// シス担のミカタ
マルウェア

感染経路 かんせんけいろ

マルウェアフィッシングドライブバイダウンロードUSBメモリソーシャルエンジニアリング脆弱性
感染経路について教えて

簡単に言うとこんな感じ!

マルウェア(悪意あるソフト)がパソコンやスマホに侵入してくる「入り口」のことだよ!メールの添付ファイル・怪しいWebサイト・USBメモリなど、日常のあちこちに潜んでいるんだ。どこから入ってくるかを知ることが、まず防御の第一歩ってこと!

感染経路とは

感染経路(インフェクションベクター)とは、マルウェア(ウイルス・ランサムウェアなど悪意あるプログラム)が、ユーザーのデバイスや組織のネットワークに侵入するための「侵入口・手口」のことです。風邪ウイルスが飛沫・接触で広がるように、コンピューターウイルスにも決まった「うつり方」があります。

感染経路を把握することは、セキュリティ対策の設計において最も基本的な第一歩です。どのルートから入ってくるかがわからなければ、どこに扉を設ければよいかも決められません。実際のインシデント(セキュリティ事故)の多くは、既知の感染経路への対策が不十分だったことが原因とされています。

企業・組織においては、感染経路を特定・分類したうえで、それぞれに対応する技術的対策(メールフィルタリング・EDRなど)と人的対策(従業員教育)を組み合わせることが求められます。

主な感染経路の種類と対策

感染経路具体的な手口代表的な対策
メール添付・リンク偽の請求書・業務メールにマルウェアを添付、URLをクリックさせるメールフィルタリング・添付ファイルサンドボックス
フィッシングサイト本物そっくりの偽サイトへ誘導し認証情報を盗むフィッシング対策ソフト・DMARC
ドライブバイダウンロードWebサイトを閲覧するだけでマルウェアが自動ダウンロードされるブラウザ・プラグインの最新化
USBメモリ等の外部メディア感染済みUSBを社内PCに挿すことで拡散USBポート制限・自動実行無効化
ソフトウェアの脆弱性OS・アプリの未修正のバグを突いて侵入定期的なパッチ適用・脆弱性管理
サプライチェーン攻撃信頼できるベンダーのソフトウェアに細工して配布サプライヤーの審査・ソフト署名検証
内部者による持ち込み悪意ある社員・誤操作による持ち込みアクセス権限の最小化・ログ監視
リモートアクセスの悪用VPN・RDPの認証突破による侵入MFA(多要素認証)・ゼロトラスト

覚え方:「メールUSBリモート、Web脆弱性」

感染経路の代表4タイプを語呂で覚えましょう:

「め(メール)・う(USB)・り(リモート)・ウェブ(Web)・ぜい(脆弱性)」

「め・う・り・ウェブ・ぜい…目うりウェブ税?」と少し強引ですが、5つの主要経路を思い出す手がかりになります。

感染経路の割合(統計的傾向)

セキュリティ各社のレポートによると、企業へのランサムウェア感染の原因として特に多いのは以下の3つです:

  • フィッシングメール:全体の約40〜50%(最多)
  • リモートデスクトップ(RDP)の悪用:約20〜30%
  • ソフトウェアの脆弱性悪用:約15〜20%

メール経由が依然として圧倒的に多く、「添付ファイルを開かない・怪しいURLをクリックしない」という基本が今も最重要です。

歴史と背景

  • 1980年代:フロッピーディスクを介した感染が主流。物理メディアの受け渡しが唯一の経路だった
  • 1990年代:インターネットの普及とともにメール添付ウイルス(ILOVEYOUなど)が猛威を振るう
  • 2000年代前半:Webブラウザの脆弱性を突いたドライブバイダウンロードが登場。「見るだけで感染」の時代へ
  • 2000年代後半:USBメモリの普及により、物理経路が再び注目される(Stuxnetは産業用制御システムにUSBで侵入)
  • 2010年代:クラウド・スマートフォンの普及でモバイルアプリ・偽アプリ経由の感染が増加
  • 2017年頃〜:ランサムウェアの台頭でRDP(リモートデスクトッププロトコル)経由の侵入が急増
  • 2020年〜:テレワーク普及によりVPN脆弱性・自宅ネットワーク経由の感染が社会問題化
  • 2020年代現在:サプライチェーン攻撃(SolarWinds事件など)が注目され、信頼できるソフト経由の感染が深刻な課題に

感染経路の流れと対策レイヤー

感染はいくつかの段階(フェーズ)を経て被害が広がります。各段階でどの対策が有効かを理解しておくと、発注・選定の際に役立ちます。

感染経路と対策レイヤー(侵入〜被害拡大のフロー) ① 侵入口 メール・Web・USB リモートアクセス ② 実行・定着 マルウェアが起動 レジストリ・常駐化 ③ 横展開 社内ネットワーク内 で感染拡大 ④ 被害実行 データ窃取・暗号化 身代金要求など ① への対策(入口対策) メールフィルタ・URLフィルタ MFA・USB制限 ② への対策(端末対策) ウイルス対策ソフト・EDR パッチ管理・OS最新化 ③ への対策(内部対策) ネットワーク分離・NDR 最小権限・ゼロトラスト ④ への対策(被害軽減) バックアップ・SIEM インシデント対応計画 担当部門・ツール例 ▶ メールGW / SEG ▶ Webプロキシ ▶ 認証基盤(IdP) ▶ AV / EDR ▶ パッチ管理ツール ▶ NDR / IDS ▶ セグメント分離 ▶ バックアップ ▶ SIEM / SOC ※ 各フェーズで対策を重ねることを「多層防御(Defense in Depth)」と呼ぶ

多層防御(Defense in Depth) という考え方は、1つの対策が突破されても次の層で止められるよう、感染フローの各段階に対策を重ねることです。「入口だけ守ればいい」という発想は危険で、万が一侵入されたときの封じ込め策も必須です。

関連する規格・RFC

規格・番号内容
NIST SP 800-61コンピュータセキュリティインシデント対応ガイド(感染経路の特定・対応手順を含む)
NIST SP 800-83マルウェアインシデント対応ガイドライン(感染経路分類と対策を詳述)
MITRE ATT&CK実際の攻撃者の戦術・技術・手順(TTPs)を体系化したフレームワーク。感染経路は「Initial Access」タクティクスに分類

関連用語

  • マルウェア — 悪意あるプログラムの総称。感染経路を経て侵入する
  • フィッシング — 偽メール・偽サイトで認証情報や個人情報を騙し取る攻撃手法
  • ランサムウェア — 感染後にファイルを暗号化し身代金を要求するマルウェア
  • 脆弱性 — ソフトウェアやシステムのセキュリティ上の欠陥。感染経路として悪用される
  • ソーシャルエンジニアリング — 人間の心理・行動を操って情報を盗む攻撃手法
  • EDR — エンドポイント(端末)での脅威検知・対応ツール。感染後の早期発見に使う
  • ゼロトラスト — 「社内だから安全」を前提にしない新しいセキュリティ設計思想
  • 多層防御 — 感染経路の各フェーズに対策を重ね合わせるセキュリティ戦略