「マルウェアに感染しているかチェックするにはどうすれば良いのか」
そんなあなたに当記事では、マルウェア感染時のチェック方法をパソコンのOSごとに解説します。またマルウェア感染の予防や感染判明時の対応を確認して、被害が発生しにくい、発生しても最小限にとどめられる環境を整えましょう。
マルウェアに感染しているかチェックする方法
マルウェアはパソコン侵入後に放置していると、個人情報の悪用やパソコン自体の制御が失われる事態につながります。
放置をしないために、まずはマルウェアの感染に気がつくためのチェックが必要です。チェックをするためにはセキュリティツールを使うことになります。
マルウェアとは
マルウェアはパソコンに侵入し、悪意のあるプログラムを実行するソフトウェアのことです。
上記のマルウェアの説明を読んで「マルウェア=コンピュータウイルス」と認識された方もいるでしょう。コンピュータウイルスはマルウェアの一種ですが、マルウェアには他にもさまざまな種類があります。例として以下の通りです。
- コンピュータウイルス
- ワーム
- トロイの木馬
- ランサムウェア
- スパイウェア
- アドウェア
マルウェアがパソコンに侵入するとさまざまな被害に襲われることになります。例として以下のような被害が挙げられます。
- データの損失や破損
- 盗んだデータの悪用
- システムのパフォーマンス低下
- 経済的損失
- 社内システム全体への影響
企業が従業員に配布したパソコンにマルウェアが侵入してしまうと、そこから社内システムに侵入することもあります。これによりシステム全体にも影響する可能性がある点がマルウェアの恐ろしいところです。
マルウェアの被害を防ぐためには検出(チェック)、対応が必要ですが、当記事では検出やその前の予防にフォーカスします。
マルウェアをチェックするにはセキュリティツールを使う
マルウェアをチェックするためにはセキュリティツールを使ってチェックする必要があります。
パソコンがマルウェアに感染した場合、マルウェアの存在自体には気がつかなくても異常には気がつくことがあります。例として以下のような異常です。
- 動作が明らかに遅くなった
- 広告が表示される
- 今まで開けていたファイルが開けなくなった
上記以外にも気がつけない異常が発生することもよくあります。そして上記のように異常には気がつくことがある一方で、原因まで気がつけることはまれです。原因となり得る箇所は無数に存在します。もちろん、一見無関係なファイルやシステムが感染していることもあるため、目視での検査は現実的ではありません。
よってセキュリティツールを使って自動的にマルウェアをスキャンし、早急に検出、対応をすることが必要です。
OSごとのマルウェアチェック方法
OSごとのマルウェアチェック方法を解説します。当記事ではWindowsとMacOSのマルウェアチェック方法を解説するので、自身が使っているパソコンにあわせてご覧ください。
WindowsPCでのマルウェアチェック方法
OSがWindowsのパソコンでマルウェアをチェックする方法は以下の通りです。
- Windows セキュリティ設定を開く
- 「ウイルス&脅威保護」で「スキャン」を選択
- 「Microsoft Defenderウイルス対策(オフラインスキャン)」を選択し「今すぐスキャン」を選択
- 数分後にパソコンが再起動される
上記の方法でマルウェアのスキャンができます。再起動が完了しても何もしなければスキャン結果の確認ができません。確認方法は以下の通りです。
- Windows セキュリティ設定を開く
- 「ウイルス&脅威の保護」で「保護履歴」を選択
OSがWindowsのパソコンの場合は、Windows Defenderによってマルウェアチェックが行われます。Windows DefenderはWindowsに最初から含まれているため、インストールの必要はありません。ただし、別のセキュリティ対策ソフトを入れた場合は、Windows Defenderが自動的に無効になってしまうので、気をつけてください。
Macでのマルウェアチェック方法
OSがMacOSの場合、以下のタイミングで自動的にマルウェアチェックを実施してくれます。
- アプリが初めて起動された
- ファイルシステム内でアプリが変更された
- XProtectシグネチャがアップデートされた
マルウェアチェックが実施されるのはアプリが変更された際や、アプリ自体に更新や内容変更があった際です。例としてアプリのアップデートを実施した場合や設定ファイルを編集した場合を指します。
XProtectはMac OSに含まれているセキュリティ対策ソフトです。MacOSのパソコンを利用していれば、上記のタイミングごとにXProtectによってマルウェアチェックが行われます。
XProtectシグネチャはXProtectのウイルス検出ルールのことです。シグネチャがアップデートされると、今までのシグネチャで検出できなかったウイルスを検出できる可能性があります。よってシグネチャがアップデートされた際にマルウェアチェックを網羅的に行うことでパソコンのセキュリティ保護を行う流れです。
マルウェアをチェックする仕組み
マルウェアをチェックする仕組みとして、主に以下の3パターンがあります。
- シグネチャベース
- 静的ヒューリスティック
- 動的ヒューリスティック(振る舞い検知)
シグネチャベースはマルウェアのパターンをデータベースに登録しておき、プログラムをデータベースに照合して検出する方法です。データベースに登録されているマルウェアは検出できますが、登録されていないマルウェアには効果がない点がデメリットです。
静的ヒューリスティックはファイルをスキャンした際に怪しいと分析された箇所を検出する方法です。危険な設定や、実行されるべきではないコードなどを指摘します。未知のマルウェアに対しても対応できますが、誤検出が多いことがデメリットです。
動的ヒューリスティックはソフトウェアをサンドボックス(仮想環境)で動かし、分析することでマルウェアを検出する方法です。実際に動かしてみることで、危険な挙動をすれば検出した、ということになります。サンドボックスで実際に動かす必要があることから、チェックにかかるシステム負担が大きいことがデメリットです。
マルウェアチェック前の感染の兆候
マルウェアの検出は感染後すぐにできることが望ましいですが、感染に気がつくことは難しいです。しかし、感染の兆候を知っておくことで、迅速な検出や対応が可能になります。
以下の事象があればマルウェア感染の兆候と考え、マルウェアチェックを行いましょう。
- いきなりPCの動きが悪くなる
- 見覚えがないプログラムや履歴がある
- 頻繁に広告やメッセージが表示される
いきなりPCの動きが悪くなる
パソコンがマルウェアに感染した兆候として、いきなり動きが悪くなることがあります。
マルウェアに感染すると、強制的に無駄なプロセス(プログラムや通信など)を実行されることがあります。その結果、パソコンにはリソース負荷がかかるため、動作が鈍くなったと感じた時は要注意です。
例としてこれまで問題なくブラウザでネットサーフィンをしていたのに、新しいタブを開こうとするだけで想定より時間がかかる場合があります。マルウェアに感染した結果、ブラウザではないプロセスにリソースが多く使われてしまうと起こる事象です。
動きが悪くなる原因は、マルウェア以外にも考えられます。ただ、急に動作が重くなった場合にはマルウェアの感染を疑いましょう。
見覚えがないプログラムや履歴がある
マルウェアに感染すると見覚えがないプログラムや履歴が残る場合があります。
マルウェアに感染した際に、マルウェアの挙動としてプログラムのダウンロードや実行をすることがあります。これらはマルウェアによる攻撃の一環として実行された結果です。見覚えがないプログラムや履歴がある場合にはマルウェアチェックを確認してください。
なお見つけた場合でも見覚えがないプログラムを実行することはやめましょう。さらなる被害をもたらしてしまう可能性があるためです。見覚えがないプログラムは触らずに名前を調べるか、速やかに削除、報告をしてください。
頻繁に広告やメッセージが表示される
マルウェアに感染すると頻繁に広告やメッセージが表示される場合があります。
マルウェアのうち、アドウェアやスパイウェアによく見られる挙動です。これらは広告やメッセージを見せて不安を煽り、セキュリティ強化を提案する振りをして怪しいサイトへ誘導します。仮にサイトにアクセスしてしまうと、その時点で情報を盗まれてしまう可能性もあるので、十分に注意しましょう。
よって頻繁に表示される怪しい広告やメッセージにはアクセスしないようにしてください。
マルウェア感染しないための対策
マルウェアに感染後の対応も大切ですが、そもそも感染しないための対策が大切です。予防策として以下を実施しましょう。
- セキュリティアップデートを義務付ける
- 従業員の教育
- アクセス制限を設ける
- セキュリティサービスの活用
- インシデント発生時の対応を決めておく
セキュリティアップデートを義務付ける
従業員にセキュリティアップデートを義務付けることで、マルウェアの感染リスクを低減できます。
基本的に従業員はパソコンを利用しているでしょう。そしてそのパソコンでさまざまなサービスやシステムにアクセスします。よってパソコン自体のセキュリティやシステム自体のセキュリティなど、さまざまな箇所にセキュリティ対策が必要です。もちろん、ネットワークやデータベースなどのインフラもセキュリティ対策が欠かせません。
日頃から自身が利用するデバイスやソフトウェア、システムのセキュリティアップデートを実施するように義務付けましょう。セキュリティアップデートは脆弱性を減らすために必要な取り組みです。実施することでマルウェアへの感染リスクが低減できるため、アップデートがリリースされたら速やかに実施することが望ましいです。
従業員の教育
従業員の教育はマルウェアの感染リスクを低減するためには重要な取り組みです。
マルウェアが侵入する経路はさまざまですが、各従業員が気をつければ防げる侵入も多いです。例として怪しいメールが届いても、書かれているリンクやファイルにアクセスしなければ被害は発生しません。セキュリティに対する従業員のリテラシーが、セキュリティ対策においては重要です。
他にもセキュリティ意識を高める取り組みとして、社内ルールや被害事例の理解に努めましょう。社内ルールの理解は、マルウェアに感染した際の迅速な対応に貢献します。迅速な対応ができれば、被害を防止、あるいは被害の最小化が可能です。
また被害事例の確認も重要です。被害を受けた際の被害想定額やマルウェアの侵入経路を理解することで、当事者意識や危機感が生まれます。
アクセス制限を設ける
アクセス制限を設けることがマルウェア感染を防ぐために重要です。
従業員のパソコンやアカウントにアクセス制限を設定し、怪しいサイトへのアクセスや、ソフトウェアダウンロードを禁止させましょう。これにより、マルウェアが仕掛けられたファイルのダウンロードによって感染するリスクを防げます。
また万が一マルウェアに感染してしまった場合のことを考えてもアクセス制限は重要です。
アクセス権限を最小限にとどめておくことで、マルウェアに感染してしまっても被害を最小限に抑えられます。よって従業員のアカウントに与えるアクセス権限は最小限にとどめておきましょう。例として管理者以外の従業員は管理ポータルにはアクセスできないようにする対策が有効です。
アクセス制限を設けておくことは、マルウェア感染予防対策において重要な取り組みといえます。よって以下の制限や権限を見直しましょう。
- 従業員がアクセスできるサイトやサービスの制限
- ファイルをダウンロード可能かどうか
- ファイルにアクセス可能か
- ファイルにアクセスが可能なら編集できるか、閲覧のみか
セキュリティサービスの活用
セキュリティサービスの活用はマルウェア感染の予防に効果があります。
先述したとおり、従業員が利用するパソコンにはそれぞれマルウェアのチェックや防御をするソフトウェアが最初から搭載されています。しかし、それだけでは不十分です。以下のセキュリティサービスの利用を検討し、より強固なセキュリティを実現しましょう。
- ファイアウォール
- IPS,IDS
- WAF
- エンドポイント保護プラットフォーム(EPP)
- 多要素認証
また弊社ではマルウェア感染による情報漏えいを防止するサービス(HENNGE One)を提供しています。HENNGE Oneはマルウェア感染のような外部からの侵入でなく、人的ミスや内通者といった内部が起因の情報漏えいに有効です。気になる方は下記リンクからご連絡ください。
https://hennge.com/jp/service/one/dlp/
インシデント発生時の対応を決めておく
インシデント発生時の対応を決めておくことは、マルウェアの被害を最小限に抑えるために重要です。
対応を決めておくことはマルウェア感染の予防策ではありません。しかし、マルウェアに感染する前に決めておくことが重要です。感染前に決めておくことで、万が一の感染時にも落ち着いた対応が可能になり、被害を最小限にとどめることにつながります。
決めておくべき対応は以下のとおりです。
- 感染の兆候が見られた時の手順
- 感染が発覚した際の連絡先、連絡手段
- 感染が発覚した場合のネットワーク隔離
特に連絡手段は、社内ネットワークを経由する連絡手段(メールやチャットなど)だと感染を広げてしまう可能性があります。またネットワーク隔離措置を実施することで、それらの連絡手段が使えない可能性も高いです。電話や社外サービスの利用など、別の連絡手段を確保しておく必要があります。
上記を事前に決めておき、マルウェアに感染した場合でも落ち着いて対応できるように従業員に周知しましょう。
マルウェアチェックにより感染が判明した時の対応
マルウェアチェックをして、感染が判明した場合には以下の対応を実施してください。
- ネットワークからの切り離し
- セキュリティ管理者への連絡
- マルウェアの駆除
- 原因や感染経路の調査
なお感染時の社内ルールが決まっている場合はそちらに従って対応を進めましょう。当項は社内ルールに盛り込むべきルールとして解説します。
ネットワークからの切り離し
マルウェアに感染していることが判明したらすぐさまネットワークから切り離しましょう。ネットワークの種類ごとの対応は以下のとおりです。
- 有線ネットワーク:パソコンからケーブルを抜く
- 無線ネットワーク(Wi-Fi):Wi-Fiをオフにする
ネットワークから切り離すことで、ネットワークを経由した感染拡大を防ぐことになります。マルウェアへの感染が判明したら、まずは隔離して被害を広げないことが大切です。
感染が確認されたら管理者への問い合わせやウイルス駆除を行いたくなりますが、まずはネットワークからの切り離しを実施しましょう。
セキュリティ管理者への連絡
ネットワークの切り離しが完了した段階で、セキュリティ管理者に連絡しましょう。
マルウェアに感染した場合や、その他のインシデントが発生した場合に備えて、企業はセキュリティ管理者を決めておく必要があります。最低でも社内に一人、人数が多い企業なら部署ごとに一人程度はセキュリティ管理者を決めておきましょう。感染が判明し、ネットワークからの切り離しを行ったらセキュリティ管理者に連絡するように社内ルールに盛り込むべきです。
なおパソコンがネットワークから切り離されているため、メールやチャットではセキュリティ管理者に連絡できない場合が多いです。セキュリティ管理者の電話番号を知らせておき、インターネットやネットワークを経由しない連絡手段を確保しておきましょう。またセキュリティ管理者不在時の代理人も社内ルールで決めておくことが望ましいです。
マルウェアの駆除
ネットワークの切り離し後にマルウェアの駆除を実施してください。
マルウェア駆除は、マルウェア対策ソフトやサービスによって行われます。ネットワークに切り離された状態で実施できるのであれば、切り離したままにしてください。なおネットワークに接続しないと利用できないクラウド型のセキュリティサービスであれば、管理者の指示やセキュリティルールを確認しましょう。
上記のように利用しているセキュリティサービスによっても対応が異なります。ネットワーク切り離し後の対応を含めて社内ルールを決めておくことが重要です。
原因や感染経路の調査
マルウェアの感染後は、原因や感染経路の調査をして再発防止を防ぐことに努めましょう。
マルウェア感染時の最優先事項は感染拡大の防止です。しかし、その段階が完了したら再発防止に向けた対応に進む必要があります。原因や感染経路の調査を実施するために以下を実施することになるでしょう。
- 感染する前までの従業員の行動
- どんなサイトにアクセスしていたか
- どんなファイルをダウンロードしたか
- 感染の兆候はなかったか
- 感染判明後には適切な対応ができていたか
- 感染したパソコンのセキュリティログの調査
- セキュリティサービスのログ調査
上記からマルウェア感染の原因や感染経路を特定し、再発防止策を立てましょう。
HENNGE Cybersecurity Editionで情報漏洩対策
弊社が提供するHENNGE OneのCybersecurity Editionは主にメール経由で感染するマルウェアへの対策が可能なセキュリティソリューションパッケージです。
マルウェアの多くはメールに添付された悪意のあるファイルや本文に挿入されているURL経由で感染します。近年は手口も巧妙化しており、被害件数は増加しています。
HENNGE OneのCybersecurity Editionは人、運用、技術の3つの観点でメールによるマルウェア攻撃から企業を保護します。の
HENNGE Cybersecurity Editionには以下の機能があります。
- サンドボックスやレピュテーションチェックによる悪意のあるメールの検知
- 侵害されたアカウントの検知
- 標的型メール攻撃訓練
- 不審なメールの管理者への報告
社内の情報漏えい対策に興味をお持ちの担当者は下記リンクからご連絡ください。
https://hennge.com/jp/service/one/cybersecurity/
まとめ
マルウェアのチェック方法はパソコンに含まれているセキュリティ対策ソフトで実施できます。より強固なセキュリティを実施するためには、セキュリティサービスの利用や、教育による従業員のリテラシーおよびセキュリティ意識の向上に努めましょう。
マルウェアの感染によって情報漏えいの被害につながる可能性がありますが、マルウェア感染以外でも情報漏えいは起こり得ます。弊社のセキュリティサービスHENNGE OneのCybersecurity Editionを利用して、内部の人的ミスによる情報漏えい対策も実施しましょう。
https://hennge.com/jp/service/one/cybersecurity/
- カテゴリ:
- サイバーセキュリティ