンチウイルス「Deep Instinct」

1． アンチウイルス✕EDR✕監視サービス（MDR）をセットで利用可能な「CylanceGUARD」

アンチウイルスは、EDRと掛け合わせることで、より強固なエンドポイントセキュリティ体制を確立できるのは先述の通りです。

しかし実際「EDRによるセキュリティ監視に手が回らない」という声も多く、アンチウイルスとEDRの併用が出来ていない企業様も少なくありません。

・ アンチウイルスとEDRを併用したい
・ なるべく安価に両機能を導入したい
・ しかし運用面に不安がある

そういった方におすすめしたいのが、アンチウイルスを中心に３つのサービスを提供する「Cylanceシリーズ」です。

１． 最新のアンチウイルス「CylancePROTECT」
２． EDR「CylanceOPTICS」
３． EDRを用いた運用監視サービス「CylanceGUARD」

の３つをお客様の予算やご希望条件に応じて提供します。高精度なアンチウイルス・EDRを併用できる上、セキュリティのプロが24時間365日監視を行うため、より確実にマルウェアの侵入からお客様のエンドポイントを保護することが可能です。

アンチウイルスのみ、アンチウイルス＋EDRのみ導入するなど、柔軟な提案も可能です。侵入前・侵入後のマルウェア対策を両立することで、お客様の大切な情報資産を守りましょう。

2． 各種ファイル・端末に対策できるNGAV「Deep Instinct（ディープインスティンクト）」

・ PC、スマートフォンなどOSを問わず、対策をしたい
・ 実行ファイル以外の様々なファイルにも、対応できる 製品が良い
・ 手頃な価格で「高性能なアンチウイルス」を導入したい

そういった方には、AIによるディープラーニング機能で、未知のマルウェアを高精度にブロックする、次世代型アンチウイルス「Deep Instinct（ディープインスティンクト）」がおすすめです。

近年の攻撃者は、セキュリティ製品の検知を逃れるため、実行ファイルだけでなくExcelやPDF・zipなど、多様な形式のマルウェアを生み出します。 しかしファイル形式を問わず対処する「Deep Instinct」であれば、これらのマルウェアも高い精度で検知・防御が可能です。

ランサムウェアをはじめ、2020年以降に国内でも猛威を振るった「Emotet（エモテット）」などの攻撃も、 Deep Instinctで検知することが可能です。

また幅広い端末での利用が可能で、Windows、macOS、AndroidなどのOSに対応しています。手ごろな価格帯で導入できるのも魅力です、ぜひ以下の製品ページよりご覧ください。

マルウェア感染や不正アクセスを受けたかも……事後対応なら「インシデント対応サービス」にお任せ

「PCがランサムウェアに感染してしまったかも」
「システムへ不正アクセスされた痕跡がある」

このようにサイバー攻撃を受けた”事後”に、いち早く復旧するためのサポートを受けたい場合は、プロがお客様に代わって脅威に対処する「インシデント対応サービス」の利用がおすすめです。

フォレンジック調査のスペシャリストがお客様の環境を調査し、感染状況と影響範囲を特定。マルウェアの封じ込めをはじめとした復旧支援に加え、今後どのように対策すべきかのアドバイスまで実施します。

「自社で復旧作業を行うのが難しい」「マルウェアの感染経路や影響範囲の特定をプロに任せたい」というお客様は、是非ご検討ください。

まとめ

今回は、マルウェアの検出方法や必要なツール、検出された場合の対処方法を紹介しました。

マルウェアは、普段行っている何気ない動作から、知らず知らずのうちに感染します。

企業・組織はもちろん個人単位であっても、日頃からマルウェア感染に向けたセキュリティ対策に取り組んでおきましょう。