ウィルス対策ソフトを入れてるのに感染したのはなぜ?



マルウェア・ウィルス、中でもパソコン内のデータを暗号化し、使えない状態にしてしまい、元に戻すには身代金を支払えと要求するランサムウェアへの感染が急増しています。弊社にご連絡いただくお客様は、ウィルスをどうしたら駆除できますか?という場合と、暗号化されたデータを復号(元に戻すこと)できますか?と開口一番、この二通りのご質問をいただきます。 もちろん、ウィルスを駆除することも復号することも可能です。ただし復号にはウィルスの難易度と感染後にお客様の方で焦って色々と手を加えてしまうと出来なくなることがあるので注意が必要です。 そこでお客様に現状と感染経路などをヒアリングさせていただくのですが、多いのが「うちのパソコンにはちゃんとウィルス対策ソフトをインストールして定義ファイルも最新版にしていたのになんで感染したのでしょうか?」というご質問です。 結論から先にお話すれば、ウィルス対策ソフトは既知(すでに発見されている)のウィルスには対応できてもそうでない最新のウィルスには対応できていません。定義ファイルの更新を求められているときはすでに誰かが犠牲になって発見されたウィルスに対応しますよ、というものです。もちろん尊い犠牲の上に更新されているのでちゃんとアップデートすることをお勧めします。またソフトによっては「ふるまい検知機能」が付いているものであれば最新のウィルスでも対応できる場合があります。この機能は既知でなくても怪しい動きをするプログラムを検知してブロックするものです。ただし100%ブロックすることは難しいです。というのも感染経路として90%といわれるスパムメールに添付された不審なファイルを展開したことによる感染ですが、以前はウィルスそのものが添付されていたために発見がしやすかったのですが最近はダウンローダーと呼ばれるものが添付されていて、そのものは怪しくは見えません。誤ってダウンローダーを展開するとそのとき本物のウィルスがダウンロードされる仕組みです。この仕組みだと対策ソフトを素通りしてしまうのです。 【対策はそうすれば?】 もし今後もウィルス対策ソフトで対応していこうとお考えの場合は、不審なメールに添付されているファイルは開かない、これを徹底するしかありません。またウィルスを仕込まれたWebページを閲覧するだけで感染するドライブバイダウンロードという手法もありますので念のためご認識ください。 弊社では合わせて、機械ではじいてしまう方法をご提案しています。UTM(Unified Threat Management)と呼ばれる機械で、この機械の中にあらゆる脅威に対抗できる要素が入っています。イメージ的にはファイヤウォールと似ていますがそれよりも有効です。 取り扱う情報の重要度、パソコンの台数、事業規模でも対策の大きさは変わってきますが一度被害に遭われると、こんな目には二度と遭いたくないと皆さまおっしゃられます。この機会にサイバー攻撃対策を今一度見直されてはいかがでしょうか。

[2018/3/17追記]上記記事を書いてから大分、時間が経ちましたので以下補足の記事になります。本記事はウィルス対策ソフトについて主に述べていますがそれはあくまでウィルス対策ソフトの機能によるものなのでいわばソフトの利用者側ではどうすることもできません。そこで今回はもう少し、ユーザー側で何かできることはないか?について補足します。

この記事を読まれている方はよく「脆弱性」という言葉をお聞きになっていると思います。IT環境における脆弱性というのは様々な要因がありますが、ウィルス・マルウェア感染に限って言えば主には、MS OfficeやWebブラウザ、Adobe Flash Player、Adobe(PDF)Reader、Javaといったユーザーが頻繁に利用するソフトにおいて、攻撃者が自身のマルウェアに感染させるために利用できるセキュリティホールのことを言います。

本記事とは少し主題が異なるのですが、ウィルス対策ソフトは既知のウィルスに対してブロックする、もしくは怪しい動きを察知してブロックするものです。そのため、既知のウィルスの情報がきちんとアップデートされている必要が当然ながらあります。しかし新種のウィルスの場合はどうでしょうか。

もちろん怪しい動きを察知するふるまい検知機能もありますがやはり100%防ぎきれません。その場合、ウィルス対策ソフトで防ぎきれなかったウィルスは活動を始めるわけですが、最近はエクスプロイトキットと言って簡単に言えば、そのPCのどこに脆弱性(セキュリティホール)があるかを検索するプログラムが付いてきます。つまり迷惑メールなどに添付されているウィルスは本体ではなく、ウィルス対策ソフトの目をだますために偽装されていて、この脆弱性を検知する動きをするわけです。そしてまんまと脆弱性を見つけると、それに見合ったウィルス本体を外部から再度、ダウンロードしていよいよ感染、となるわけです。

これらお話はこちらで詳しく書いてありますので是非ご確認ください。
『PC脆弱性対策ソリューション』

【UTM(統合脅威管理)】とは?
もう一つ関連したお話をします。ウィルス対策ソフトでも防げなかった、そして脆弱性対策の話は分かったけどそれで大丈夫か?といえばそうではありません。一つの対策は一つの壁でしかありません。壁は何重にもあるに越したことはありません。特にこれからお話するUTMという壁は強力です。

簡単に言うとUTMとは、複数の異なるセキュリティ機能を一つのハードウェアに統合し、統合脅威管理(Unified Threat Management)を行うことです。様々な脆弱性を攻撃してくるマルウェアやウイルスなど、ネットワーク環境は常に新しい脅威にさらされています。この脅威に対抗するためには、従来のファイアウォールのみならず、IDS/IPSやアンチウィルス、アンチスパム、Webフィルタリングなどを駆使し、総合的なセキュリティ対策を施さなければなりません。しかし、複数の機能を導入・管理していくには、手間もコストも積み重なります。そこで、これらのセキュリティ機能を集約したのがUTMです。様々なセキュリティ製品を導入してきましたが、このような複合的なセキュリティ対策で、管理・運用負荷の低減とネットワーク脅威管理の一元化を目指すものです。

UTMはウィルス・マルウェアを監視しウィルス対策うソフト同様にまず入り口でブロックします。しかしウィルス対策ソフトや従来のファイヤウォールと違うのは出口も監視します。すなわち紛れ込んできてしまったウィルスが外部へ危険な通信を始めた場合にこちらもブロックするという点が従来の製品と異なる点です。こちらについては以下で詳細記載していますので合わせてご覧ください。
『ネットワークセキュリティ対策』

<