情シス担当者必見！代表的なマルウェアの種類一覧と、それぞれの検知・駆除方法

日々、企業のITインフラを支える情報システム担当者の皆様。巧妙化の一途をたどるサイバー攻撃、特に「マルウェア」の脅威は、もはや対岸の火事ではありません。攻撃者は常に新たな手口を開発し、企業のネットワークの脆弱性を狙っています。このような状況下で、マルウェアに関する断片的な知識だけでは、自社の情報資産を守り抜くことは極めて困難と言えるでしょう。

なぜ今、情シス担当者であるあなたが、マルウェアの種類とそれぞれの特徴を深く理解する必要があるのでしょうか？それは、インシデント発生時の迅速な初動対応と、被害を最小限に食い止めるための「武器」となるからです。

現代のサイバー攻撃は、単にシステムを停止させる愉快犯的なものから、企業の事業継続そのものを脅かす、金銭目的の犯罪へと完全にシフトしています。その中心的な役割を担っているのが、様々な種類が存在するマルウェアです。

独立行政法人情報処理推進機構（IPA）が発表した最新の調査結果は、この脅威の深刻さを明確に示しています。

組織における情報セキュリティ上の脅威として、「ランサムウェアによる被害」が2024年版で9年連続の1位となりました。これは、企業や組織が直面するサイバー攻撃の中で、ランサムウェアが依然として最も警戒すべき脅威であることを示唆しています。

出典: 情報処理推進機構（IPA）「情報セキュリティ10大脅威 2024」

ランサムウェア攻撃を受けると、データが暗号化されて事業が停止するだけでなく、窃取された情報が公開される「二重恐喝」によって企業の信頼も失墜します。一つのマルウェア感染が、多大な金銭的損失とブランドイメージの毀損という、深刻なビジネスリスクに直結するのです。

万が一、マルウェア感染の疑いがあるインシデントが発生した際、情シス担当者の初動がその後の被害規模を大きく左右します。「PCの動作が異常に遅い」「見慣れないファイルが生成されている」といった事象から、背後にいるマルウェアの種類をある程度推測できれば、どう動くべきか、的確な判断を下せます。

例えば、自己増殖しネットワーク全体に拡散する「ワーム」の疑いがあれば、何よりも先に感染端末のネットワークからの隔離が最優先です。一方で、情報を外部に送信する「スパイウェア」の兆候があれば、通信ログの監視と解析が重要になります。

本記事では、多忙な情シス担当者の皆様が、マルウェアの脅威に的確に対処できるよう、代表的なマルウェアの種類ごとの特徴、検知・駆除方法、そして最も重要な「感染させない」ための予防策まで、体系的に解説していきます。

ここでは、特に警戒すべき代表的なマルウェアを種類別に分類し、その特徴から感染経路、具体的な被害事例までを深掘りします。それぞれの違いを正確に理解することが、対策の第一歩です。

マルウェアの代名詞とも言える存在ですが、その定義を正しく理解できているでしょうか。

コンピュータウイルスは、プログラムやファイルの一部を書き換えて寄生し、そのファイルが実行されることで活動を開始します。最大の特徴は**「単体では活動できず、宿主となるファイルが必要」な点と「自己増殖能力を持つ」**点です。ユーザーが感染したファイルを開いたり実行したりすることで、他のファイルにも次々と感染を広げていきます。

よく混同される「ワーム」との決定的な違いは、この「宿主の要不要」です。ワームは宿主を必要とせず、独立したプログラムとして単体で活動し、自己増殖します。

• 主な感染経路: メールの添付ファイル、不正なWebサイトからのダウンロード、USBメモリなどの外部記憶媒体
• 被害事例: 特定のファイルが開けなくなる、OSが起動しなくなる、データが破壊されるといった直接的な被害を引き起こします。かつて流行した「CIHウイルス（チェルノブイリ）」は、特定の日にPCのBIOSを破壊し、ハードウェアレベルでPCを起動不能にするという甚大な被害をもたらしました。
  
  

ウイルスがファイルに「寄生」するのに対し、ワームはネットワークを「旅する」マルウェアです。

ワームは、ネットワークやOSの脆弱性を悪用し、人間の手を介さずにから次へと自身のコピーを送り込み、爆発的に感染を拡大させます。この自己増殖能力と拡散スピードが、ワームの最も恐ろしい特徴です。一度社内ネットワークに侵入されると、数時間で数百台のPCに感染が広がるケースも珍しくありません。

• 主な感染経路: ネットワークの脆弱性、メール（アドレス帳を悪用して自動送信）、ファイル共有サービス
• 被害事例: 2000年代に猛威を振るった「SQL Slammer」ワームは、Microsoft SQL Serverの脆弱性を突き、インターネット全体に大規模な通信障害を引き起こしました。近年では、脆弱なIoT機器を狙い、大規模なDDoS攻撃の踏み台を形成するワームも出現しています。

ギリシャ神話のトロイア戦争に由来するこのマルウェアは、その名の通り「偽装」を得意とします。

トロイの木馬は、一見すると無害なソフトウェア（例：フリーソフト、ユーティリティツール）やファイル（例：文書ファイル）を装ってユーザーに実行させ、システム内部に侵入します。ウイルスやワームと違い、自己増殖はしません。その代わり、攻撃者が後からシステムに侵入するための「バックドア」を設置し、外部からの遠隔操作を可能にします。

ユーザー自身が「有益なもの」と信じて実行してしまうため、侵入を見破ることが非常に困難です。

• 主な感染経路: 非公式なソフトウェア配布サイト、メールの添付ファイル、改ざんされた正規のWebサイト
• リスク: バックドアを通じて、キーボードの入力情報を盗む「キーロガー」を仕掛けられたり、Webカメラを起動されたり、機密情報を外部に送信されたりと、あらゆる不正操作が可能になります。結果として、ID・パスワードの窃取、機密情報の漏洩、別のサイバー攻撃の踏み台化といった深刻な被害に繋がります。
  
  

現在、企業にとって最も深刻な脅威の一つが、このランサムウェアです。

ランサムウェアは、感染したPCやサーバー内のファイルを勝手に暗号化し、使用不能な状態に陥れます。そして、ファイルの復号と引き換えに「身代金（Ransom）」を要求する脅迫文を表示します。感染対象は、個人のPCだけでなく、ファイルサーバーや基幹システム、バックアップデータにまで及び、事業の全面的な停止を引き起こす可能性があります。

近年のランサムウェア攻撃は、単にファイルを暗号化するだけではありません。

• 二重恐喝（Double Extortion）: 暗号化する前に機密情報を窃取し、「身代金を支払わなければ、この情報を公開する」と重ねて脅迫する手口。
• 三重恐喝（Triple Extortion）: さらに、盗んだ情報を使って被害企業の顧客や取引先を脅迫したり、DDoS攻撃を仕掛けたりして、多方面から圧力をかける手口。
  
  

これにより、企業は身代金の支払いだけでなく、情報漏洩による損害賠償や信頼失墜という多重のリスクに晒されます。

その名の通り、スパイ活動を目的としたマルウェアです。

スパイウェアは、ユーザーに気づかれないようにPCの内部に潜伏し、様々な情報を収集して外部の攻撃者に送信します。システムの破壊など目に見える活動は行わないため、感染に気づきにくいのが特徴です。 代表的なものに、キーボードの入力内容を記録する**「キーロガー」**や、Webサイトの閲覧履歴や個人情報を収集するものがあります。

キーロガーによってオンラインバンキングのID・パスワードが盗まれれば、不正送金の被害に直結します。また、企業の機密情報や顧客の個人情報が保存されたPCに感染すれば、大規模な情報漏洩インシデントの原因となり得ます。

直接的な被害は少ないものの、業務の妨げとなる厄介な存在です。

アドウェアは、PCの画面上に強制的にポップアップ広告などを表示させるプログラムです。主にフリーソフトのインストール時に、利用許諾契約に紛れ込ませる形で同時にインストールされるケースが多く見られます。 悪質なアドウェアの中には、Webの閲覧履歴などを収集して外部に送信するものもあり、その場合はスパイウェアとの境界線が曖昧になります。

多くのアドウェアは、OSの正規のアンインストール機能や、セキュリティソフトの機能で駆除できます。しかし、安易に放置すると、表示される広告がフィッシングサイトや別のマルウェアの配布サイトへの誘導口となり、より深刻な被害を引き起こすリスクが潜んでいます。

攻撃手法は日々進化しており、従来の対策だけでは防ぎきれない新たな脅威が次々と登場しています。

Emotetは、主にメールを介して感染を広げるマルウェアです。過去にやり取りした正規のメールへの返信を装うなど、非常に巧妙な手口で受信者に添付ファイルを開かせようとします。一度感染すると、他のマルウェア（特にランサムウェア）を追加でダウンロードする「ダウンローダー」としての役割を担うことが多く、感染の入り口として極めて危険です。

従来のマルウェアのように実行ファイル（.exeなど）をPC上に作成せず、OSに標準搭載されている正規のツール（PowerShellなど）を悪用し、メモリ上のみで活動するタイプの攻撃です。ディスク上に痕跡を残さないため、従来のファイルスキャン型のセキュリティソフトでは検知が非常に困難という特徴があります。

ボットに感染したPCは、攻撃者が遠隔から操る「ゾンビPC」と化します。多数のゾンビPCで構成されるネットワークは「ボットネット」と呼ばれ、特定のサーバーに一斉にアクセスを集中させてサービスをダウンさせる「DDoS攻撃」や、スパムメールの大量配信などに悪用されます。ユーザーは、自らが攻撃の加害者になっていることに気づかないケースがほとんどです。

どれだけ予防策を講じても、マルウェア感染のリスクをゼロにすることはできません。万が一の事態に備え、冷静かつ迅速に対応するための手順を確立しておくことが重要です。

まずは「いつもと違う」という違和感に気づくことが第一歩です。以下のような兆候が見られたら、マルウェア感染を疑いましょう。

1. 動作が極端に遅くなる: CPUやメモリの使用率が常に高い状態が続く。
2. 見慣れないファイルやフォルダが作成される: 特にデスクトップやドキュメントフォルダ。
3. 身に覚えのないポップアップ広告や警告画面が表示される。
4. セキュリティソフトが勝手に無効化される。
5. アカウントのパスワードが変更され、ログインできなくなる。
   
   

PC単体の挙動だけでなく、ネットワーク全体の監視も重要です。

• 不審な外部通信の増加: ファイアウォールやUTMのログで、見慣れないIPアドレスへの通信が頻発していないか確認する。
• 内部での異常なトラフィック: 特定の端末が、他の端末へ大量のパケットを送信している場合、ワームなどによる感染拡大の可能性がある。
  
  

感染の疑いがある端末を発見したら、被害を拡大させないための初動対応が最優先です。

• 物理的隔離: まずはLANケーブルを抜く。Wi-Fiで接続している場合は、Wi-Fiをオフにする。これにより、ネットワークを介した他の端末への感染拡大を防ぎます。
• 論理的隔離: EDR（Endpoint Detection and Response）などのソリューションを導入している場合、管理コンソールから対象端末のネットワーク通信を遮断することも有効です。
  
  

隔離措置と並行して、速やかに所定のルールに従って上長や関連部署（セキュリティ担当部署など）へ報告します。

• いつ: 異常を検知した日時
• どこで: どのPC、サーバーで
• 何が: どのような現象が起きているか
• どうした: どのような応急措置（隔離など）を行ったか
  
  

これらの情報を正確に伝えることで、組織全体での迅速な意思決定と対応に繋がります。自己判断で対応を進めず、必ずエスカレーションフローに則って行動してください。

隔離と報告が完了したら、いよいよマルウェア本体の駆除とシステムの復旧に取り掛かります。

まずは、導入されているセキュリティソフト（ウイルス対策ソフト）の定義ファイルを最新の状態に更新し、フルスキャンを実行します。これにより、既知のマルウェアの多くは検知・駆除が可能です。

セキュリティソフトで駆除できない場合、レジストリやシステムファイルの知識を駆使して手動で駆除する方法もありますが、これは非常に高度な専門知識を要します。不完全な駆除は再発の原因となったり、最悪の場合OSを起動不能にしてしまったりするリスクがあります。 自社での対応が困難だと判断した場合や、ランサムウェアなど被害が甚大な場合は、躊躇なく外部のセキュリティ専門業者に相談しましょう。 フォレンジック調査（原因究明）も含めて依頼することで、再発防止策にも繋がります。

マルウェアを完全に駆除しきれない場合や、システムの深い部分まで改ざんされている疑いがある場合の最も確実な方法は、ストレージを完全にフォーマットし、OSをクリーンインストールすることです。 その後、事前に取得しておいた正常な状態のバックアップデータから、必要なファイルや設定を復元します。日頃からの確実なバックアップ運用が、迅速な復旧の鍵となります。

インシデント対応も重要ですが、情シス担当者にとって最大のミッションは、そもそもマルウェアに「感染させない」環境を構築することです。技術的な対策と、人的・組織的な対策を組み合わせた「多層防御」のアプローチが不可欠です。

マルウェアの侵入経路は多岐にわたるため、それぞれの経路で防御壁を設けることが重要です。

• EPP (Endpoint Protection Platform): 従来型のウイルス対策ソフトに加え、振る舞い検知や機械学習で未知のマルウェアをブロックする次世代のアンチウイルスが含まれます。
• EDR (Endpoint Detection and Response): 万が一マルウェアの侵入を許してしまった場合に、その挙動を検知・記録し、迅速な対応を支援します。侵入後の対策としてEPPとセットで導入することが望ましいです。
  
  

• 次世代ファイアウォール/UTM (Unified Threat Management): 社内ネットワークの出入り口で、不正な通信やマルウェアの侵入をブロックします。
• WAF (Web Application Firewall): Webサーバーを保護し、Webアプリケーションの脆弱性を突いた攻撃を防ぎます。
  
  

OSやソフトウェアに存在するセキュリティ上の欠陥（脆弱性）は、マルウェアの格好の侵入口となります。

• 脆弱性診断ツールなどを活用して、社内システムの脆弱性を定期的に把握する。
• ベンダーから修正プログラム（パッチ）が公開されたら、迅速に検証し、適用する運用体制を確立する。
  
  

どれだけ高度な技術を導入しても、それを使う「人」の意識が低ければ、防御壁は簡単に突破されてしまいます。

• 定期的なセキュリティ教育: マルウェアの感染手口や、不審なメールの見分け方など、全従業員が最低限知っておくべき知識を繰り返し教育する。
• 標的型攻撃メール訓練: 訓練用の疑似的な攻撃メールを送信し、開封してしまった従業員に追加教育を行うなど、実践的な訓練を通じてリテラシーの向上を図る。
  
  

インシデント発生時に「誰が」「何を」「どのように」対応するのかを定めた計画書（IRP: Incident Response Plan）を事前に策定しておくことが重要です。

• 発見、報告、封じ込め、根絶、復旧、事後対応といった各フェーズの具体的な手順と担当者を明確にする。
• 定期的に机上訓練や実践的な演習を行い、計画の実効性を評価し、見直しを行う。
  
  

特にランサムウェア対策として、バックアップは最後の砦です。

• 3-2-1ルールの実践: 3つのデータコピーを、2種類の異なる媒体に保存し、そのうち1つはオフライン（またはネットワークから隔離された場所）で保管する。
• 復旧テストの実施: 定期的にバックアップから実際にデータを復元するテストを行い、いざという時に確実に復旧できることを確認しておく。
  
  

本記事では、情シス担当者が知っておくべきマルウェアの主要な種類から、感染時の対応、そして最も重要な予防策までを網羅的に解説しました。

• マルウェアは多様: ウイルス、ワーム、トロイの木馬、ランサムウェアなど、種類によって特徴や攻撃手法が全く異なることを理解する。
• 対応は迅速に: 感染を検知したら「隔離→報告→駆除・復旧」のステップを冷静に実行する。
• 予防は多層的に: 「技術」と「人・組織」の両面から対策を組み合わせ、穴のない防御体制を築く。
• バックアップは生命線: 特にランサムウェアの脅威に対して、確実なバックアップと復旧計画が事業継続の鍵を握る。
  

日々進化するマルウェアの脅威に、情シス担当者が一人で立ち向かうのは困難な時代です。自社のセキュリティ対策に少しでも不安を感じたら、それは専門家の知見を活用する良い機会かもしれません。

「どこから手をつければ良いかわからない」「現在の対策が十分か客観的に評価してほしい」 そのようなお悩みをお持ちでしたら、ぜひ一度、弊社の専門コンサルタントにご相談ください。現状のヒアリングから貴社に最適なセキュリティ強化プランのご提案まで、経験豊富な専門家がサポートいたします。

今すぐ無料相談を申し込み、プロの視点で自社のセキュリティ体制を見直してみませんか？