Written by 伏見みう
エンジニアとしてEVやHEV、産業用設備の研究開発職に従事していた。退職後は北欧デンマークで1年過ごし、現地の風力発電設備などを見学。現在はフリーランスとして活動している。
目 次
ワームとは
ワームと「ウイルス」や「トロイの木馬」との違いは?
ワームを含むマルウェアへの感染被害や件数は増加傾向
ワームの主な感染経路
ワームに感染した場合の代表的な被害
知っておきたい、主なワームの種類
ワームに感染した場合の対処方法(感染後の対策)
ワームに感染しないための対策(予防策)
ワームを防ぐなら「LANSCOPE サイバープロテクション」がおすすめ
まとめ
ワームとは、マルウェア(悪意のあるソフトウェア)の一種です。自己増殖が可能かつ宿主となるファイルが不要という特徴を持ち、非常に感染力が強いことから、過去には大規模感染を引き起こして世間を騒がせた不正プログラムです。
PCやシステムがワームに感染することで、ユーザーは情報が盗まれる、PCの動作遅延が発生する、新たなマルウェアのダウンロードといった被害を受けるリスクがあります。企業・組織の信頼を低下させないためにもワームについてしっかり理解し、対策しておくことが必要です。
この記事では、そんなワームの特徴や感染経路、被害事例、対策方法について解説します。
▼この記事を要約すると
- ワームとはコンピューターへの攻撃を目的とした不正プログラム(マルウェア)の一種
- ワームは、感染対象となるファイル(宿主)を必要としない・自己増殖ができるという特徴をあわせ持っており、感染力が非常に強い
- ワームの主な感染経路には、「メール」「ネットワーク」「Webサイト」「共有フォルダ」「USBメモリなどの外部ドライブ」
- ワームに感染してしまった場合、情報漏洩・パソコンの乗っ取り・別のマルウェアのダウンロードなどの被害が想定される
- ワームに感染してしまった場合には、感染拡大を抑えるためにPCをネットワークから切断し、セキュリティソフトで隔離・駆除を行うことが重要
- ワームに感染しないためには「不審なメールや送信元が不明なファイルリンクは開かない」「怪しいサイトは閲覧しない」といった基本的な対策に加え「OSやソフトウェアを最新の状態にしておく」「アンチウイルスやEDRを導入する」などが有効
またAI技術を活用するLANSCOPE サイバープロテクションでは、ワームウイルスも対策可能な「AIアンチウイルス」を提供しています。
「マルウェアに感染した際、やってはいけないNG行為」をまとめた、お役立ち資料も、ぜひご活用ください。
ワームとは
ワーム(worm)とは、ネットワークを介してユーザーのPC(コンピューター)へ感染し、PCの乗っ取りや情報の窃取などを行う、悪意あるマルウェアの1種です。
ワームとは本来ミミズや芋虫に類する「虫」を意味する言葉ですが、ネットワーク内を虫のように這いまわるという特性から「ワームウイルス」と名づけられました。
ワームの起源は、インターネットが登場して間もない1988年、アメリカで登場した「モリスワーム」というマルウェアです。本来、コンピューターの侵害を目的に作られたものではありませんでしたが、意図せず「実害を及ぼす不正プログラム」として悪用されることに。結果としてモリスワームは、数千台の端末を機能停止に追い込んだとされています。
以来、ネットワークの脆弱性を突いて侵入し、システムに過負荷を与えるといった特徴が悪用され、長きにわたってサイバー攻撃の手段として使われてきました。
ワームの特徴は「単独で動作が可能」であること
ワームは他のマルウェアと比較し
- 1.感染対象となるファイル(宿主)を必要としない
- 2.自己増殖ができる
という、大きく2つの特徴があります。
1.感染対象となるファイル(宿主)を必要としない
通常のマルウェアが存在するためには、単独でなくファイルなどに寄生する必要があります。
しかしワームはファイルに寄生する必要がなく、単体で存在・活動することができます。これにより、ネットワークで接続されたコンピューター間を自由に移動することが可能です。
2.自己増殖できる
ワームは「自己増殖機能」を備えており、システム上で自身のコピーを複製することが可能です。そのためワームに感染してしまうと、自身のコンピューターだけでなくネットワークを介して、別の端末へと感染がどんどん拡大してしまうという特徴があります。
1台のPCから数百・数千の端末に、ワームが感染する被害も珍しくありません。
ワームと「ウイルス」や「トロイの木馬」との違いは?
ワーム以外の代表的なマルウェアとして、「コンピューターウイルス」や「トロイの木馬」といった種類があります。
- ・ワーム
- ・ウイルス
- ・トロイの木馬
はすべてマルウェアの1種ですが、寄生先の有無や自己増殖に関して特徴が異なります。
▼3種類のマルウェアの違い
| 種類 | 存在方法 | 自己増殖 |
|---|---|---|
| ワーム | 感染対象となるファイルなどを必要とせず、単体で存在することが可能 | 可能 |
| ウイルス | 感染対象となるファイルなどに寄生するため、単体で存在することができない | 可能 |
| トロイの木馬 | 正常なファイルやソフトウェアに「擬態」して侵入する。単体で存在することが可能 | 不可 |
例えば「コンピューターウイルス」は、ワーム同様「自己増殖」は可能ですが、感染対象となるファイルなどがなければ存在できません。
また、あたかも正常なファイルやソフトウェアのふりをし、ユーザーに気づかれずコンピューターへ侵入するトロイの木馬は、単体で存在することは可能ですが、自身をコピーして増殖する機能は持っていません。
その点、ワームは「単体で存在」できて「自己増殖も可能」という、恐ろしい2つの特徴をあわせ持っており、他のマルウェアと比べ感染力が非常に高く、被害が拡大しやすいという恐ろしい脅威なのです。
ワームを含むマルウェアへの感染被害や件数は増加傾向
ワームをはじめとするマルウェア感染の被害は、日本国内でも今なお増加傾向にあります。
情報セキュリティメーカー「デジタルアーツ」の2023年1月報告によると、2022年のセキュリティインシデントの件数は1031件と、2021年に比べ約1.5倍に増加しました。そのうちマルウェア感染による被害は「383件」と、前年から10倍近い増加を見せたことが報告されています。
▼2020年~2022年における国内セキュリティインシデント件数
出典:デジタルアーツ|【セキュリティレポート】過去3年間の国内セキュリティインシデントを集計(2023年1月31日)
2022年度にマルウェア感染が報告された組織は、地方自治体・教育機関・大手企業・病院など、業種や規模も様々です。また自社のマルウェア感染だけでなく、関連会社や委託先にインシデントが拡大する事例も数多く発生しています。
すべての組織はマルウェアをはじめとするサイバー攻撃を「他人事」と捉えず、十分な対策を打つことが必要不可欠です。
ワームの主な感染経路
ワームの主な感染経路は以下の4つです。
- 1.メール
- 2.ネットワーク
- 3.共有フォルダ
- 4.USBメモリなどの外部ドライブ
1.メール経由での感染
添付ファイルにワームを仕込んだメールを送り、ファイルを開封することで感染させる手口です。メールに記載されたリンクのクリックで、感染させる場合もあります。
メール経由でユーザーの端末に侵入したワームは、コンピューター内でアドレス帳を探し、そこに保存されるアドレス宛に自身のコピーを添付して送信。さらなる感染拡大を及ぼします。
2.ネットワーク経由での感染
ワームに感染した端末から、ネットワークを経由して、さらに感染を拡大するケースです。
例えば、組織で1台のPCがワームに感染した場合、社内ネットワークを通じて他の脆弱性をもつPCにも感染が広がります。
2017年に世界的な被害をもたらしたマルウェア「WannaCry」も、被害が大規模化した背景に「ネットワークを介して感染を広げるワームの特性をもっていた」ことが挙げられます。
3.共有フォルダ
感染したコンピューターを踏み台に、ネットワークを介して共有フォルダ上に自身のコピーを作成し、感染を広げる手口です。
共有フォルダへアクセスしたユーザーの端末は、知らないうちにワームへと感染してしまいます。
ワームは自身のコピーとしてフォルダを作る際、怪しまれないよう「検索エンジンでよく検索される一般的な単語」を、ファイル名にすることが多いです。
4.USBメモリなどの外部ドライブ
USBメモリなど、外部接続端末をPCに接続することで、感染するケースです。ワームが含まれた外部端末を差し込むことで、コンピューターが感染します。
この手口は、ワームはこの自動実行機能を悪用したものです。
例えば、パソコンにソフトウェアのインストールCDを挿入すると、自動でインストール画面が立ち上がることがあります。これはWindowsの自動実行機能によるものです。
ワームに感染したUSBメモリをコンピューターに接続すると、自動的に不正なプログラムが実行され、ワームに感染してしまいます。
ワームに感染した場合の代表的な被害
ワームに感染した場合、以下のような被害が発生する可能性があります。
- ・情報漏洩する
- ・パソコンが動作しなくなる
- ・別のマルウェアをインストールしてしまう
- ・勝手にメールを送信したりSNS投稿をしたりする
- ・ボットネットに加えられ、サイバー攻撃に加担させられる
情報漏洩する
ワームに感染することで、コンピューター内に保存されている個人情報や機密データが、不正に盗まれたり悪用されたりするケースがあります。ワームは感染した端末から情報にアクセスし、攻撃者のサーバーへ盗んだ情報を送り込みます。
組織であれば、顧客情報を盗まれることで信用を失ったり、損害賠償の責任を負ったりする可能性があるでしょう。その他、アカウントのログイン情報やカード情報が盗まれ、不正に利用される懸念もあります。
また盗まれた個人情報は、違法に個人情報の取引をするダークウェブで売買されるなど、さらなるサイバー攻撃被害を生むリスクも備えています。
PCが重たくなる・動作しなくなる
ワームにコンピューターのCPUを占有され、PCが動作しなくなるといった被害も、ワームに特徴的な被害です。
ワームが自己増殖し、他の端末へと感染を拡大することで、コンピューターのリソースを大幅に占有してしまうことが原因です。最終的に容量やメモリが占有しつくされれば、PCが動作停止に追い込まれます。
別のマルウェアをインストールしてしまう
侵入したワームがコンピューターにバックドアを設置し、バックドア経由で別のマルウェアに感染させたり、遠隔操作に必要なソフトウェアを勝手にダウンロードさせられたりする被害です。
新たなマルウェアに感染することで、さらなる被害の拡大が予想されます。
勝手にメールを送信したりSNS投稿をしたりする
「主な感染経路」でも説明した通り、ワームに感染するとコンピューターのアドレス帳にアクセスし、登録されているメールアドレス宛に、自身のコピーを添付した攻撃メールを拡散。さらなる被害を生み出します。
同様にSNSアカウントを乗っ取り、ワームに感染するWebサイトのリンクを多数投稿して、感染拡大するパターンも見受けられます。
ボットネットに加えられる
サイバー攻撃をする際、攻撃者の制御下にあるマルウェア感染した機器のネットワークを「ボットネット」と呼びます。ワームに感染すると、自分のコンピューターがボットネットに加えられる危険性があります。
結果的にユーザーは意図せず、サイバー攻撃に加担させられてしまうでしょう。
知っておきたい、主なワームの種類
マルウェアの中でも感染力の高いワームは、インターネットが登場してから長い期間、膨大な数のコンピューターに感染して被害を出してきました。
ここでは過去に見られた、著名なワームの種類を紹介していきます。
| ワームの種類 | 被害内容 |
|---|---|
| LOVELETER | 2000年に確認されたもの。 「I Love You」という題名のメールにワーム感染させたファイルを添付。メール受信者が添付ファイルを開くとLOVELEFTERに侵入される。 Outlookのアドレス帳を介して感染を広げ、感染すると画像ファイルやオーディオファイルなどが破壊されてしまう。 |
| Slammer | 2003年に確認されたもの。 マイクロソフトのデータベース上でやり取りする言語「SQL」のバグを突いて侵入し、数分のうちに7万台以上のコンピューターを感染させた。 世界全体では25万台規模のコンピューターがSlammer感染。アメリカでは携帯電話とインターネットの接続に悪影響を及ぼし、ネットバンクのATMが1万台以上使用できなくなるといった被害が報告された。 |
| Sobig | 2003年に確認されたもの。 特定の拡張子からメールアドレスを収集し、ワームに感染したファイルを添付してメールを送信。メール受信者が添付ファイルを開くことで感染。 Sobigの亜種であるSobig.Fは2003年に世界最大の被害を及ぼし、特にアメリカで大手コーヒーチェーン店や、大手鉄道会社のシステムに侵入し、運行などに影響を及ぼした。 |
| My doom | 2004年に確認されたもの。 送信エラーを連想するような件名で大量にメールを送信し、添付ファイルを開かせることで感染させる。 感染先のコンピューターに次々とバックドアを仕掛けることで感染を広げていき、世界中のネット通信速度を10%低下させ、380億アメリカドル相当の被害をもたらした。 |
| Conficker | 2008年に確認されたもの。 Windows OSの脆弱性から侵入し、管理ファイルなどに辞書攻撃(多くの人が使う単語や用語の組み合わせを順次入力し、脆弱性のあるパスワードを推測する攻撃)を仕掛けて不正にアクセス。 感染したコンピューターは他のコンピューターに大量の迷惑メールを送信し、世界中で1500万台のコンピューターを感染させた。 |
| Emotet | 2014年に確認されたもの。国内でも2019年以降知名度を上げ、その被害が大きく取沙汰された。 主な感染経路はメールで、添付ファイルやファイルリンクからコンピューターに侵入。近年もEmotetによる被害が報告されており、その脅威はいまだに衰えていない。 |
| WannaCry | 2017年に確認されたワーム型ランサムウェア。 侵入されると、自己増殖機能で他のコンピューターへ次々感染。 感染したコンピューターのデータは「a.jpg.WNCRY」というファイル名に書き換えられて閲覧・使用できなくなり、2017年には世界中で23万台以上のコンピューターが被害に。 病院のシステム停止により手術や診察ができなくなるなど、人命にかかわる被害も発生した。 |
ワームに感染した場合の対処方法(感染後の対策)
「ワーム(マルウェア)の感染が疑われる」場合、以下2つの対処法を速やかに行うようにしましょう。
- ・PCをネットワークから切断する
- ・セキュリティソフトで隔離・駆除を行う
1.PCをネットワークから切断する
ワームはネットワークを経由して感染広げるので、感染したコンピューターを速やかにネットワークから切断・隔離し、感染拡大を抑えることが必要です。
2.セキュリティソフトで隔離・駆除を行う
感染したコンピューターをネットワークから切断・隔離した後は、セキュリティソフトで速やかに端末をスキャンし、ワームの隔離・駆除を行います。
また感染被害の拡大を防ぐため、状況によっては関連企業や委託先に連携し、ワームへの対策を仰ぐことも必要でしょう。データが失われるリスクもあるため、日頃からバックアップを行い、仮に感染しても復元できる体制を整えることも重要です。
ワームに感染しないための対策(予防策)
ワームに感染しないための、予防的な対策としては以下の4つが挙げられます。
- 1.OSやソフトウェアを最新の状態にしておく
- 2.不審なメールや送信元が不明なファイルリンクは開かない
- 3.アンチウイルスソフトを導入する
- 4.怪しいサイトは閲覧しない
1.OSやソフトウェアを最新の状態にしておく
ワームを含むマルウェアは、しばしばコンピューターの脆弱性を突いて侵入し、感染や被害を拡大させます。実際、先述した「WannaCry」は、Windows OSの脆弱性を狙った犯行でした。
OSやソフトウェアを最新のものにアップデートすることで「脆弱性が修正される」ので、常に最新の状態にしておくことが重要です。
2.不審なメールや送信元が不明なファイルリンクは開かない
ワームは多くの場合、メールに添付されたファイルや本文に記載されたリンクから感染します。そもそも不審なメールを開かないのはもちろんですが、場合によってはワームに感染した知人のコンピューターからメールが送られてくることもあります。
仮に知っているアドレスからのメールでも、不審なリンクや添付ファイルは開かないよう注意しましょう。もちろん送信元が不明なメール、本文が不自然なメールなどは注意が必要です。
3.怪しいサイトは閲覧しない
悪意のあるWebサイトを経由し、ワームが侵入するケースも多く報告されています。Webサイトに不正なプログラムが埋め込まれ、訪問することで感染してしまいます。
対策としては、メールに記載されたURLをクリックするなど、そもそも怪しいサイトを閲覧しないことが重要です。
4.アンチウイルスソフトを導入する
皆さんのPCやモバイル端末を、ワームをはじめとするマルウェア感染から守る働きを持つのが「アンチウイルスソフト」です。端末に侵入しようとするワームを検知し、不正なプログラムとしてブロック。感染を防ぎます。
最近では「AI技術」を活用し、まだパターンファイル化されていない「未知のマルウェア」を検出できる、優秀なアンチウイルスソフトも登場しています。
LANSCOPE サイバープロテクションでも、AIを活用したアンチウイルスを提供しており、あらゆるワームウイルスの検知・ブロックが可能です。
5.EDRを導入する
アンチウイルスソフトとセットで活用したいのが、PCやモバイル端末に侵入してしまった後のワームに対し、検知・駆除といった対策が取れる「EDR」というセキュリティ製品です。
侵入時から侵入後のマルウェアの動きを監視し、不審な動作を管理者へ通知するため、コンピューターが感染してしまった後でも、速やかに脅威を突き止めることが可能です。
弊社ではアンチウイルスとセットで導入できる、操作の簡単なEDR「 Cylance OPTICS」を提供しています。
ワームを防ぐなら「LANSCOPE サイバープロテクション」がおすすめ
ワームをはじめ、各種マルウェア感染から組織のPC・スマートフォンを守るためには、マルウェアの検知精度に優れた、高性能なアンチウイルスの導入が必要です。
「LANSCOPE サイバープロテクション」では、未知のマルウェアも検知・ブロックする、2種類のAIアンチウイルスを提供しています。
▼強みの異なる2種類のアンチウイルスソリューション
- 1.アンチウイルス✕EDR✕監視サービス(MDR)をセットで利用可能な「CylanceGUARD」
- 2.各種ファイル・端末に対策できる次世代型アンチウイルス「Deep Instinct(ディープインスティンクト)」
1.アンチウイルス✕EDR✕監視サービス(MDR)をセットで利用可能な「CylanceGUARD」
アンチウイルスは、EDRと掛け合わせることで、より強固なエンドポイントセキュリティ体制を確立できます。 しかし実際「EDRによるセキュリティ監視に手が回らない」という声も多く、アンチウイルスとEDRの併用が出来ていないケースも少なくありません。
- ・アンチウイルスとEDRを併用したい
- ・なるべく安価に両機能を導入したい
- ・しかし運用面に不安がある
そういった方におすすめしたいのが、未知のマルウェアも検知する最新のアンチウイルス「CylancePROTECT(サイランスプロテクト)」 とEDR「CylanceOPTICS(オプティクス)」を併用でき、かつ運用監視をセキュリティのプロにお任せできる
3点セットで利用可能なセキュリティサービス「CylanceGUARD(ガード)」です。
高精度なアンチウイルス・EDRを併用できる上、セキュリティのプロが24時間365日監視を行うため、より確実にマルウェアの侵入からお客様のエンドポイントを保護することが可能です。
またお客様のニーズに応じて、アンチウイルスのみ、アンチウイルス+EDRのみ導入するなど柔軟に導入頂くことも可能です。侵入前・侵入後のマルウェア対策を両立することで、お客様の大切な情報資産を守ります。
2.各種ファイル・端末に対策できるNGAV「 Deep Instinct(ディープインスティンクト)」
- ・PC,スマートフォンなどOSを問わず、対策をしたい
- ・「実行ファイル以外の様々なファイル」に対処できる 製品が良い
- ・手頃な価格で「高性能なアンチウイルス」を導入したい
そういった方には、AIによるディープラーニング機能で、未知の脅威を高精度にブロックする、NGAV 「Deep Instinct(ディープインスティンクト)」がおすすめです。
近年の攻撃者は、セキュリティ製品の検知を逃れるため、実行ファイルだけでなくExcelやPDF・zipなど、多様な形式のマルウェアを生み出します。 しかしファイル形式を問わず対処する「Deep Instinct」であれば、これらのマルウェアも高い精度で検知・防御が可能です。
また幅広い端末での利用が可能で、Windows、macOS、AndroidなどのOSに対応しています。
AIによる学習機能を活用することで、ワームをはじめとする新種のマルウェアも高い精度で検知し、お客様のコンピューターを感染から守ることが可能です。
まとめ
本記事ではワームによるサイバー攻撃の脅威やその特徴、被害例や対策案について述べ、その重要性について解説しました。
本記事のまとめ
- ・マルウェアの一種であるワームは、感染対象となる宿主がなくても存在でき、自己増殖できる特徴をもち、通常のマルウェアより感染力が強いのが特徴
- ・2023年現在でもマルウェア感染の被害は国内で増加傾向にあり、その対策は急務である
- ・主な感染経由として「ネットワーク」「メール」「Webサイト」「外付けハード」などがある
- ・ワーム感染が疑われる際は、速やかにネットワークから端末を隔離し、感染拡大を防ぐことが必要
- ・ワームの被害を防ぐには「ソフトウェアやOSのアップデート」「アンチウイルスやEDRなどの導入」が有効である
ワーム感染への対策手法は、基本的にその他の外的脅威に対する対策としても有効な手段です。ぜひ企業・組織のセキュリティ体制を見直し、マルウェア感染のリスク防止に努めましょう。
「マルウェアに感染した際、やってはいけないNG行為」をまとめた、お役立ち資料も、ぜひご活用ください。
関連する記事
