マルウェアとウイルスの違いについて解説！ 感染経路や具体的な対策とは？

サイバー攻撃を伝える報道やウェブサイトなどで、「マルウェア」や「ウイルス」といった言葉が広く飛び交っています。マルウェアとウイルスは同じ文脈で使われるシーンが多いようですが、厳密には意味が異なることをご存じでしょうか。
本記事では、IT初心者向けにマルウェアとウイルスの違い、感染経路や対策について詳しく解説します。

マルウェア（Malware）とは、悪意のある不正なソフトウェアおよびプログラムの総称です。「malicious（悪意のある）」と「software（ソフトウェア）」から成る造語です。
一方のウイルス（コンピューターウイルス）とは、マルウェアの一種になります。
詳しくは次章で解説しますが、マルウェアの種類は多く、ウイルスの他に「ワーム」や「トロイの木馬」などが存在します。

かつては悪意あるソフトウェアを、総じてウイルスと呼んでいました。
時代を経てウイルスの種類が細分化された結果、悪意あるソフトウェア全体を「マルウェア」、マルウェアの一種を「ウイルス」と区分するようになったのです。
そのため、現在でも「ウイルス＝マルウェア」の意味で使われる場合があります。

マルウェアを「性質」によって分類すると、以下のように「ウイルス」「ワーム」「トロイの木馬」の3つに区分できます。

それぞれの違いを順番に解説します。

ウイルスとは、寄生するためのファイルを必要とし、単体では活動できないマルウェアです。多くの場合、「.exe」「.com」などの実行ファイルに潜伏しています。
プログラムの一部を改ざんして、自己増殖することで他のファイルやPCへと感染を広げます。生物に病気を引き起こすウイルスと特徴が似ているため、コンピューターウイルスと名付けられました。
最終的に、感染したファイルが実行されると、ユーザーに不利益を与える活動を開始します。

ワームとは、寄生するためのファイルを必要とせず、単体で活動するマルウェアです。
ウイルスのように「感染ファイルの実行」といった人の手による操作が不要で、しかも自己増殖します。したがって、ネットワークを通じて他のデバイスへと単独で侵入できるため、感染力が高く被害が拡大しやすいのです。
ネットワーク上を虫のように独立してはい回ることから、「ワーム（Worm：虫）」と呼ばれています。

トロイの木馬とは、正常に見えるソフトウェアやファイルになりすまし、コンピューターに侵入するマルウェアです。無害な無料アプリケーションや音楽・画像ファイルのふりをして、単独で存在します。
また、自己増殖しないため、他のデバイスへは感染しませんが、無害なプログラムに偽装したトロイの木馬がデバイスにインストールされると、デバイス内で情報の窃取といった不正活動を始めます。
名称は、ギリシャ神話の「トロイア戦争」にて、木馬に扮装して敵地に侵入した「トロイの木馬」が由来です。

ウイルスやトロイの木馬などのマルウェアは、様々なサイバー攻撃に利用されます。攻撃手口によってマルウェアを細分化すると、主に次の7種類があります。

1. バックドア
2. キーロガー
3. スパイウェア
4. ランサムウェア
5. アドウェア
6. スケアウェア
7. ボット

それぞれの攻撃手法を説明します。

バックドアとは、システム内部に攻撃者が勝手に出入りするための裏口です。攻撃者があらかじめコンピューターに侵入し、バックドアを設置します。バックドア自体は何もしませんが、バックドアを経由してマルウェアが侵入したり、データが盗まれたりするのです。

キーロガーとは、キーボードの入力内容を読み取り記録するソフトウェアです。本来は作業記録などの用途に使われますが、ログイン情報などの窃取に悪用される場合があります。

スパイウェアは、侵入したコンピューター内のデータを不正に収集します。安全なソフトウェアに偽装し、ユーザーが自らインストールしている場合が多いマルウェアです。または、ユーザーが気付かないうちに自動でインストールさせられている場合もあります。

ランサムウェアとは、企業の重要なファイルを不正に暗号化し、ファイルの復元を条件に身代金を要求するマルウェアです。近年はランサムウェアによる被害が度々ニュースで報道されており、IT業界以外でも有名なマルウェアといえます。

ランサムウェアについて詳しく知りたい方は、こちらの記事をご覧ください。
▼ランサムウェアの感染経路は？ 感染被害や対策方法を徹底解説！

アドウェアとは、広告を表示し、広告収入を得るためのソフトウェアです。アドウェア自体はマルウェアではありませんが、中には個人情報を不正に取得する悪意のアドウェアが存在するため注意が必要といえます。

スケアウェアとは、「この端末はマルウェアに感染した」とユーザーをだますマルウェアです。ユーザーの不安をあおり、セキュリティソフトなどに偽装したマルウェアのインストールへと誘導します。

ボットとは、あらかじめ設定した処理を自動的に行うプログラムです。本来、ボットは正規の用途で使われますが、マルウェアとしても悪用されています。例えば、コンピューターを不正に遠隔操作し、勝手にスパムメールの送信元にされるケースがあります。

ここまでご紹介したマルウェアの種類については、以下の記事でも詳しく説明しています。
▼マルウェアの被害を防ぐには？ 対策方法と感染時の対処法を解説

マルウェアの主な感染経路は、次の6つです。

1. メールの添付ファイルを開く
2. 不正なWebサイトへの訪問
3. 不正なソフトウェアのインストール
4. ストレージ上のファイル共有
5. 外部メディアの接続
6. 内部ネットワークへの侵入

それぞれの感染経路と有効な対策を解説します。

メールに添付された不審なファイルを不用意に開いてしまうことで、マルウェアに感染します。あるいは、メール本文に記載されたURLをクリックし、不正なWebサイトへ遷移して感染する場合もあります。
また、近年のスパムメールは巧妙化しており、差出人やメールのHTMLデザインを実在の企業に偽装しています。メールの添付ファイルやURLはむやみに触れず、メールアドレスと認証情報を確認しましょう。システム面の対策として、メールセキュリティの導入もおすすめです。

不正メールを主な感染経路とするマルウェアの一種であるEmotet（エモテット）の特徴や、感染する原因を解説した記事もご用意しております。ぜひご確認ください。
▼Emotet（エモテット）の特徴と感染時の対策を解説

「Techvan Cloud App Security」とは、、Microsoft 365やGoogle Workspaceなどのクラウドメールに特化したセキュリティサービスです。
不審なメールや添付されたマルウェアをブロックし、危険なWebサイトへの接続も遮断します。万一、マルウェアに感染しても、セキュリティスタッフがリモートでマルウェア駆除を支援します。
Techvan Cloud App Security導入支援サービス

攻撃者が作成したWebサイトへのアクセスは、マルウェアに感染する危険性が高く注意が必要です。また、正規サイトであっても、ぜい弱性を突かれて改ざんされている場合もあります。
対策として、不審なWebサイトへの接続を遮断できるセキュリティ製品の導入がおすすめです。さらに、Webブラウザをアップデートし最新状態に保つことで、ブラウザによるブロックが適切に機能します。

「Zscaler Internet Access」は、Webサイトやクラウドサービスへの接続を保護するソリューションです。
すべてのWebアクセスを中継し、統一されたポリシーを適用することで安全な通信を実現します。端末の場所を問わないため、リモートワークでも安全なインターネット利用が可能です。
Zscaler Internet Access導入支援サービス

問題がないように見えるソフトウェアであっても、マルウェアが潜んでいる可能性があります。新しいソフトウェアを利用する際は、インストールする前に提供元の信頼性を確かめましょう。
また、むやみにフリーツールを使わないことが大切です。
インストールしてしまった場合に備えるなら、マルウェア侵入後の対策ができるEDR（Endpoint Detection and Response）製品を活用しましょう

「VMware Carbon Black Cloud」は、正規ソフトウェアのふりをして侵入した脅威を発見できるEDR製品です。
不審な動作をするプログラムを素早く見つけ、攻撃の全体像を可視化するレポートにより、スピーディな対応を支援します。NGAV（次世代アンチウイルス）の機能もあるため、マルウェアの感染防止にもなります。
VMware Carbon Black Cloud（EDR）導入支援サービス

攻撃者がクラウドストレージのアカウントを乗っ取り、マルウェアをアップロードされる可能性もあります。
ログイン情報の流出を避けるには、厳格なパスワード管理や二段階認証の導入、アクセス権限の設定といった対策が必要です。
IDやパスワードを安全に一元管理するIDaaS製品の導入も選択肢となるでしょう。

IDaaS製品の「Okta Workforce Identity Cloud」は、クラウドサービスとオンプレミスシステムのID管理に対応しています。各サービスへの認証プロセスは「Oktaへのログイン」に統合され、ユーザーはサービスごとにパスワードを入力する必要がありません。異なるサービスの認証情報を統合管理し、認証と管理を自動化することでID管理の安全性を高められます。
Okta Workforce Identity Cloud導入支援サービス

マルウェアが潜むUSBメモリなどの外部機器をコンピューターに接続すると、被害が拡大します。まずは「私物の外部メディアを持ち込まない」といったルールの徹底が重要です。
また、デバイス制御により、無許可の外部メディアの接続を遮断する方法もあります。正規の外部メディアを接続する際は、NGAVによるウイルススキャンを実施しましょう。

「CrowdStrike Falcon」は、NGAVとEDRの機能を搭載したセキュリティ製品です。外部メディアやメール、Webサイトなど、あらゆる経路で侵入を試みるマルウェアをNGAVが検知し、侵入を防ぎます。仮にNGAVの検知をすり抜けても、EDR機能による迅速な事後対応が可能です。
CrowdStrike Falcon導入支援サービス

社内ネットワークに攻撃者が侵入し、内部から直接マルウェア感染を広げられる可能性もあります。攻撃者のよくある侵入地点は、VPNです。

IDaaSによるログイン情報の管理のほか、VPNに代わる安全なリモートアクセス方法「ZTNA（ゼロトラストネットワークアクセス）」への移行も有効な対策となります。

「Zscaler Private Access」は、VPNにありがちな通信遅延が起きづらいZTNAソリューションです。すべての通信を信用しない「ゼロトラスト」にもとづき、全通信の信頼性を注意深く検証してアクセスを制御します。ユーザーや組織単位の細かなアクセス制限が可能で、安全なリモート環境を実現できます。
Zscaler Private Access（ZPA）導入支援サービス

マルウェアに感染すると、どのような被害が発生するのでしょうか。よくある被害例として、次の4つを紹介します。

1. 情報漏えいやデータ改ざん
2. DDoS攻撃やスパムメールの踏み台化
3. デバイスやアカウントの乗っ取り
4. 多額の身代金の要求

それぞれの被害内容を詳しく確認しましょう。

自社の重要技術を含むデータや顧客の個人情報が流出したり、データを改ざん・破壊されたりする可能性があります。あるいは、自社のWebサイトが改ざんされ、顧客に被害が広がるパターンもあります。
いずれの手口にせよ、顧客や取引先の情報が盗まれれば、被害範囲は自社だけに留まりません。情報漏えいに対する損害賠償責任が生じる上、社会的信頼も損なわれるでしょう。

マルウェアに感染すると、自社のコンピューターがサイバー攻撃やスパムメールの仕掛け元となる「踏み台」にされる場合があります。
例えば、ターゲットのWebサーバーに大量のトラフィックを送り、サービスを停止させる「DDoS攻撃」の踏み台にされるかもしれません。
自社のコンピューターがDDoS攻撃を仕掛けたとなれば、意図せずサイバー攻撃に加担してしまうわけです。自社が攻撃者と疑われ、疑惑が晴れても信用が低下するリスクがあります。

マルウェアによってデバイスが乗っ取られると、攻撃者による遠隔操作が行われます。勝手にデバイス内の情報を閲覧され、ファイルの改ざんやデータ流出につながる恐れがあります。
さらに、クラウドサービスやVPNのアカウント乗っ取り被害もあり得ます。仮に攻撃者がVPNのログイン情報を盗んだ場合、攻撃者は社内ネットワークを横移動して内部システムに侵入し、価値のあるデータを盗み出す可能性も生じるでしょう。

ランサムウェアを仕掛けられた場合、多額の身代金が要求されます。
加えて、事業に不可欠なデータが暗号化されるため、一時的に事業を停止せざるを得なくなります。身代金を支払わずとも、停止期間の利益損失が生じてしまうのです。
一方で、身代金を支払ってしまうと「データを公開されたくなければさらに金を払え」と二重恐喝される可能性さえあります。一度でも攻撃者の要求に応じてしまえば、再びランサムウェアを仕掛けられる危険性が高まるのです。

PCの動作が重かったり起動できなかったりする場合、マルウェアに感染しているかもしれません。マルウェア感染が疑われる際は、下記4つの手順で対処しましょう。

1. ネットワークからの隔離
2. 情報システム管理者へ報告
3. セキュリティソフトで検査
4. 原因特定と被害範囲の調査

各手順のポイントを解説します。

まずは、感染が疑われるデバイスをネットワークから切り離しましょう。早期に隔離することで、ネットワークを介した感染拡大を防げます。
有線接続であればデバイスのLANケーブルを外し、無線接続であればWi-Fiなどのインターネット接続を切ってください。EDRを導入している場合、遠隔操作で簡単にネットワーク隔離できます。

次に、セキュリティソフトでデバイスを検査します。ウイルススキャンによりマルウェアが見つかれば、セキュリティソフトの指示に従って駆除しましょう。セキュリティソフトの中でも、NGAVであれば未知のマルウェアに対しても高精度な検出が可能です。

続いて、情報システム部門や管理者へ状況を報告します。ウイルススキャンの結果やデバイスの状況といった詳細を共有し、今後の対応を指示してもらいましょう。
すでに他の端末へ感染が広がっている可能性があるため、迅速な報告が大切です。自身が情報システム担当者であれば、インシデントの対応フローに沿って行動します。

最後に、情報システム担当者が感染経路や被害範囲を調査し、徹底的にマルウェアを駆除します。
EDRを導入していれば、マルウェアの侵入経路、攻撃の全体像、被害状況など、復旧に必要な関連情報の素早い特定が可能です。
また、マルウェア駆除のためにPCを初期化した場合、アプリケーションの再インストールやリカバリーなどの復旧作業も必要になります。

マルウェア感染を予防するためには、「人」と「システム」の両面からの対策が求められます。

マルウェア感染の原因として、従業員の操作ミスや認識不足があります。いくらシステムで対策しても、システムを使う側の人間の情報セキュリティ意識が低ければ意味がありません。
「不審なメールの添付ファイルをダウンロードしない」といった従業員向けの基礎的な知識を周知しましょう。
加えて、マルウェア感染時の対策フローを決めておくと、迅速に対処できます。

システム面では、自社環境に合うセキュリティ製品の導入が欠かせません。
セキュリティ製品の中でもとりわけマルウェア感染に有効なのは、NGAVやEDRなどのエンドポイントセキュリティ製品です。マルウェア侵入の事前対策と事後対策を行うことで、堅牢なセキュリティ体制を構築できます。

セキュリティ対策を強化するためには、自社に合った製品選びが重要です。
前述しましたが、NGAVとEDRを導入したい場合、両機能を持つ「CrowdStrike Falcon」や「VMware Carbon Black Cloud」などの製品がおすすめです。

あるいは、メールからのマルウェア感染防御には「Techvan Cloud App Security」などのメールセキュリティが適しています。
さらに、安全なリモートワーク環境を整えるには、VPNに代わるリモートアクセスサービス「Zscaler Private Access」が導入候補になるでしょう。
また、IDaaS「Okta Workforce Identity Cloud」は、アカウント乗っ取り防止に効果的です。

テクバンでは、マルウェア対策に最適なセキュリティ製品の導入支援を行っています。お客様の環境や導入目的に最適な製品を提案いたしますので、ぜひ気軽にお問い合わせください。
テクバンが提供する次世代セキュリティ対策ソリューションとは？

コンピューターウイルスを含むマルウェアは、ランサムウェアなどの悪質な種類が多数あり、メールやWebサイト、外部メディアなど、様々な場所から侵入します。
こうした場所をエンドポイントセキュリティで保護することで、マルウェアの感染予防が可能です。また、ZTNAやIDaaSなどのソリューションも適しています。

「どの製品を選べばいいかわからない」とお悩みのお客様は、ぜひテクバンにご相談ください。お客様の環境を調査し、最適な製品を提案させていただきます。
テクバンへ問い合わせる