// シス担のミカタ
マルウェア

ワーム わーむ

マルウェア自己増殖ネットワーク感染ウイルスサイバー攻撃DoS攻撃
ワームについて教えて

簡単に言うとこんな感じ!

ワームは「宿主なしで勝手に増える」悪意あるプログラムだよ!普通のウイルスがファイルに寄生するのに対して、ワームはネットワークを伝って自力でどんどん広がっていくんだ。放っておくと社内システム全体に一瞬で広まることもあるんだ!

ワームとは

ワーム(Worm)とは、他のファイルやプログラムに寄生せず、自己増殖しながらネットワーク経由で自律的に拡散するマルウェア(悪意あるソフトウェア)の一種です。名前の由来は英語の「虫(worm)」で、土の中をうねりながら進む様子が感染の広がり方に似ていることから名付けられました。

通常のコンピュータウイルスが「感染するための宿主ファイル」を必要とするのとは異なり、ワームは単体で動作・複製・拡散できます。メールの添付ファイル、OSの脆弱性、ネットワーク共有フォルダなどを踏み台にして、人間が何かを操作しなくても勝手に広がっていくのが最大の特徴です。

ワームの被害は感染そのものだけでなく、大量の通信でネットワーク帯域を埋め尽くす「ネットワーク輻輳(ふくそう)」や、他のマルウェアをダウンロード・実行させる「ドロッパー」としての機能など、二次的な被害を引き起こすことも多くあります。

ワームの仕組みと感染経路

ワームは以下のサイクルで自律的に動作します。

┌─────────────────────────────────────────────────────┐
│  ① 侵入         OSの脆弱性・メール・共有フォルダ経由  │
│       ↓                                              │
│  ② 潜伏・実行   感染端末のメモリや一時ファイルに展開  │
│       ↓                                              │
│  ③ スキャン     ネットワーク上の次の標的を探索        │
│       ↓                                              │
│  ④ コピー       自分自身を標的へ送り込む              │
│       ↓                                              │
│  ⑤ 繰り返し     ①〜④を延々と繰り返す               │
└─────────────────────────────────────────────────────┘

主な感染経路

感染経路具体例
メール(添付・リンク)悪意ある添付ファイルを開くと自動拡散
OSの脆弱性(未適用パッチ)WannaCryのようにパッチ未適用端末を自動攻撃
ネットワーク共有フォルダ社内のファイルサーバ経由で感染拡大
USBメモリなどの外部メディア接続するだけで自動実行される
インスタントメッセージ・SNSチャットのリンクをクリックして感染

ワームの目的・ペイロード(搭載する悪意ある機能)

ワーム自体の拡散が目的の場合もありますが、多くはペイロード(悪意ある機能の本体)を運ぶ運搬手段として使われます。

ペイロードの種類説明
ランサムウェアの展開ファイルを暗号化して身代金を要求
バックドアの設置攻撃者が遠隔操作できる抜け道を作る
情報窃取パスワードや機密ファイルを盗み出す
ボットネットDDoS攻撃の踏み台として悪用
帯域消費(DoS)大量通信でネットワークを麻痺させる

歴史と背景

  • 1988年 — 世界初のインターネットワームと言われる「モリスワーム」が登場。MIT学生のロバート・モリスが作成し、当時のインターネット接続コンピュータの約10%(約6,000台)に感染。コンピュータ犯罪法による初の有罪判決につながった
  • 2001年 — 「Code Red」がMicrosoftのWebサーバ(IIS)の脆弱性を悪用し、数時間で30万台以上に感染。DDoS攻撃も実行した
  • 2001年 — 「Nimda」が登場。メール・Webサイト・ネットワーク共有・IIS脆弱性など5種類の感染経路を持つ複合型ワームとして衝撃を与えた
  • 2003年 — 「SQL Slammer」がSQL Serverの脆弱性を突き、10分以内に世界中の脆弱なサーバの大半に感染。インターネット全体の速度低下を引き起こした
  • 2004年 — 「Sasser」がWindowsの脆弱性を突き、ユーザーの操作なしに感染拡大。航空会社や病院など社会インフラにも影響
  • 2017年 — 「WannaCry」がWindowsのSMB脆弱性(EternalBlue)を利用し、世界150か国・30万台以上に感染。NHS(英国国民健康サービス)が診察停止に追い込まれるなど甚大な被害をもたらした
  • 現在 — ワームはランサムウェアの配布手段として悪用されるケースが急増。未適用パッチ(脆弱性)が主な侵入口となっている

ウイルス・トロイの木馬との違い

マルウェアの代表的な3種類を比較します。「似ているようで実は全然違う」ので、整理して覚えておくと発注・判断の際に役立ちます。

マルウェア3種比較 ウイルス 宿主ファイルが必要 ✔ 他ファイルに寄生して感染 ✔ ユーザー操作で発動 ✔ 自己増殖するが遅い ✔ ファイル破壊が主目的 例: マクロウイルス ブートセクタウイルス ワーム 宿主不要・自律的に拡散 ✔ 単体で動作・複製 ✔ 操作なしで自動拡散 ✔ ネットワーク経由で高速伝播 ✔ 帯域消費・ペイロード搭載 例: WannaCry SQL Slammer トロイの木馬 自己増殖しない・偽装型 ✔ 正規ソフトに見せかける ✔ ユーザーが自ら実行 ✔ 拡散しない(単体潜伏) ✔ バックドア・情報窃取 例: バンキング型トロイ RAT(遠隔操作ツール) ⚠ ワームは「速さ」が最大の脅威。パッチ未適用のまま放置すると社内全体が数分で感染することもある

覚え方のコツ

種類キーワード一言イメージ
ウイルス寄生・感染風邪ウイルス(人から人へ、接触が必要)
ワーム自律・高速拡散土の中を自力で進むミミズ
トロイの木馬偽装・潜伏ギリシャ神話の木馬(中に兵士が隠れている)

ワームへの対策

実務上、次の4つが「最低限やっておくべき対策」として挙げられます。

  1. パッチ(セキュリティ更新プログラム)の迅速な適用 WannaCryも、感染の2か月前にMicrosoftがパッチをリリースしていた。適用していた組織は被害を免れた

  2. ネットワークのセグメンテーション(分離) 社内ネットワークを部門別・用途別に分けることで、感染が一部にとどまる

  3. エンドポイントセキュリティ(EDR・ウイルス対策ソフト)の導入 ワームの挙動(大量スキャン・自己コピー)をリアルタイムで検知・遮断

  4. メールフィルタリングと社員教育 感染の入口となる添付ファイル・不審リンクをブロック&見分けられるよう訓練

関連する規格・RFC

規格・RFC番号内容
RFC 1135インターネットワームの問題と解決策(モリスワーム後に作成)
CVE(共通脆弱性識別子)ワームが悪用する脆弱性を一意に識別する番号体系
NIST SP 800-83マルウェアインシデント対応のガイドライン

関連用語

  • マルウェア — ウイルス・ワーム・トロイの木馬などの悪意あるソフトウェアの総称
  • ランサムウェア — ファイルを暗号化して身代金を要求するマルウェア。ワームで拡散されることが多い
  • 脆弱性 — ワームが侵入する入口となるソフトウェアの欠陥
  • パッチ管理 — 脆弱性を修正するセキュリティ更新プログラムの適用管理
  • ファイアウォール — 不正な通信をブロックしワームの拡散を抑制するネットワーク機器
  • ボットネット — ワームで感染させた多数のPCを遠隔操作して攻撃に利用する仕組み