マルウェア感染が判明した場合の対応ステップ
昨今、働き方の変化に伴い、BYOD (Bring Your Own Device) 端末のご利用やリモートワークの必要性が増加しています。それに伴い、従来よりもセキュリティ意識が高まり、マイクロソフトへは、日々多くの脅威に関するご相談が寄せられています。なかでも、悪意のあるソフトウェア (マルウェア) に関する相談は多く寄せられており、マルウェア感染が判明した場合の対処方法をご案内することが多くあります。そこで、今回はご利用のデバイスにてマルウェアの感染が判明した場合の一般的な対応方法をご紹介します。なお、企業組織環境においては、マルウェア感染などのセキュリティインシデント発生時に取るべき対応が情報セキュリティポリシー等で定められている場合が多くあります。そのような場合は、所属する組織の定める手順に従い対応を行ってください。
デバイスにてマルウェア感染が判明した場合の対応ステップ
マルウェア対策ソフトを有効にして最新の定義ファイルを利用している場合、既知のマルウェアに遭遇してもデバイスに感染するまえに削除されます。しかしながら、不注意などからマルウェア対策ソフトが有効になっていない場合、リアルタイムスキャンが無効になっている場合などは、マルウェアに感染してしまうことがあります。デバイスにマルウェア感染の症状が現れたり (注意: ユーザーが気が付くような症状が現れないタイプのマルウェアも多くあります)、久しぶりにマルウェア対策ソフトのスキャンを行ったところ感染が判明したりした場合などは、次の手順で対応することを推奨します。
1. ネットワークの遮断
マルウェアに感染していることが判明した場合、すぐにネットワークを遮断することをおすすめします。ネットワークに接続されたままの状態では、別のマルウェアへの感染や同一ネットワーク内への感染など被害拡大の恐れがあります。ただし、詳細調査やフォレンジック調査を行う必要性などから、ネットワーク遮断をすぐに実施しない場合もありますので、企業組織の場合は所属する組織の定める手順に従い対応を行ってください。
2. オフラインスキャン・フルスキャンの実行
OS の再起動によって、非活性化していたマルウェアが活性化される場合があります。また、OS 起動時のブートシーケンス内に潜み、OS 動作中には完全に削除することができない種類のマルウェアもあります。完全にデバイスからマルウェアを削除するために、最新の定義ファイルで、オフラインスキャンを実行することを推奨しています。マイクロソフトでは無償のオフラインスキャンツール「Microsoft Defender オフライン」を提供していますので、ぜひ活用してください。
なお、すぐにオフラインスキャンが困難な場合は、最低限、最新の定義ファイルを適用したフルスキャンを実行することを推奨します。最新の定義ファイルをご利用いただくことで、脅威の検出パターンが増え、新たな脅威が検出される場合があります。Windows 8 以降、無償のマルウェア対策ソフト Microsoft Defender が利用可能です。また、Microsoft Defender などマイクロソフトのマルウェア対策製品を利用している場合、既定では自動的に最新の定義ファイルに更新されます。なお手動で定義ファイルを入手したい場合などは、最新の定義ファイルを以下のサイトから単体ファイルとして入手、適用いただくことが可能です。
3. デバイスの再構築
マルウェアに感染したデバイスでは、マルウェア対策ソフトでは検出できないタイプの侵害を受けている場合もあります。再度被害に遭わないために、ハード ディスク上のすべてのファイルを削除し、オペレーティング システムと必要なアプリケーションを、信頼のできるイメージからリストアするか、クリーンインストールします。
4. 脅威検出の再確認
2. および 3. を実施後、最新の定義ファイルにて新たなマルウェアが検出されないことを確認してください。新たな脅威の検出が発生しない場合、検出可能な潜在的脅威が存在しない状態です。脅威の検出が継続する場合は、2. および 3. の手順を見直しながら再度実施することで解決する場合があります。また同一ネットワークで利用している別のデバイスがマルウェアに感染していることにより、問題が発生している可能性がありますので、利用しているすべてのデバイス、USB などのリムーバブルデバイスでの脅威検出を見直してください。また企業組織環境の場合は、すでに悪意のある攻撃者が組織ネットワークに侵害している可能性が考えられます。Microsoft Defender ATP などのセキュリティソリューションを利用し、組織のデバイスの健全性を確認し、必要に応じて詳細な調査をすることを推奨しています。
補足: マルウェア対策ソフトの誤検知について
昨今、新種や亜種のマルウェアが日々多く発生しています。マイクロソフトでは、既知となった脅威にいち早く対応するため、脅威のファイルハッシュ以外にも脅威と特定されるコードや URL などのファイルパターンにて、マルウェアの判定を行っています。そのため、同様のファイルパターンを持つファイルを脅威とみなし、マルウェアとして誤検知する場合があります。様々な情報から誤検知の改善を行い、新たな定義ファイルをリリースしていますので、例えば自社で開発したアプリケーション等の誤検知が疑われる場合は、最新の定義ファイルを適用後、対象のファイルを再スキャンしてください。特に古い定義ファイルバージョンのまま、ご利用いただいている場合に誤検知の発生頻度が高い傾向にあります。最新の定義ファイル適用後も検出が継続する、もしくは何らかのタイミングで再度誤検知として検出された場合は、「Submit a file for malware analysis」から誤検知抑制を申請いただくことが可能です。申請は、マイクロソフトとのサポート契約は不要ですが、対応言語は英語のみとなります。なお、日本語での対応など追加のサポートをご希望される場合は、マイクロソフト法人向けサポート契約にて対応を行っております。
マルウェア感染を防止するために
安心・安全に IT 環境を利活用するためには、まずは、利用しているデバイスのセキュリティが正しく構成され、有効な状態に保たれていることが重要です。
- すべてのセキュリティ更新プログラムを適用し最新の状態を保つ
一般的に、悪意のある攻撃者はマルウェアに感染させるためや、マルウェアで情報窃取などの被害を生むために OS やソフトウェアの脆弱性を悪用します。同じ脆弱性を悪用する新種や亜種のエクスプロイトやマルウェアは、数多く生み出されます。マルウェア対策ソフトの定義ファイルの更新だけではなく、最新のセキュリティ更新プログラムの適用を強く推奨しています。
- デバイスの基本的なセキュリティ設定を有効に保つ
Windows 10 の最低限確認しておくべきセキュリティの設定をまとめて紹介ていますので参考にしてください。
- 疑わしいメッセージのリンクや添付ファイルを開かない
多くの場合、悪意のある攻撃者はユーザーを騙して悪意のあるファイルをダウンロードさせようとします。メール、ツイート、投稿、オンライン広告、メッセージに含まれるリンクや添付ファイルなどに注意し、不審な場合は開かないようにします。
- 海賊版の製品やコンテンツを使用しない
信頼できるソースから公開されたものでない映画、音楽、書籍、アプリケーションなどのストリーミングやダウンロードを避けましょう。マルウェア遭遇率は、海賊版の比率やソフトウェアの定期的なセキュリティ更新プログラムの適用の比率と比例することが多く、海賊版や非公式のマーケットプレイスの利用を避けることが重要な対策になります。
今回はマルウェア感染時の対処について触れましたが、特に企業組織の場合は、攻撃者の目的はマルウェアに感染させることではなく、マルウェアなどを利用して、情報を盗み金銭を得ることにあります。マルウェア対策だけではなく、組織全体として運用と対策を俯瞰しながら健全な環境を保ち、脅威に迅速に対応できるような体制づくりをすることが大切です。詳細はぜひ「攻撃があっても動じない IT 環境のカタチ: Security Posture」をご参照ください。
セキュリティ レスポンス チーム
セキュリティ製品 サポートチーム
+———————————————-
参考情報
マイクロソフトではマルウェア対策に関する情報を、Malware Protection Center にまとめて掲載しています。そのほか、サポート技術情報で公開しているマルウェアに関するガイダンスも併せて参考にしてください。