セキュリティ基礎 6-7 2022/06/09 1

1 セキュリティ基礎 6-7 脅威と対策の概要 1

2
3 １ セキュリティに関する基本的な考え方 -情報セキュリティ管理- ................................................................... 2

4 (ア) 情報セキュリティマネジメント（ISMS） ................................................................................................................................. 2

5 (イ) リスクアセスメント ...................................................................................................................................................................... 2
6 (ウ) 情報セキュリティポリシ（INFORMATION SECURITY POLICY） ............................................................................................ 3
7 (エ) コンティンジェンシープラン ....................................................................................................................................................... 3
8 (オ) CSIRT（COMPUTER SECURITY INCIDENT RESPONSE TEAM、シーサート）.................................................................. 3
9 (カ) リスク管理とリスク対策 ........................................................................................................................................................... 4

10 ２ 脅威と攻撃手法の変遷 ............................................................................................................................................................... 4

11 (ア) 確認問題 脅威の変遷 ...................................................................................................................................................... 5

12 ３ クライアントに関する脅威の概要....................................................................................................................................... 6

13 (ア) 被害の状況 ............................................................................................................................................................................. 6

14 (イ) マルウェア（MALWARE） ............................................................................................................................................... 8
15 (ウ) 近年、目立つマルウェア .............................................................................................................................................. 12
16 (エ) マルウェア対策として考えられること ................................................................................................................ 16
17 (オ) 電子メールに対する脅威 .............................................................................................................................................. 17
18 (カ) メール攻撃の対策............................................................................................................................................................. 19
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
1
 セキュリティ基礎 6-7 2022/06/09 2

43 0 今日の目標
●前回のおさらい（30 分）
●最近のセキュリティリスクと代表的なものについて知る

44
45 １ セキュリティに関する基本的な考え方 -情報セキュリティ管理-
46 前回はセキュリティに関する考え方の基礎まで。今回は、情報セキュリティポリシや、
47 情報セキュリティマネジメントなど、情報セキュリティ管理について学習します。
48
49 (ア) 情報セキュリティマネジメント（ISMS）
50 情報セキュリティマネジメント（ISMS）は、機密性、完全性、可用性を確保するものだが、こ
51 れを実現するための監視方法や対策基準などがある。
52
53 (イ) リスクアセスメント
54 潜在するリスクを洗い出し、リスクの種類や影響度などを評価すること。企業や組織がセキ
55 ュリティを確保、維持していくためのしくみを ISMS（Information Security Management
56 System）という。
57 ISMS にはリスクアセスメントが欠かせない。
58 リスクマネジメントの規格「JIS Q 31010:2012」では、
「リスクアセスメントは，リスク特定，
59 リスク分析及びリスク評価の全般的なプロセスである。
」と定義している。
60 リスクアセスメントは、リスクを見つけ、発見されたリスクの大きさを評価し、そのリスク
61 が許容できるか否かを決定する一連の活動をさし、手順は以下の通り
62 １）リスクの特定 リスクがどこにどうやって存在するかを特定
63 ２）リスク分析 リスク発生の可能性や影響、現在の対策状況における脆弱性の分析
64 ３）リスク評価 リスクの大きさ、対策の実現性から優先順位をつける
65 ４）リスク対応 対応マニュアルの整備、教育や訓練などの準備
66
67 このほかにも関連用語や組織などがあるので以下を確認すること
68 SLA（Service Level Agreement）
69 提供する IT サービスを明文化し、IT サービスの提供者と利用者の合意に基づいて運用管理
70 を行うためにかわす品質保証契約のこと。サービスレベル契約ともいう
71 CC（Common Criteria）
72 IT 製品やシステムのセキュリティ品質を客観的に評価する基準を「コモンクライテリア：CC
73 Common Criteria」という。システムのセキュリティ機能を設計書やプログラム、テスト結果、
74 マニュアルなどの内容のチェック、テストの実施などによって検査し、問題がないことを証
75 明する。
2
 セキュリティ基礎 6-7 2022/06/09 3

76 JISEC（IT セキュリティ評価及び認証制度）
77 Japan Information Technology Security Evaluation and Certification Scheme
78 IT 関連製品のセキュリティ機能の適切性･確実性を、セキュリティ評価基準の国際標準であ
79 る ISO/IEC 15408 に基づいて第三者（評価機関）が評価し、その評価結果を認証機関が認証
80 する制度。
81 JCMVP（暗号モジュール試験及び認証制度）
82 Japan Cryptographic Module Validation Program
83 暗号化機能、ハッシュ機能、署名機能等を提供するハードウェアソフトウェアを試験、検証
84 するための仕組み
85 PCI DSS Payment Card Industry Data Security Standard
86 クレジットカード業界のセキュリティ基準
87 ペネトレーションテスト（Penetration test）
88 外部からの攻撃や侵入を実際に行い、システムのセキュリティホールやファイアウォールの
89 弱点を検出する方法。侵入テストともいう。
90 用語だけだと銃器メーカーや警察特殊部隊、軍隊などでも用いられる
91
92 (ウ) 情報セキュリティポリシ（Information Security Policy）
93 組織の基本的なセキュリティ方針を明確にしたものを指す。技術的なものだけでなく、シス
94 テムの利用や運用、組織の体制まで含まれる。内容としては「基本方針」
「対策基準」
「実施手
95 順」で構成されるが、
「基本方針」と「対策基準」を「情報セキュリティポリシ」という
基本方針 情報セキュリティに関する取り組み方を経営トップの方針として示す。
対策基準 どの情報資産をどのような脅威から守るか、といった具体的な行為や基準
実施手順 対策基準に基づき、業務や情報システムでどのような手順で実行していくか
96
97 (エ) コンティンジェンシープラン
98 コンティンジェンシープラン（Contingency Plan）は、災害や事故、不正アクセスや感染、情
99 報漏洩など、不測の事態に備えてその被害や損傷を最低限に抑え、早期に復旧させるこを目
100 的に、あらかじめ対策や行動、手順などを定めたもの。
101 災害などによる情報システムの障害からシステムを復旧、修復できるように計画、予防され
102 ている措置をディザスタリカバリ（Disaster Recovery）ともいう。
103
104 (オ) CSIRT（Computer Security Incident Response Team、シーサート）
105 CSIRT とは、コンピュータやネットワーク上でセキュリティ上の問題などが起きていないか
106 どうか監視すると共に、万が一問題が発生した場合にその原因解析や影響範囲の調査を行っ
107 たりする組織の総称
108 日本最初の CSIRT でもある公的機関は JPCERT コーディネーションセンター（JPCERT/CC）

3
 セキュリティ基礎 6-7 2022/06/09 4

109 があり、そのほかに IPA セキュリティセンター、NISC（内閣官房情報セキュリティセンタ

110 ー）
、CRYPTREC（暗号技術評価プロジェクト）などがある。2021 年９月 27 日、サイバー
111 セキュリティ戦略が閣議決定された。これにより、サイバー攻撃に対して情報を収集、分析、
112 調査、評価、注意喚起などを行う「ナショナルサート（CSIRT/CERT）」の枠組みが強化され、
113 サイバー関連業者との連携も強化される。

114
115 NISC（内閣サイバーセキュリティセンター）
116
117 (カ) リスク管理とリスク対策
118 リスクを特定・分析し、リスクの発生確率と影響度からリスクを評価し、対策を講じること。

119
120
121 ２ 脅威と攻撃手法の変遷
122 攻撃の目的は大きく「妨害」と「情報入手」を目的にするものに分けられる。
123 「妨害」は攻撃対象の活動を阻害し、企業の通常業務に何等かの影響を与える。
124 「情報入手」は入手した情報を基に正当な持ち主になりすまして行動したり、特定の個人を

4
 セキュリティ基礎 6-7 2022/06/09 5

125 標的にする。
126 初期の攻撃対象は、パソコンユーザーが中心であり、パソコン通信で配布された不正プログ
127 ラムによる被害が出始め、それらをダウンロードしたり、FD のような媒体で配布されたもの
128 で被害を受けるパターンが続く。この頃はウィルス中心のマルウェア（不正な動作をするプ
129 ログラム全般のこと）でいたずら目的が多かった。ところが、1992 年に登場したウィルスは
130 感染したパソコンのデータをすべて破壊するタイプで、以降ウィルスは危険であるという認
131 識が普及した。その後メールの添付ファイルで感染するタイプやセキュリティホールを悪用
132 するタイプなど、さまざまなものが登場した。対策にアンチウィルス（マルウェア）ソフト
133 が開発され、コンピュータやネットワークだけでなく、スマートデバイスを使う場合も必ず
134 インストールするのが一般的。
135 (ア) 確認問題 脅威の変遷
136 1.かつては脅威の攻撃対象は（ ア ）を媒体としたものでしたが、現在は（ イ ）
137 を利用した方法に変わってきています。
138 2.脅威の攻撃目的は以前は（ ウ ）目的が中心でウィルスの作成者の自慢や自己満足の
139 ために作られ配布されていました。現在では、
（ エ ）な目的に変わってきており、場
140 合によっては企業の（ オ ）に影響を与えるようなものも発生しています。
141 3.攻撃のタイプは攻撃対象の活動を邪魔する（ カ ）と、クレジットカード情報を不正
142 に利用し、金品を奪取するなど（ キ ）を目的とするものの２つに分けられる。
143

144
5
 セキュリティ基礎 6-7 2022/06/09 6

145 ３ クライアントに関する脅威の概要
146 クライアントに関する代表的な脅威にはどのようなものがあるかを確認します。
147
148 (ア) 被害の状況

149
150 IPA のサイトより
151
152 参考：詳細は後述
153 ・標的型攻撃：悪意あるプログラムの入った添付ファイルや URL をメールで送り、そのプロ
154 グラムを実行する攻撃すること
155 ・水飲み場型攻撃：ライオンが水飲み場で獲物をゲットするかのように、ターゲットのユー
156 ザーがよく見る Web サイトを調べ、そのサイトに来たユーザーが感染するようにわなを仕掛
157 ける攻撃
158 ・リスト型攻撃：アカウントとパスワードが載っているリストをもとに不正アクセスする
159 ・ドライブバイダウンロード：ユーザーがサイトをみている間に、気づかぬうちに勝手にマ
160 ルウェアをダウンロードさせる攻撃
161 ・Windows/DOS ウイルス … Windows、MS-DOS 環境下で動作するウイルス。
162 ・マクロウイルス … Microsoft Word や Excel などのマクロ機能を悪用するウイルス。
163 ・スクリプトウイルス … 機械語への変換作業を省略して実行できるようにした簡易プログ
164 ラムで記述された ウイルス。
165 ・携帯端末ウイルス … 携帯電話やタブレットなどの環境下で動作するウイルス。

6
 セキュリティ基礎 6-7 2022/06/09 7

166 皆さんの身近なところでは、偽 SNS による相談などがあります。

167 偽ショートメッセージに関する相談が増加中
168

169
170 Android スマートフォンのセキュリティ設定で「提供元不明のアプリ」をオフにしてくださ
171 い。今回の不審なアプリは、公式のアプリマーケット（Google Play 等）からは配信されてい
172 ません。公式マーケット以外からアプリをインストールしようとする場合、許可をオフにし
173 ていると、インストールをブロックする警告が一旦表示されます。そこから先の設定には進
174 まず、インストールをキャンセルしてください。
175 https://www.youtube.com/watch?v=28z5Ys03TfY
176
177 その他、
178  不正ログイン
179  仮想通貨で金銭要求
180  iPhone に突然表示される不審なカレンダー通知
181 （iCloud や iPhone のカレンダーの機能を悪用して、他人のカレンダーに不審な書き込みを
182 行う。基本的に知らない予定が通知されたら[OK しない]こと）
183  ワンクリック請求
184  Facebook メッセンジャーに届く動画
185 友達から「このビデオはいつでしたか？」などと書いてある動画を装ったメッセージが届く。
186 これは URL が送られてきているだけで、クリックすると偽サイトに誘導されるので注意。
187
188

189
190
191
192

7
 セキュリティ基礎 6-7 2022/06/09 8

193 (イ) マルウェア（malware）

194 「マルウェア」とは悪意をもったソフトウェア全般のことを指す。
195
196 ① ウィルス（Virus）
197 コンピュータに勝手に侵入し、悪意を持って正常なシステムを脅かす不正なプログラムを総称
198 して「コンピュータウィルス」と呼んでいる。最初に使ったとされるのは Frederick B.Cohen
199 氏で「他のプログラムに自分自身のコピーを含ませるため、感染先プログラムを修正して伝
200 染することができるプログラム」
（1984 年米国セキュリティ学会）と定義した。
201 通産省（現：経済産業省）が告示した「コンピュータウィルス対策基準」
（第 952 号）におけ
202 る定義では「第三者のプログラムやデータベースに対して意図的に何等かの被害を及ぼすよ
203 うに作られたプログラムであり、次の機能を１つ上有するもの」
。
自己伝染機能 メディアやネットワークを介し、自己をコピーすることでプログラムか
ら他のプログラムへと伝染・増殖する
潜伏機能 感染（システムに侵入）してから発病するまでに一定の期間を置く（そ
の間に自己伝染を行う）
発病機能 不正処理を実行し、システムデータの破壊やユーザに意図しない動作を
行わせる
204 今はウィルス作成ツールまで存在するので作者は必ずしもプログラマーである必要もない。
205 「新種のウィルス」はセキュリティソフトでも対策が間に合っていなかったり、まだ対策が
206 不十分な場合があるため、その対応は慎重に行う必要がある
207
208 ② ワーム（Worm）
209 「ワーム」は、ネットワークを媒介して他のコンピュータに拡散することを目的とした不正プ
210 ログラムです。ワームは潜伏機能や発病機能がないが、ウィルス化がすすみ、凶悪な複合機能
211 を有するものが出ている。
212
213 ③ ロジックボム（Logic bomb/論理爆弾）
214 「ロジックボム」は、論理爆弾とも呼ばれ、アクセス回数やアクセス日時などの特定の条件を
215 満たすことによって悪意のあるコードを実行する不正プログラム。この論理爆弾の事例で一番
216 多いのは退社した社員が腹いせで残していったとされるものがある。たとえば、一定期間ま
217 たは回数、あるいはある操作をおこなった結果によって特定のコンピュータのデータがすべ
218 てフォーマットされるようにするロジックボムであれば広がることのない。
219
220 ④ クリスマスアタック（Christmas Attack）
221 「クリスマスアタック」は、クリスマスごろから年末年始にかけての１週間ほどの間に通常よ

8
 セキュリティ基礎 6-7 2022/06/09 9

222 りも多くを行われる攻撃の総称。クリスマスアタックはアンチウィルスを導入することであ
223 る程度被害を防ぐことができる。基本はメールにクリスマスアタックソフトウェアが添付、
224 リンクされるといった手法が使われるので、特に見覚えのないメールは開かないようにする
225 こと。Logic bomb の一種でもある。
226
227 ⑤ アドウェア（Adware）
228 「アドウェア」は主に広告を目的としたインターネットを通じて配信されるソフトウェアで無
229 害のものもあるが、迷惑になるものが多い。
230
231 ⑥ トロイの木馬
232 「トロイの木馬（Trojan/ Trojan horse）
」はユーザーにとって有用なソフトウェアとともに一
233 緒にインストールされてメッセージ表示やデータファイルの破壊行為を行う不正プログラムの
234 こと。基本的には自己伝染機能を持たず、自己増殖もしない。
235 ユーザーのコンピュータ内から情報を漏えいさせるものや、バックドアと呼ばれる不正侵入
236 用経路を作り、リモートコントロール/ウィルスを目的としたもの、複合ツールのルートキッ
237 トなど、数多くの種類の不正プログラムがある。
238
239 ⑦ ゼロデイ攻撃
240 「ゼロデイ攻撃（zero-day attack）
」とは、ソフトウェアの脆弱性を突いた攻撃に対し、ユーザ
241 ーが防御する時間的余裕を与えない攻撃のこと。セキュリティ専門家などがソフトウェアの脆
242 弱性を発見した場合、ソフトウェアベンダーに連絡し、開発されたセキュリティパッチがユ
243 ーザーに提供できる体制が整ってから脆弱性が公開されることが一般的。だが、脆弱性を発
244 見した人がクラッカーだったり、ソフトウェアベンダーの対応遅れや脆弱性対応を怠ったり
245 すると、問題が解決されるまえに脆弱性が公開され、ゼロデイ攻撃が行われてしまう。
246
247 ⑧ スパイウェア（Spyware）
248 「スパイウェア」とは、インターネット上で無償配布されているソフトウェアの中でユーザ
249 ーにとって有用な機能を提供しながら、かつ特別な機能として配布元（あるいは情報収集企業）
250 への情報を送信するソフトウェア。スパイウェアはインストール後、コンピュータ内部で得た
251 情報やユーザーの操作履歴などを収取し、その情報をユーザーに報告せず送信する。
252 スパイウェアがトロイの木馬ではない、不正プログラムではない、とされる理由がインスト
253 ール時に表示されるっソフトウェア使用許諾にある。使用許諾で［OK］とこたえることで提
254 供される有用な情報を手に入れるかわりに PC 内の情報を送信させる許可を与えてしまう。
255 ワクチンベンダーがスパイウェアをウィルスとして扱えない事情がここにあるが、ブラウザ
256 の設定を変えたり、しつこくポップアップメッセージが表示されたり、誘導するようなもの
257 はベンダーでも自社のウィルス定義に組み入れている。
9
 セキュリティ基礎 6-7 2022/06/09 10

258 ⑨ rootkit
259 「rootkit」はシステムに不正侵入した後に操作するためのツールを統合したソフトウェア。攻
260 撃者が目的のシステムの侵入に成功すると rootkit をインストールし、自らの侵入情報や操作
261 の記録の改変、情報の入手などを行います。rootkit には侵入したシステムで不正利用するた
262 めのツールやサービスが含まれている。
ログの改ざん 攻撃者が侵入したときのログや攻撃者が作業したときのログを
管理者に発見されないように改竄するツールが含まれている。
改竄されたコマンドプロ ls，ps，netstat，find などの攻撃者が都合のいいように改造した
グラム コマンドプログラムが含まれる
バックドア 最侵入時に備えてバックドアを仕掛けるためのプログラムが含
まれる
ネットワークスニファー 侵入したマシンでスニッフィングを行うためのツールが含まれ
る
ボットプログラム DDos 攻撃への参加目的
メールサービス スパムメールの中継目的
ファイル共有サービス MPEG や MP3 などのファイル交換目的
263 rootkit には、上のようなツールが含まれていることが多く、侵入に成功した攻撃者が次に何
264 をすればいいかを教えたり、手助けする機能を持つ。
265
266 ⑩ ボットネット（Botnets）
267 ユーザーが Web サイトにアクセスした際、使用している PC にセキュリティ上の脆弱性があ
268 る場合にボットウィルスに感染し、ボットネットを形成するコンピュータの一部となってし
269 まう場合がある。このようなコンピュータをボットといい、外部からの指定によって DDoS
270 （Distributed Denial of Service）攻撃やスパムメールの中継、感染したコンピュータから個人
271 情報などを流出させる。
272 「ボットネット」の乗っ取られたコンピュータは別名「ゾンビ PC」とも言う。これらのコン
273 ピュータには、指令者によってさまざまなツールがインストールされ、あるときは DDoS 攻
274 撃用あるいはスパムメール発信用といったように指令者が望む形に変えられてしまうことが
275 ある。指令者を特定することが困難なことと、すでに構築済みのボットネットをレンタルす
276 る犯罪集団さえ存在する。
277 参考：
278 Dos 攻撃（Denial of Service/サービス妨害）
：ネットワーク機器やサービスを利用できない状
279 態にする攻撃
280 DDos 攻撃（Distributed Denial of Service/分散サービス妨害）
：Dos 攻撃の一種。複数のコン
281 ピュータから同時にターゲットを攻撃する
282
10
 セキュリティ基礎 6-7 2022/06/09 11

283 Dos 攻撃の種類

Land 送信元 IP アドレスとポート、あて先 IP アドレスとポートをすべて同じに設
定した IP パケットをターゲットに送信、クラッシュまたは機能低下させる攻
撃
Ping of IP データグラムの最大⻑より⻑い ICMP パケットを送信し、システムを破壊
Death jolt する攻撃。ICMP（Internet Control Message Protocol）パケットとは、IP メッ
セージが送信元から相手に届くまでの間に起きたエラー関連の情報を送信元
に通知するためのプロトコル
SYN flood SYN フラッド。TCP コネクションを確立時の 3way handshake を途中でとめ、
SYN フラグの立ったパケットをサーバ側に大量に送り付け、あふれさせる攻
撃。送信元の IP アドレスは偽装されている
Winnuke NETBIOS の TCP139 番ポートに OOB（Out of Bounds）パケットを送信し、
ダウンさせる
TearDrop 最大サイズを超えたフラグメント化したパケット群を送信し、攻撃対象の受信
NewTear 側で１つのパケットに組み立てるときにバッファオーバーフローを発生させ、
SynDrop クラッシュさせる攻撃（この技術は IP オーバーラッピングフラグメントとも
呼ばれる）
。TearDrop は boink、TearDrop2 は bonk 攻撃ともいわれる
Targa タルガは攻撃を仕掛けるプログラム名。bonk、jolt、land、nestea、newtear、
syndrop、teardrop、winnuke などの攻撃を複合的に実行できる。ソースコード
がネット上に公開されているため、スクリプトキディズなどがコンパイルして
簡単に攻撃に使うことができる。
スクリプトキディ（Script kiddie）
：他人の製作したプログラム、またはスクリ
プトを悪用し、興味本位で第三者に被害を与えるハッカー（クラッカー）の俗
称
284
285 DDos 攻撃の代表的なもの
Smurf スマーフ攻撃。ICMP エコー要求の発信元アドレスに攻撃対象ホストの IP ア
ドレスを設定し、あて先アドレスにブロードキャストアドレスを設定して送
信、これを受け取った多数のホストに一⻫に ICMP エコー応答を攻撃対象ホ
ストに送信する
Fraggle フラッジール。Smurf と同じ原理だが、パケットに UDP パケットを使う。
286 詳細は後半で紹介します
287
288
289

11
 セキュリティ基礎 6-7 2022/06/09 12

290 (ウ) 近年、目立つマルウェア

291 ここ数年で目立つマルウェアについて確認しておきましょう。
292
293 ① ランサムウェア（Ransomware：身代金要求型不正プログラム）
294 「侵入したコンピュータを使用不能にする」、
「コンピュータ内のデータを暗号化する」
、など
295 の方法を用いてコンピュータ使用者に「身代金」を要求する脅迫的活動を行う不正プログラム
296 の総称です。ランサムウェアという単語は、Ransom（身代金）と Software（ソフトウェア）
297 を組み合わせて作られました。データを暗号化する手法のものを「Crypto ランサムウェア」
298 と呼んで区別することもあります。
299 ランサムウェアの例として、コンピュータ内のファイルを暗号化し、次に暗号化したファイ
300 ルを元に戻すにはどうすればよいかを示す「脅迫メッセージ」が表示されます。
301 セキュリティ対策製品などに偽装して悪質なプログラムをダウンロードさせる手口も確認さ
302 れています。

303
304 TROJ_CRYPWALL.XXQQ 2015 年 4 月 17 日辺りから確認されたマルウェアが表示するメ
305 ッセージ
306 ランサムウェアの種類として、
307 暗号化するタイプのもの以外、ロック画面が表示されるもの、マスターブートレコード（MBR）
308 を標的にするもの、Web サーバやモバイルデバイスを標的としたランサムウェアもあります。
309 近年では、
310 ランサムウェアの感染は、アップデートを繰り返して進化していくタイプと OS の脆弱性を

12
 セキュリティ基礎 6-7 2022/06/09 13

311 悪用したものに分けられます。タイプとしてはパソコンなどのファイルをすべて暗号化して
312 使えなくしてしまう暗号化型（クリプター）
。Erebus, Bad Rabbit などと、パソコンなどの画
313 面をロックして操作を出来なくしてしまう画面ロック型（ブロッカー）などがあります。
314 今まではメールに添付されたファイルの実行などで感染することが多かったが、最近は不正
315 アクセスで攻撃者が侵入し、情報を盗んだり暗号化したあとで身代金を要求するタイプも増
316 えています。従来のメールで感染するタイプとシステム侵入型と２つのパターンに対応しな
317 ければならない。メールチェッカだけでは安心できない。
318
319 ② ポリモルフィックマルウェア（Polymorphic code，多態ウィルス,ミューテーシ
320 ョン型ウイルス mutation virus も同義）
321 自己複製を行う際にプログラムのコードを変化させ検出を回避するタイプのマルウェア。
322 たとえば、自分自身をランダムな暗号化コードで書き換え、暗号化したりします。
323 感染している時のデータが毎回違うため、ミューテーション型ウイルスはパターンマッチン
324 グによる検出ができません。そのため、アンチウイルスソフトでは不審なコードを仮想環境
325 上で動作させ、その挙動を見て検出しています。なかには新しいシステムに移動するたびに
326 自らの形を変え、感染したシステム内で 1 日に 6 回も形態を変えることでシグネチャベース
327 の検出を逃れようとします。
328 たとえば W32/Worm-AAEH は 2009 年に発見されて以来、ずっと脅威であり続けています。
329 このワームはウイルス対策ソフトウェアを検出し、セキュリティ会社の Web サイトへの接続
330 をブロックし、自分を退治しようとするツールを無効化し、暗号化技術を利用し、制御サー
331 バーのアドレスおよびドメイン名を動的に変更することができます。
332 参考：シグネチャベースの検出（不正侵入等で利用されるパケットのデータパターンを登録
333 し、それと一致するかで検出する手法）
334
335 ③ Armored Viruses（アーマードウィルス）
336 マルウェアのコードをより複雑化し、解読しづらくすること。アンチウィルスソフトウェア
337 に自分が他の場所にいるように見せかけて自身を守る。トレース、リバースエンジニアリン
338 グが難しい
339 ④ Stealth Viruses（ステルスウィルス）
340 コンピュータに感染したことを検知されないように正常を装う機能を持つ
341 ⑤ Slow Viruses（スローウィルス）
342 ファイルの修正時に変更したファイル、またはコピー時に複製したファイルにだけ感染する。
343 検出が困難でオリジナルのファイルは影響されない。
344 ⑥ Retro Viruses（レトロウイルス）
345 アンチウィルスに襲い掛かり、機能停止させてから感染し、アンチウィルスソフトウェアの
346 動作内容を変更しようとする

13
 セキュリティ基礎 6-7 2022/06/09 14

347 ⑦ Multipartite Viruses（マルチパートウイルス）

348 ブートセクターと実行可能ファイルを同時に襲い、感染する
349 ⑧ Companion Viruses(コンパニオンウイルス)
350 ウイルスが影響を与える各実行可能ファイルにコンパニオンファイルを作成する。
351 たとえば scandisk.exe のコンパニオン scandisk.com を作り、ユーザーがスキャンディスクを
352 実行するたびにコンパニオンの scandisk.com を実行させる。
（これは exe より com の実行が
353 優先されるため）
354 ⑨ Pharge Viruses（ファージウィルス）
355 実行可能プログラムのリライトコードを持ち、影響を与えるプログラムすべてを削除、破壊
356 しようとする
357 ⑩ Revisiting Viruses（リビジティングウィルス）
358 コンピュータのメモリ内で自分自身をコピーし、TCP/IP プロトコルを使って接続されてい
359 る別のコンピュータにコピーしようと試みるワーム。
360 ⑪ トロイの木馬（目的別のタイプ）
タイプ 説明
バックドア 管理者の意図しない外部との連絡経路、不正侵入経路などの裏口を提供す
る。侵入者やバックドアを感知されないよう、ルートキット（RootKit）の
ような専用のトロイの木馬ツールを使う。感染検出には Tripwire などのツ
ールを利用し、プログラムの置換を検査する
ダ ウ ン ロ ー 外部から不正なプログラムを引き込むように動作する
ダー
ドロッパー 内包する悪意のあるプログラムをこっそりインストールして実行
ス パ イ ウ ェ コンピュータ内部の情報を外部に読みだす。単独で説明されることも多い
ア が、トロイの木馬の一種に含める場合もある
361
362 ⑫ サイトについての分類（Surface Web，Deep Web，Dark Web）
363 ●サーフェスウェブ：Surface Web
364 一般の WEB サイト。通常のブラウザで閲覧可能
365 検索エンジンで検索可能だが不正なものも一部ある
366 ●ディープウェブ：Deep Web
367 ログインが必要など、閲覧が制限されたサイト。通常のブラウザで閲覧可能。
368 ただし検索サイトなどには表示されない。不正でないものもある。
369 ●ダークウェブ：Dark Web
370 匿名性が保持され、追跡回避が可能なサイト。専用ブラウザがないと閲覧できない。
371 ディープウェブの一部。不正でないものもある。
372

14
 セキュリティ基礎 6-7 2022/06/09 15

373 ⑬ RaaS： Ransomware as a Service

374 ランサムウェアを「サービス」として提供するもの。さまざまなものがある。
375
376 万一、ランサムウェアに感染してしまったら、以下のサイトなどで復号できる可能性がある
377 かもしれない。
378 NO MORE RANSOM

379
380 https://www.nomoreransom.org/ja/index.html
381
382 ⑭ スミッシング（SMiShing）
383 スミッシングとはスマートフォンなどのモバイル機器のメッセージ機能である SMS（ショー
384 トメッセージサービス）を利用して、メッセージの受信者をフィッシングサイトへと誘導す
385 る手口のサイバー攻撃のこと。佐川急便の事件などがあげられる。
「SMS」と「フィッシング」
386 この 2 つを結び付けた言葉が「スミッシング」。
387 メッセージに記載されている URL をクリックすると、実在する正規のサイトにそっくりな偽
388 のサイト（フィッシングサイト）へと誘導されます。対策としては、
389
390 ●URL を確認すること
391 ●むやみにスマホアプリをダウンロードしないこと
392 ●文面をしっかりチェックすること
393 などがある。
394
395
396

15
 セキュリティ基礎 6-7 2022/06/09 16

397 virustotal.com

398
399 https://www.virustotal.com/gui/home/upload
400
401 (エ) マルウェア対策として考えられること
402 不正プログラムの感染パターンとして
403  電子メールの添付ファイルやリンクを開いて感染
404  メールソフトでメールをプレビューして感染
405  Web サイトを閲覧すると感染
406 などのパターンがあります。不審なプログラムは実行しないという基本的な対策に加え、ソ
407 フトウェアなどを利用した十分な対策が必要。
408
409 ① アンチウィルス
410 「アンチウィルス」は不正プログラムを検知し、除去するためのソフトウェア。不正プログラ
411 ムに感染したファイルを修復し、コンピュータを感染前の状態に回復する機能を提供する。
412 他のコンピュータとの通信状況を監視し、ウィルスの侵入を予防する機能を備えるものもあ
413 り、ワクチンソフトあるいはウィルス対策ソフトなどとも呼ばれる。アンチウィルスソフトで
414 は、あらかじめ登録された定義ファイル（プログラムパターン）と比較することで、不正プロ
415 グラムを検出する。最近のソフトウェアベンダーの多くは最新の定義ファイルを自動的にダ
416 ウンロードするような初期設定になっている。
417 ② アンチスパイウェア
418 「アンチスパイウェア」は、スパイウェアやアドウェア、トロイの木馬なども検出の対象とし
419 ている。現在はほとんどのアンチウィルスソフトで対応。

16
 セキュリティ基礎 6-7 2022/06/09 17

420 ③ マルウェアインスペクション
421 「マルウェアインスペクション」もコンテンツインスペクションと同じようにアプライアン
422 スで提供されている機能で、ネットワークトラフィックを監視し、マルウェアと思われるもの
423 をブロックする。
424  圧縮ファイルや Web コンテンツに埋め込まれたものの検知
425  HTML や JavaScript の検知
426  SSL トラフィックの検知
427 などの機能がある。
428
429 (オ) 電子メールに対する脅威
430 メールに関連した脅威と名前を確認しましょう
431
432 ① フィッシング（Phishing）
433 「フィッシング」は身元を詐称して送り
434 付けた電子メールなどの不正なリンクを
435 クリックさせて偽のサイトに誘導し、ユ
436 ーザーの秘密情報を収集する攻撃。
437 えさで魚を釣る「釣り（fishing）」に似て
438 いることからこう呼ばれる。例えば、攻撃
439 者が真正な通信販売会社の情報を盛り込んだ文面の電子メール（フィッシングメール）を送
440 り付けて信じ込ませ、その通信販売会社を偽装した攻撃者の Web サイト（フィッシングサイ
441 ト）へのアクセスを誘導する。
442 そして偽装した Web サイトからユーザーID、パスワード、クレジットカード番号などの秘密
443 情報を入力させて窃取することがある。
444
445 ② スピアフィッシング
446 フィッシング攻撃のなかでも攻撃相手を特定のターゲットに限定して相手の重要なデータや
447 個人情報を奪おうとする手法。銛で魚を直接指しとどめる漁法の名前からこの名前になった。
448 標的型攻撃のイメージ
449 攻撃者は、もっともらしいメールにウイルスを添付し、標的とした企業の従業員に送信。
450 従業員が添付ファイルを開くと、パソコンがウイルスに感染する
451
452 ③ スパム
453 「スパム」は、広告などの営利目的で不特定多数に大量に送信される迷惑メール。勝手に送
454 り付けてくる広告メールなので UCE（Unsolicited Commercial e-mail）と呼ばれたり、勝手

17
 セキュリティ基礎 6-7 2022/06/09 18

455 に送り付けてくる大量メールという意味で UBE（Unsolicited Bulk e-mail）とも呼ばれる。

456 フィッシング詐欺を目的にしたものや、コンピュータウィルス、不正プログラムを送りつけ
457 るものもある。
458
459 ④ スピム
460 「スピム（Spim）
」はインスタントメッセンジャー（IM）のユーザーに向かって営利目的のメ
461 ッセージを無差別に大量配信すること。メールスパムの IM 版。
462
463 ⑤ ヘッダ偽装
464 「ヘッダ偽装」はメールのヘッダ部分を偽ってメールを送る手口。
465 メールそのものは大きくヘッダと本文の２つの部分から構成される。そのうち、ヘッダ部分
466 には送り主や宛先、受信サーバの情報などが含まれるが、これらの内容は実際のメールの仕
467 組みとは無関係に作ることができる。悪意のある利用者がこれを利用してヘッダを偽装し、
468 本当の送り主を偽ってメールを送り付けることも可能なため、メールを受け取った側がだま
469 される場合がある。

470
471 乗っ取られた Web メールから送られてきたメールの例。リンクをクリックすると怪しいサイ
472 トに誘導されてしまう。

473
474 「やり取り型」標的型攻撃の例。いきなりウイルス添付メールを送付するのではなく、メー
475 ルのやり取りをして担当者を信用させたあとに送付する
476
477 (a) 最近の事例：Emotet
478 2021 年 11 月後半より観測されている Emotet は、主にマクロ付きの Excel や Word ファイ
479 ル、あるいはこれらをパスワード付き Zip ファイルとしてメールに添付する形式で配信

18
 セキュリティ基礎 6-7 2022/06/09 19

480 感染すると、情報が盗まれたり、自分自身が踏み台として利用される可能性があります。
481 確認動画
482 https://www.youtube.com/watch?v=nqxikr1x2ag
483 確認ツールと使い方
484 https://github.com/JPCERTCC/EmoCheck/releases
485 https://github.com/JPCERTCC/EmoCheck/blob/master/README_ja.md
486
487 (カ) メール攻撃の対策
488 基本は見る前に問題のあるメールを分別することです
489
490 ① スパムフィルタ
491 メールクライアントソフトウェアの機能のひとつで、主にスパムメールの除去を行う。ただ
492 し、メールはあくまで受信後に除去されるだけで受信の拒否をするわけではない。
493 ② アンチスパム
494 アンチスパムはスパムフィルタと同じ機能を提供するが、メールクライアントの機能として
495 ではなく、単独のソフトウェアとして動作する。
496 ③ 添付ファイルの危険性 リンクの危険性（怪しいものはクリックしない）
497 メールに添付されているファイルがウィルスの場合がある。一見すると普通のファイルだが
498 アプリケーションの脆弱性をつくもの、実行ファイルなどに偽装するものなどがある。
499 対策は、知らない人からのメールの場合は開かずに削除する、メールソフトのレビュー機能
500 を使わない、など。
501
502
503
504
505
506
507
508
509
510
511
512
513
514

19