マルウェアによる被害は2026年現在も拡大を続けており、企業規模や業種を問わず深刻なインシデントが報告されている。IPAの「情報セキュリティ10大脅威 2026」でも、ランサムウェアやサプライチェーンを悪用したマルウェア攻撃が上位に並ぶ。
本記事では、マルウェアの種類と最新動向から始まり、感染経路の分類、検知手法、企業が取るべき予防策、EDR/XDRの活用、そして感染後の対応手順まで、実務に即した形で解説する。
マルウェアとは?主な種類と2026年の動向
マルウェア(Malware)とは「悪意のあるソフトウェア(Malicious Software)」の総称であり、コンピュータやネットワークに不正に侵入し、データの破壊・窃取・暗号化・遠隔操作などを行うプログラムを指す。
主要マルウェアの種類
種類 | 概要 | 典型的な被害 |
|---|---|---|
ランサムウェア | ファイルを暗号化し身代金を要求 | 業務停止・データ喪失・金銭被害 |
トロイの木馬 | 正規ソフトに偽装して侵入 | バックドア設置・情報窃取 |
スパイウェア | 端末の操作・通信を監視・記録 | 認証情報・機密情報の窃取 |
ワーム | ネットワークを自律的に拡散 | 大規模感染・ネットワーク障害 |
ボット(RAT) | 外部から遠隔操作される | DDoS加担・内部偵察 |
ルートキット | OSレベルで自身を隠蔽 | 長期潜伏・検知回避 |
ファイルレスマルウェア | メモリ上で動作しファイルを残さない | EDRによる検知が困難 |
インフォスティーラー | 認証情報・クレジットカード情報を収集 | アカウント乗っ取り・不正送金 |
2026年の主要動向
AIを活用した高度な難読化 生成AIを悪用してコードを動的に変換し、シグネチャベースのセキュリティ製品による検知を回避するマルウェアが増加している。従来のアンチウイルスが対応できないケースが報告されている。
Ransomware-as-a-Service(RaaS)の普及 攻撃ツールがサービス化され、技術的な専門知識を持たない攻撃者でもランサムウェアを展開できる環境が整っている。被害報告件数は2024年比で約40%増加している。
多重脅迫型攻撃の標準化 データの暗号化だけでなく、データを窃取した上で「公開する」と脅す二重脅迫、さらにDDoS攻撃を組み合わせた三重脅迫が標準的な手口となっている。
MicrosoftとGoogle製品を偽装した攻撃 Teams・OneDrive・Google Workspaceの通知メールを模倣したフィッシングメールからマルウェアが配布されるケースが急増している。
感染経路
マルウェアの感染経路は多岐にわたる。自社のどの入口が脆弱かを把握することが対策の出発点となる。
メール(フィッシング・添付ファイル)
依然として最も多い感染経路の一つが電子メールである。具体的な手口は以下のとおり。
- 悪意ある添付ファイル:Word・Excel・PDFなどにマクロやスクリプトを埋め込み、開いた瞬間に実行される
- URLリンク型:本文中のURLをクリックさせ、不正サイトへ誘導してドライブバイダウンロードを実行する
- ビジネスメール詐欺(BEC)型:取引先や社内上司を装い、マルウェア入りファイルを送付する
2026年においては、AIによって文法的に正確な日本語フィッシングメールが生成されており、「怪しい日本語」での見分けが困難になっている。
Webサイト経由(ドライブバイダウンロード)
正規のWebサイトが改ざんされ、閲覧しただけでマルウェアがダウンロードされる手口である。ブラウザやプラグイン(PDF閲覧、動画再生など)の脆弱性が悪用される。
- 信頼していたサイトからの感染のため、ユーザーが気づきにくい
- 特にJavaScript・Flashを悪用したエクスプロイトキットが多用される
USBメモリ・外部デバイス
物理的な媒体による感染は古典的な手口であるが、2026年においても産業制御システム(ICS/OT環境)や、インターネットから隔離されたエアギャップ環境への侵入手段として継続的に利用されている。
- 工場・製造現場での感染が多数報告されている
- 「落とし物USB」を拾って接続するという手口への対応が必要
サプライチェーン攻撃
ソフトウェアベンダーや業務委託先など、セキュリティ管理の手薄な取引先を経由して標的企業に侵入する手口である。
- 正規のソフトウェアアップデートにマルウェアが混入された事例(SolarWinds、3CX等)が発生
- 自社だけでなく取引先のセキュリティ水準がリスクになる
- オープンソースライブラリへの不正コード混入(依存関係ポイズニング)も増加中
VPN・リモートデスクトップ(RDP)の悪用
テレワーク普及に伴い、VPNやRDPのアカウントを窃取・総当たり攻撃で侵害し、そこを足がかりにマルウェアを展開するケースが増加している。
- パスワードのみの認証では不十分
- 公開されたままのRDPポート(3389番)は攻撃者の標的になりやすい
感染の兆候・検知方法
マルウェアは感染後すぐに活動を開始するわけではなく、数週間から数ヶ月間、潜伏して内部偵察を行うケースがある。兆候の早期発見が被害を最小化する鍵となる。
感染の主な兆候
端末・システムの異常
- 端末の動作が急激に遅くなった
- 不審なプロセスやタスクがバックグラウンドで動作している
- ファイルが知らないうちに暗号化・変名されている
- デスクトップや特定フォルダに身代金要求のテキストファイルが生成された
ネットワークの異常
- 平常時と異なる大量の外部通信(特に深夜帯)が発生している
- 社内ネットワーク内での横断的な通信(ラテラルムーブメント)が検知された
- 既知の悪意あるIPアドレス・ドメインへの接続が確認された
アカウント・認証の異常
- 異常な時間帯・場所からのログイン試行が増加した
- Active Directoryのアカウント情報が変更・新規作成された
- 管理者権限の付与が無断で行われた
検知方法の種類
シグネチャベース検知 既知のマルウェアのパターン(シグネチャ)と照合して検知する従来型のアンチウイルスの手法。既知の脅威には有効だが、未知のマルウェアや難読化された変種には対応できない。
ふるまい検知(ビヘイビア検知) プログラムの実際の動作を監視し、不審な挙動(大量ファイルへのアクセス、レジストリ変更、外部通信など)を検知する。EDR製品の中核機能となっている。
機械学習・AI検知 正常な通信・動作のパターンをAIに学習させ、逸脱した挙動を異常として検知する。ゼロデイ攻撃やファイルレスマルウェアへの対応力が高い。
脅威インテリジェンス連携 IOC(侵害指標:不審なIPアドレス・ドメイン・ファイルハッシュ)の情報をリアルタイムに取り込み、社内通信と照合する。SIEMやSOCと組み合わせることで有効性が高まる。
企業が実施すべき予防対策
マルウェア対策は「入口・内部・出口」の三層で考えるのが基本である。
入口対策
メールセキュリティの強化
- SPF・DKIM・DMARCの設定によるなりすましメール対策
- メールフィルタリングサービスによる添付ファイル・URLのサンドボックス検査
- マクロ付きOfficeファイルの実行制限(グループポリシーで設定)
Webフィルタリング
- 悪意あるサイトや不審なカテゴリへのアクセスをプロキシ・DNSレベルでブロック
- SSL/TLS復号検査(SSLインスペクション)による暗号化通信の可視化
パッチ管理の徹底
- OS・ブラウザ・サードパーティアプリの脆弱性を定期的にスキャンし、迅速にパッチを適用
- VPN機器・ファイアウォールなどネットワーク機器のファームウェア更新を徹底
- 資産管理ツールを活用したパッチ適用状況の一元管理
多要素認証(MFA)の全面導入
- VPN・クラウドサービス・社内システムへのすべてのアクセスにMFAを適用
- SMS認証よりも認証アプリ(TOTP)またはFIDO2/WebAuthnを推奨
内部対策
最小権限の原則(PoLP)
- ユーザーアカウントには業務に必要な最小限の権限のみを付与
- ローカル管理者権限の一般ユーザーへの付与を禁止
- 特権アカウントの使用を必要な時だけに限定(PAM:特権アクセス管理)
ネットワークのセグメンテーション
- 部門・システム・用途ごとにVLANでネットワークを分割
- 産業系システム(OT/ICSネットワーク)を業務系ネットワークから隔離
- ゼロトラストアーキテクチャの考え方に基づき、内部通信も検査対象とする
USBメモリ・外部デバイスの制御
- グループポリシーまたはエンドポイント管理ツールによるUSBポートの使用制限
- 業務用途で使用するUSBは会社支給・暗号化対応品に限定
出口・バックアップ対策
バックアップの3-2-1ルール
- データのコピーを3つ保持(本番1+バックアップ2)
- 2種類の異なる媒体・場所に保管
- 1つはオフライン(またはネットワーク非接続)環境に保管
ランサムウェアに感染した場合、ネットワーク接続されたバックアップも同時に暗号化されるケースがある。イミュータブル(書き換え不可)ストレージの活用が重要である。
定期的な復旧訓練 バックアップが存在しても、実際に復旧できるかどうかを定期的に検証しなければ意味がない。少なくとも年1回はバックアップからの復旧テストを実施する。
EDR/XDRによるリアルタイム検知
従来のアンチウイルスだけでは2026年のマルウェア攻撃に対応しきれない。EDR(Endpoint Detection and Response)およびXDR(Extended Detection and Response)の導入が標準的な対策となっている。
EDRとは
EDRはエンドポイント(PC・サーバー・スマートフォン等)上での活動をリアルタイムに監視・記録し、不審な挙動を検知・対応するセキュリティソリューションである。
EDRの主要機能
機能 | 内容 |
|---|---|
継続的な端末監視 | プロセス実行・ファイル操作・レジストリ変更・ネットワーク通信をログ記録 |
ふるまい検知 | 既知シグネチャに依存せず、異常な動作パターンを検知 |
アラート・可視化 | 検知した脅威をダッシュボードで可視化し、セキュリティ担当者に通知 |
隔離・対応 | 感染端末を自動またはワンクリックでネットワークから隔離 |
フォレンジック | 攻撃の全経緯(アタックチェーン)を時系列で記録・調査可能 |
XDRとは
XDRはEDRの概念をエンドポイントの枠を超えてネットワーク・クラウド・メール・IDなど複数のレイヤーに拡張したものである。個別の検知情報を統合分析することで、より精度の高い脅威検知と対応が可能になる。
EDRとXDRの違い
項目 | EDR | XDR |
|---|---|---|
対象範囲 | エンドポイントのみ | エンドポイント+ネットワーク+クラウド+メール等 |
検知精度 | 端末単位での検知 | 複数ソースの相関分析による高精度検知 |
導入コスト | 比較的低い | 高い(製品統合・設計が必要) |
向いている規模 | 中小〜中規模 | 中規模〜大規模 |
主要製品(参考)
- CrowdStrike Falcon:クラウドネイティブEDRの代表格。AIによる脅威検知に強み
- Microsoft Defender for Endpoint:Microsoft 365環境との親和性が高い
- SentinelOne:自律的な対応(自動隔離・ロールバック)機能が充実
- Trend Micro Vision One:XDRとして国内企業への導入実績が豊富
EDR導入時の注意点
EDRは導入するだけでは効果を発揮しない。検知されたアラートを適切に評価・対応するための運用体制(SOCまたは外部委託)が不可欠である。アラートの大量発生(アラート疲れ)を防ぐため、チューニングも継続的に行う必要がある。
感染後の対応手順
マルウェア感染が発覚した場合、初動の数時間が被害の拡大を左右する。手順を事前に整備し、有事に迷わず動ける体制を作ることが重要である。
STEP 1:感染端末の隔離
最初に行うべきアクションは「切り離し」である。感染が疑われる端末をネットワークから即座に切断し、被害の拡大を防ぐ。
- 有線LAN:LANケーブルを物理的に抜く
- 無線LAN:Wi-Fiをオフにする(ただし電源は落とさない)
- EDR導入済みの場合:管理コンソールからリモート隔離を実行
電源を落としてはならない理由 電源を落とすとメモリ上の攻撃の痕跡(ファイルレスマルウェアの実行コードなど)が消失し、フォレンジック調査が困難になる。感染直後はメモリダンプを取得してから対処するのが原則である。
STEP 2:状況の確認と初期調査
- 感染した端末数・システムの特定(被害範囲の把握)
- マルウェアの種類の特定(ランサムウェアか、情報窃取型かなど)
- 感染経路の推定(メール・Web・VPNなど)
- 外部への通信有無の確認(情報漏えいの可能性評価)
- Active Directory・共有フォルダへの影響範囲確認
この段階での調査結果が、その後の対応方針(全社停止か局所対応かなど)を左右する。
STEP 3:関係者への報告・エスカレーション
感染発覚から速やかに以下の関係者に報告する。
- 社内:情報システム部門責任者・CISO・経営層(規模に応じて)
- 外部:セキュリティインシデント対応業者(リテーナー契約がある場合は即時連絡)
- 行政・監督機関:個人情報漏えいが疑われる場合は個人情報保護委員会への報告義務(72時間以内)を確認
対外的な情報公開(プレスリリース・顧客への通知)は法務・広報と協議の上、適切なタイミングで行う。
STEP 4:マルウェアの除去
フォレンジック調査で感染の全容を把握した上でマルウェアの除去を行う。
- EDRのアラートログ・フォレンジックツール(Volatility・Autopsy等)を用いた詳細調査
- マルウェアが設置したバックドア・永続化機構(スケジュールタスク・レジストリ登録・サービス登録等)の特定と削除
- 侵害されたアカウントのパスワードリセット・無効化
- C2(コマンド&コントロール)サーバーへの通信をファイアウォールでブロック
除去が不完全な状態で復旧を急ぐと、マルウェアが再活性化するリスクがある。完全な除去を確認してから次のステップに進む。
STEP 5:システムの復旧
マルウェアが除去されたことを確認した上でシステムを段階的に復旧する。
復旧の優先順位の考え方
- 事業継続に不可欠なコアシステム(基幹業務・顧客対応)
- 社内コミュニケーション・メール
- その他の業務システム
クリーンなバックアップからの復元 感染前の状態に戻すため、感染時点より前のバックアップを使用する。バックアップ自体が感染していないかどうかを確認してから復元を実施する。
OSの再インストールを検討する場面 ルートキットや深い階層に埋め込まれたマルウェアが確認された場合、マルウェアの除去だけでは不十分であり、OSの再インストールが推奨される。
STEP 6:再発防止策の実施と教訓の文書化
復旧後、同じ手口での再感染を防ぐための恒久対策を講じる。
- 感染経路となった脆弱性のパッチ適用
- フィッシングメールを起点とした場合はセキュリティ教育の強化
- VPN・RDPが悪用された場合はMFAの追加・公開範囲の制限
- インシデント対応プレイブックへの教訓の反映
インシデントレポートを作成し、原因・対応の経緯・復旧までの時間・改善策を記録しておくことで、次回の対応の質が大幅に向上する。
AEVUSのマルウェア対策支援
マルウェア対策は「予防→検知→対応」の一連のサイクルを機能させる必要がある。AEVUSはその全フェーズにわたって企業を支援する。
ペネトレーションテスト・脆弱性診断
マルウェアの侵入経路となる脆弱性を攻撃者視点で洗い出す。ネットワーク診断・Webアプリ診断・フィッシングシミュレーションを組み合わせ、実際の攻撃に対する自社のリスクを可視化する。
EDR/SOC導入支援
EDR製品の選定・導入・チューニングから、24時間365日の監視体制(SOC)の構築まで支援する。既存のセキュリティ製品との統合設計や、アラート対応プレイブックの整備も対応可能である。
インシデントレスポンス支援(リテーナー契約)
万が一感染が発生した際に即座に対応できるよう、事前にリテーナー契約を締結しておくことで、発生時の初動を最短化できる。フォレンジック調査・マルウェア除去・復旧支援・報告書作成まで一貫して対応する。
セキュリティ教育・訓練
フィッシングメール訓練・マルウェア対策e-ラーニング・インシデント対応訓練(テーブルトップ演習)を提供し、組織全体のセキュリティリテラシーを向上させる。
マルウェアの脅威は技術的な対策だけで完結するものではなく、運用体制・教育・対応手順の整備が一体となって初めて有効に機能する。感染前の予防対策はもちろん、感染後に素早く正確に動けるかどうかが企業の被害の大小を決定づける。
自社のマルウェア対策に不安がある場合や、EDR導入・インシデント対応体制の強化を検討している場合は、AEVUSにご相談ください。
