概要
マルウェア(Malware)は、悪意のある目的で設計されたソフトウェアの総称です。SC試験では特にランサムウェアと**APT(高度持続的脅威)**が重点的に出題されます。感染経路・動作の仕組み・検知手法・対応手順を体系的に理解することが求められます。
仕組みと動作原理
マルウェアの種類
| 種類 | 特徴 |
|---|---|
| ウイルス | 他のファイルに自己を複製して感染拡大 |
| ワーム | ネットワーク経由で自己増殖(ホストファイル不要) |
| トロイの木馬 | 正常なソフトウェアに見せかける。バックドアを仕掛けることが多い |
| ランサムウェア | ファイルを暗号化して身代金を要求 |
| スパイウェア | 情報を収集して攻撃者に送信 |
| ルートキット | OS レベルで自身の存在を隠蔽 |
| ボット | 攻撃者の C2 サーバから遠隔操作される |
ランサムウェアの動作フロー
1. 初期侵入(フィッシングメール・RDP脆弱性・VPN脆弱性等)
2. 足がかりの確立(バックドアのインストール・永続化)
3. C2通信(Command & Control サーバと通信して次の指示を受信)
4. 偵察・横展開(内部ネットワークを探索し、他端末に感染拡大)
5. 認証情報の窃取(ドメイン管理者権限の取得を試みる)
6. 重要データの暗号化(バックアップの削除を先行して行うことも)
7. 身代金要求(Torサービス上の支払いサイトへ誘導)
8. 二重脅迫(データを暗号化+外部に漏洩させると脅す)APT(Advanced Persistent Threat)攻撃
APT は国家支援型のハッカー集団などが行う、長期間潜伏して特定組織を標的にした高度な攻撃です。
サイバーキルチェーン(Lockheed Martin):
| フェーズ | 内容 |
|---|---|
| 偵察(Reconnaissance) | 標的の調査(OSINTによるメールアドレス・組織情報収集) |
| 武器化(Weaponization) | エクスプロイト+ペイロードを組み合わせたマルウェアを作成 |
| 配送(Delivery) | フィッシングメール・Webサイト改ざん・USB等で送達 |
| エクスプロイト(Exploitation) | 脆弱性を悪用してコード実行 |
| インストール(Installation) | バックドア・RAT のインストール・永続化 |
| C2(Command & Control) | 攻撃者サーバと通信して遠隔操作 |
| 目標達成(Actions on Objectives) | データ窃取・破壊・横展開 |
MITRE ATT&CK: APT が使う TTP(戦術・技術・手順)を網羅したナレッジベース。SC試験でも名称が登場します。
C2(Command & Control)通信の手法
| 手法 | 説明 | 検知回避策 |
|---|---|---|
| HTTP/HTTPS | 通常のWebトラフィックに偽装 | 正規のCDN・クラウドサービスを踏み台に |
| DNS | DNSクエリのサブドメインにデータを埋め込む | DNS over HTTPSで暗号化 |
| ソーシャルメディア | TwitterのDMやGitHubのコメントを使用 | 正規サービスのため遮断困難 |
| ビーコン | 定期的に小さなHTTPリクエストを送信 | jitter(ランダムな遅延)で検知回避 |
横展開(ラテラルムーブメント)の手法
| 手法 | 説明 |
|---|---|
| Pass the Hash | 平文パスワードなしでNTLMハッシュを使い認証 |
| Pass the Ticket | KerberosチケットをメモリからダンプしてSSO |
| リモートサービス悪用 | RDP・SMB・WMIを使って横移動 |
| フィッシング(内部) | 侵害済み端末からの標的型メール |
SC試験での頻出ポイント
- ランサムウェアへの対応手順:「隔離→保全(メモリダンプ)→調査→復旧」の順。暗号化鍵がメモリに残っている場合がある
- 二重脅迫(Double Extortion):暗号化+データ漏洩の脅しで身代金を払わせる近年の手口
- バックアップの重要性とその限界:オフライン・オフサイトのバックアップが必須。ネットワーク接続されたバックアップも暗号化される事例あり
- C2通信の検知:通常とは異なる通信先・定期的なビーコン通信を SIEM や EDR で検知
- EDR(Endpoint Detection and Response):従来型ウイルス対策では検知困難なファイルレスマルウェアや挙動ベースの脅威を検知
よくある誤問・ひっかけパターン
誤り① 「ランサムウェアに感染したら直ちに電源を切るべき」→ 状況次第。メモリ上に復号鍵が残っている場合があるため、まずメモリダンプを取ってから隔離します。
誤り② 「ウイルス対策ソフトを最新に保てばランサムウェアは防げる」→ 不十分。ゼロデイ脆弱性を使った攻撃や、ファイルレスマルウェアはシグネチャベースの検知を回避します。EDRの導入や多層防御が必要です。
誤り③ 「身代金を払えばデータが復元される」→ 保証なし。支払っても復号ツールが提供されない・一部のみ復元できないなどのケースがあります。また支払いは攻撃者への資金提供になります。
関連用語
- デジタルフォレンジクスと証拠保全 — ランサムウェア感染後の証拠保全手順
- SOC と SIEM — C2通信・異常な横展開を検知する仕組み
- ファイアウォールとDMZ — C2通信の遮断とネットワークセグメンテーション
重要キーワード
| 用語 | 説明 |
|---|---|
| ランサムウェア | ファイルを暗号化して身代金を要求するマルウェア |
| APT | 国家支援型等の高度・長期潜伏型の標的型攻撃 |
| C2(Command & Control) | 攻撃者がマルウェアに指令を送るサーバ・通信 |
| キルチェーン | 攻撃の各フェーズを示すフレームワーク |
| ラテラルムーブメント | 侵入後に内部ネットワーク内を横断して被害を拡大する手法 |
| EDR | 端末の挙動を監視してマルウェアを検知・対応するセキュリティツール |