本文へスキップ
スキルアップカレッジ

マルウェアと攻撃手法——身近な脅威を知る

レッスン4:マルウェアと攻撃手法——身近な脅威を知る

このレッスンで学ぶこと

  • マルウェアの種類(ウイルス・ワーム・トロイの木馬・ランサムウェア・スパイウェア)を区別できる
  • フィッシング・スピアフィッシングの典型的な手口を見抜く目を持つ
  • ソーシャルエンジニアリングの原理を理解する
  • ビジネスメール詐欺(BEC)の手口と防御策を整理する
  • 「巧妙な攻撃を見抜く」より「確認する習慣」を持つ姿勢を持つ

前のレッスンでは、認証認可の基本を学びました。本レッスンでは、現場で最も頻繁に起きる脅威——マルウェア・フィッシング・ソーシャルエンジニアリング・BEC——の手口と対処を扱います。攻撃手法を細かく覚えるのが目的ではなく、「危ない」と気づき、「確認する習慣」を持つことが本レッスンのゴールです。

マルウェアの種類

マルウェア(malware、「malicious software」の略)は、悪意のあるソフトウェア全般を指します。代表的な種類を整理します。

ウイルス

正規のファイルやプログラムに「寄生」して感染し、ファイルが開かれたときに動作するマルウェアです。生物のウイルスと同じく、「宿主」が必要です。

  • 例:Excel マクロウイルス、感染した実行ファイル
  • 対策:信頼できない添付ファイルやプログラムを実行しない

ワーム

ネットワーク経由で「自己増殖」するマルウェアです。ウイルスと違って宿主を必要とせず、独立して動きます。

  • 例:WannaCry(2017 年に世界中で猛威を振るったランサムウェア型ワーム)
  • 対策:OS・ソフトウェアのアップデート、ファイアウォール

トロイの木馬

「正規のソフト」を装って侵入するマルウェアです。ギリシャ神話の「トロイの木馬」が由来です。

  • 例:偽の無料ソフト、海賊版ソフトに仕込まれる悪意あるコード
  • 対策:信頼できる配布元からのみソフトをダウンロード

ランサムウェア

ファイルを暗号化し、復号と引き換えに身代金(ransom)を要求するマルウェアです。2010 年代後半から爆発的に増加し、現在は組織を狙う最大級の脅威になっています。

  • 例:LockBit、BlackCat、近年は「二重脅迫」(暗号化+データ流出での脅迫)が主流
  • 対策:バックアップの徹底、最小権限の原則、感染経路の遮断

スパイウェア

利用者に気づかれずに情報を収集するマルウェアです。

  • 例:キーロガー(キー入力を盗む)、画面キャプチャ、Web 履歴の収集
  • 対策:信頼できないソフトをインストールしない、エンドポイント保護ソフトの導入

バックドア

外部からの不正アクセスを可能にする「裏口」をシステムに開けるマルウェアです。

  • 例:侵入後に攻撃者が後で再侵入できるように仕掛ける
  • 対策:不審なプロセスや通信の継続的監視

💡 ポイント マルウェアの分類は便利ですが、現代のマルウェアは複数の機能を組み合わせていることが多いです。「ランサムウェア」と呼ばれる攻撃の中にも、潜入時はトロイの木馬、内部移動はワーム、最終的にランサム化、という複合構造があるのが普通です。

マルウェアの侵入経路

マルウェアが組織に侵入する経路を、頻度の高い順に整理します。

①メール添付ファイル

  • 添付された Office ドキュメント(マクロ機能を悪用)
  • 圧縮ファイル(ZIP、RAR)内の実行ファイル
  • PDF に仕込まれた悪意ある JavaScript
  • 「送り状」「請求書」「履歴書」を装う

②メール内リンク

  • フィッシングサイトへの誘導
  • 偽のファイルダウンロードページ
  • ブラウザ脆弱性を悪用するページ

③USB メモリなど外部媒体

  • 拾った USB メモリを差し込む(「USB ベイティング」)
  • 取引先から受け取った USB メモリ
  • 個人の私物 USB メモリの業務利用

④Web サイト経由

  • 改ざんされた正規サイト
  • 広告ネットワーク経由のマルウェア配布
  • ブラウザの脆弱性を悪用

⑤VPN・リモートアクセス

  • VPN 装置の脆弱性
  • リモートデスクトップへのブルートフォース
  • 退職者のアカウントが残存

⑥サプライチェーン

  • 取引先・ベンダーが侵害される
  • ソフトウェアアップデートに仕込まれる
  • 共有クラウドストレージ経由

📝 補足 2026 年時点で増加傾向にあるのは、サプライチェーン攻撃と VPN・リモートアクセス経由の侵入です。「自社の防御が完璧」でも、取引先や利用しているソフトが侵害されれば、自社にも影響が及びます。

フィッシング——基本の手口

フィッシング(phishing)は、本物に見える偽のメール・サイトで認証情報や個人情報を盗む手口です。釣り(fishing)の語呂合わせです。

典型的なシナリオ

  1. 「○○銀行からのお知らせ」「△△サービスの認証期限切れ」のような偽メールが届く
  2. メール内のリンクをクリックすると、本物そっくりの偽サイトが表示される
  3. ID とパスワードを入力させる
  4. 攻撃者は盗んだ情報で本物のサービスに不正ログイン

見分けるポイント

  • 送信元アドレス:本物に見えるが、ドメインが微妙に違う(例:amazon.co.jp ではなく amazone.co.jp)
  • URL:表示されるリンクと実際のリンクが違う(マウスを乗せると確認できる)
  • 不自然な日本語:機械翻訳のような不自然な言い回し(最近は LLM の使用で精度が上がっている)
  • 緊急性の煽り:「今すぐ対応しないとアカウント停止」のような圧力
  • 添付ファイル:請求書や荷物伝票を装う

防御の現実解

「見分ける目」を磨くのは大切ですが、見分けようとすると疲れます。現実的には、

  • 添付ファイルや URL は基本的に踏まない前提で動く
  • 心当たりのある送信元でも、メール内リンクではなくブックマークやアプリから直接アクセスする
  • 不審に思ったら、社内の情シスや CSIRT に転送して確認

⚠️ 注意 「自分はフィッシングに引っかからない自信がある」と思っている人ほど、引っかかります。特に多忙な時、深夜・早朝、休日明けは判断力が落ちます。「見分ける」より「確認する習慣」を持つことが、長期的には強い防御です。

スピアフィッシング——標的型攻撃

スピアフィッシング(spear phishing)は、特定の個人・組織を標的にした、より巧妙なフィッシングです。

特徴

  • 標的の実名、所属、業務内容を事前にリサーチした上で送られる
  • 取引先や上司、同僚を装う
  • 業務関連の自然な文脈(「今月の売上資料を送ります」)で添付ファイルを送る
  • 「LinkedIn でつながった」「展示会で名刺交換した」のフォローアップを装う

2026 年時点の状況

生成 AI の普及で、スピアフィッシングメールの「自然さ」が大きく向上しました。日本語の不自然さで見分けるのが難しくなっています。「文章の質」ではなく「文脈と確認」で判断する習慣が、これまで以上に重要になっています。

💡 ポイント スピアフィッシングへの防御で最も効くのは、「重要な依頼は別チャネルで確認する」習慣です。「振込先変更」「資料の至急送付」のようなメールには、送信者本人に電話やチャットで確認する、というルールを組織で決めると効果的です。

ソーシャルエンジニアリング

ソーシャルエンジニアリング(social engineering)は、技術的な侵入ではなく、人間の心理を利用して情報を盗む手口の総称です。

典型例

  • 電話による情報収集:「IT サポートです、確認のためパスワードを教えてください」
  • 権威の利用:「社長からの指示です、急いで○○してください」
  • 緊急性の演出:「今すぐ対応しないと大変なことになります」
  • 親切さの利用:「困っているので助けてください、内部に入れてください」
  • 同調圧力:「ほかのメンバーも協力してくれています」

心理学の知見

ソーシャルエンジニアリングは、Robert Cialdini が『Influence』(1984)で整理した「説得の 6 原則」(互恵性、コミットメントと一貫性、社会的証明、好意、権威、希少性)を悪用したものです。攻撃者は、人間が「合理的な判断」より「直感的な反応」をしてしまう瞬間を狙います。

防御

  • 基本原則:「機密情報を電話・メールで急いで求められたら、それは攻撃の可能性が高い」
  • 確認のためにかけ直す(教えられた電話番号ではなく、自分で調べた番号に)
  • 「急いで」のプレッシャーに屈さない練習を組織でする
  • 受付・総務など人と接する部署を含めた全社的な訓練

📝 補足 ソーシャルエンジニアリングへの防御は、技術ではなく文化です。「すぐ確認することを許す」「疑問を口に出してよい」「断ることを称賛する」雰囲気が、組織のセキュリティ文化として最も強い防御になります。

ビジネスメール詐欺(BEC)

BEC(Business Email Compromise、ビジネスメール詐欺)は、企業の経理や購買担当者を標的に、偽の振込指示で多額の金銭を騙し取る手口です。

典型的なシナリオ

  1. 攻撃者が CEO や取引先のメールアドレスを偽装、または乗っ取り
  2. 経理担当者宛てに「至急、新口座に振込んでほしい」と依頼
  3. 「機密案件なので、私と君だけの情報にしてほしい」と他者への相談を封じる
  4. 経理担当者が指示通り送金 → 騙し取られる

被害規模

FBI の年次報告書(IC3 報告書)によれば、BEC は単一の手口として最大の被害額を出し続けており、世界全体で年間数十億ドル規模の被害が報告されています。日本でも年間数億〜十数億円規模の事例が報じられています。

防御策

  • 複数承認の必須化:高額送金には複数人の承認が必須
  • 電話確認:振込先変更や至急の指示は、必ず別チャネルで本人確認
  • メールドメイン認証(DMARC、SPF、DKIM):なりすましメールを技術的にブロック
  • MFA の徹底:メールアカウントが乗っ取られると、本物のメールから攻撃される

⚠️ 注意 「CEO や取引先からの指示で、機密だから誰にも言うな、急いで送金して」というメールは、ほぼ BEC と疑ってよい状況です。「機密」も「急ぎ」も、本来であれば確認時間を取るべき重要な業務です。

講師の現場メモ:「2 億円の振込指示が止まった話」

私(関口)が CSIRT リーダーだった頃の話です。月曜の昼前、経理部の課長から内線が入りました。

「ちょっと相談したいんですが、CEO から急ぎの振込指示メールが来ていて、新規取引先への 2 億円送金を本日中にやれと書いてあるんです。海外の M&A 案件で機密だから、誰にも相談するなとも。これって、社員研修で見たビジネスメール詐欺の特徴に当てはまっている気がして……」

私は即座に「CEO 本人に確認してください。電話で、社内番号で」と答えました。経理課長が CEO 室に内線をかけると、CEO は「そんな指示は出していない」と即答。BEC でした。

メールを解析すると、

  • 送信元ドメインが、本物より 1 文字違っていた(co.jp と co.jp.example のような差)
  • メール本文は流暢な日本語で、CEO の文体を模倣
  • 過去の社内メールの言い回しが盗用されており、不自然さが極めて少ない
  • 添付された「契約書」もそれらしい体裁

調査を進めると、攻撃者は CEO の秘書のメールアカウントに 1 か月前から侵入しており、過去のメールを読み込んで CEO の文体や日常業務を学習していたと判明しました。秘書はパスワードを使い回しており、別サービスからの漏洩情報が利用されていました。

このインシデントで実害はゼロでした。経理課長が「研修で見た」と気づいて電話確認したからです。

私が経理課長に感謝を伝えると、彼女はこう言いました。「正直、確認の電話を入れるのも『CEO に怒られるかな』と一瞬迷いました。でも、研修で『機密だから相談するなと言われたら、それは詐欺の可能性が高い』と教わったのを思い出して」。

このときに学んだのが、社員教育とインシデント対応文化の威力です。研修で繰り返し伝えた内容が、実際の場面で経理課長の判断を支えました。「ハイテクな防御技術」より「研修で身につけた習慣」の方が、現場では効くことがあります。

その後、私たちは BEC を想定した訓練を年 4 回に増やし、「機密だから相談するなと言われたら、それこそ相談する」という標語を社内に掲示しました。本コースで「巧妙な攻撃を見抜く」より「確認する習慣」を強調するのは、この 2 億円の経理課長の電話の記憶があるからです。

まとめ

このレッスンでは、以下のことを学びました。

  • マルウェアの種類:ウイルス・ワーム・トロイの木馬・ランサムウェア・スパイウェア・バックドア
  • 現代のマルウェアは複数機能を組み合わせるのが普通
  • 侵入経路:メール添付・メールリンク・USB・Web・VPN・サプライチェーン
  • フィッシングの見分けポイントは「送信元」「URL」「不自然さ」「緊急性」「添付」
  • 「見分ける」より「添付や URL は基本踏まない、別経路で確認」が現実解
  • スピアフィッシングは特定標的への巧妙化攻撃。生成 AI で自然さが向上
  • ソーシャルエンジニアリングは心理を利用する手口。文化的な防御が効く
  • BEC(ビジネスメール詐欺)は経理を標的にした最大級の手口。複数承認と電話確認で防ぐ
  • 「巧妙な攻撃を見抜く」より「確認する習慣」を組織文化として持つ

次のレッスンでは、ネットワークと通信の安全——暗号化・VPN・公衆 Wi-Fi・ゼロトラスト概要——を扱います。

確認クイズ

このレッスンの理解度をチェックしましょう。