区別せずに使用されることが多いですが、マルウェアとウイルスという言葉の意味は異なります。
マルウェア、つまり悪意のあるソフトウェアとは、コンピューター、ネットワーク、サーバーに害を与える狙いで作成されたプログラムやコードを示す包括的な用語です。
一方、ウイルスはマルウェアの一種です。その定義は、ネットワークの他のデバイスや領域に拡散するために、自己複製したり自身をコピーするプログラムやコードに限定されます。
上記の定義に基づけば、マルウェアという言葉であらゆるタイプのウイルスを示すことができます。しかし、ウイルスという言葉であらゆるタイプのマルウェアを表すことはありません。
マルウェアとウイルスの相違点
自己複製以外にも、マルウェアとウイルスには重要な相違点があります。これら2つのサイバー脅威の特質を理解しておくと、ユーザーが攻撃の種類とその最善の解決方法を特定する際に役立ちます。
攻撃タイプ
繰り返しになりますが、マルウェアとは攻撃の包括的なカテゴリのことです。ここには、ランサムウェア、キーロガー、トロイの木馬、ワーム、スパイウェア、そしてもちろんウイルスなどのサブカテゴリが含まれます。
ウイルスのタイプは多数ありますが、そのどれも、自己複製を通じて拡散できる点が共通しています。
感染方法
通常、マルウェアの攻撃は、フィッシングやソーシャルエンジニアリングの手法のほか、不正な添付ファイルやダウンロードを通じて開始されます。
多くの場合、ウイルスはWebアプリケーション、ソフトウェア、Eメールを介して拡散しますが、感染したWebサイト、コンテンツダウンロード、不正なストレージデバイスを通じて伝染することもあります。
攻撃動作
マルウェアはさまざまな方法で動作しますが、攻撃者が好きな時にいつでもネットワークに忍び込めるように、ほとんどの場合、最初にシステムへの永続的なアクセス手段を確保します。マルウェアはいったん内部に入ると、元の送信者とのコミュニケーションを確立する目的でシステムの制御を奪います。通信する情報には特に、機密データ、知的財産、記録したキーストローク、デバイスのカメラからの画像などがあります。
一方、ウイルスは通常、被害者が感染したアプリケーションを開いたり、不正なファイルをダウンロードしたり、感染したリンクをクリックするなどで攻撃をアクティブ化するまで休止しています。ウイルスは、アクティブ化されると、ファイルの削除、データの暗号化、システム機能の奪取、セキュリティ設定の無効化など、実行するように設計されたタスクをいくつでも実行できます。
攻撃の結果
マルウェア攻撃の結果は、攻撃のタイプによって異なります。ランサムウェア攻撃などの一部の場合では、サイバー犯罪の目的は、システムの復元と引き換えに金銭を受け取ることです。それ以外に、分散型サービス拒否(DDoS)攻撃などの場合は、操作を妨害する以外の目的がハッカーにはないことがあります。
ウイルスは巧妙さの点では異なりますが、攻撃者の目的は概して、ユーザーのデバイスやさらに大規模なネットワークに損害を与えることです。組織にとっては、ウイルスは業務の妨害を招いたり、システムの復元にかなりの出費となることがありますが、一般に攻撃者がアクティビティから直接利益を得ることはありません。ただし、ランサムウェアスキームなどのさらに大きなマルウェア攻撃の一環としてウイルスが組み込まれている場合は除きます。
2024年版クラウドストライクグローバル脅威レポート
クラウドストライクのCounter Adversary Operationsチームによる最前線の調査に基づき、クラウドストライク2024年版グローバル脅威レポートではサイバー脅威の状況全体にわたる注目すべきテーマ、トレンド、イベントを取り上げています。
今すぐダウンロードマルウェアとウイルスの用語が誤用されることが多い理由
マルウェアとウイルスの用語がしばしば誤用される理由を理解するには、歴史と言語学の両方の理解が必要になります。
1970年代、最初のマルウェア攻撃の一部がウイルスと呼ばれていました。テクノロジーやサイバーセキュリティの世界に疎い人々は、技術的な定義を意識しておらず、この用語でマルウェア攻撃を表せると単純に考えていました。数年後、この用語がさらに主流になり、ついにはさまざまなサイバー攻撃を指す簡単な言い方になりました。
さらに複雑なことに、コンピューターユーザーはその後20年の間、サイバーセキュリティの製品やサービスのニーズに迫られましたが、これらは通常アンチウイルスソフトウェアと表現されていました。これらの製品は他のタイプのマルウェアからもユーザーを保護していましたが、その製品名はウイルス保護を謳ったものであり、そのため、ウイルスが攻撃の主要カテゴリであるという考えが強まりました。
マルウェアの例
マルウェアとは、動作、目的、拡散メカニズムに関わらず、あらゆるタイプの悪意のあるソフトウェアを示す包括的な用語です。一般的なタイプのマルウェアは、次のとおりです。
- ボットおよびボットネット
- クリプトジャッキング
- エクスプロイト
- ファイルレスマルウェア
- キーロガー
- ランサムウェア
- マルバタイジング
- モバイルマルウェア
- ルートキット
- スパイウェア
- トロイの木馬
- ウイルス
- ワーム
最も一般的なタイプのマルウェアの詳細については、補足投稿「マルウェアの一般例」を参照してください。
ウイルスの例
マルウェアに多くのタイプがあるように、ウイルスにも多数のタイプがあります。しかしながら、マルウェアの定義はより広範であり、多彩な手法や方法を伴っていることに留意してください。一方、ウイルスは、新しい宿主への感染が自己複製に依存しているという意味で類似しています。
一般的なタイプのウイルスは、次のとおりです。
- ブートセクターウイルス
- ブラウザハイジャッカー
- ダイレクトアクション型ウイルス
- ファイル感染型ウイルス
- マクロウイルス
- 複合感染型ウイルス
- 上書き型ウイルス
- ポリモーフィック型ウイルス
- 常駐型ウイルス
- Webスクリプト型ウイルス
技術的に言うと、ランサムウェアはマルウェアの一種です。これは、被害者の重要なファイルを暗号化し、アクセスを復元するために金銭(身代金)を要求することで機能します。
ランサムウェアは、自己複製による感染ではないのでウイルスとは違います。ただし、ランサムウェア攻撃の一環として、ウイルスを使用してデータを暗号化したりファイルを変更したりして、所有者が使用できなくなるようにする場合があります。
マルウェアとウイルスから保護するためのソリューション
マルウェアから保護するための最適な方法は、機械学習、エクスプロイトブロック、振る舞い分析、ブラックリストなどの一連の統一的方法を採用することです。
CrowdStrike Falcon®プラットフォームでは、独自の総合的な手法を組み合わせて、既知のマルウェア、不明なマルウェア、およびファイルレスマルウェア(信頼できるプログラムを偽装)を防止して検知します。
機械学習
Falconプラットフォームでは、機械学習を使用してマルウェアをブロックし、署名は使用しません。代わりに、数学的アルゴリズムを使用してファイルを分析し、インターネットに接続していない場合でもホストを保護できます。
エクスプロイトブロック
マルウェアは常に、機械学習で分析できるファイルの形式でもたらされるわけではありません。一部のタイプのマルウェアは、エクスプロイトキットを使用して、メモリに直接展開されます。このようなマルウェアから防御するために、Falconプラットフォームでは、さらに保護階層を追加するエクスプロイトブロック機能が用意されています。
振る舞い分析
特定のタイプのランサムウェアなど、エクスプロイトキットを使用しないファイルレスマルウェアについてはどうでしょうか。これらの脅威からシステムを保護するため、Falconプラットフォームでは攻撃の痕跡(IOA)を使用します。これは、正当なアクティビティと疑わしいアクティビティの両方を監視して、マルウェアが感染を試みていることを示すイベントのステルスチェーンを検知します。ほとんどのIOAはマルウェア以外の攻撃も防止できます。
ブロックリスティング
Falconではまた、組織がアプリケーションをブロックリストに登録して、組織のどこでもアプリケーションが実行されることのないようにすることができます。