1970年代、意図をもってコンピュータに障害や損害をもたらすソフトウェアは、画面全体にメッセージを表示するなど、明確な犯罪意図はなく悪ふざけやジョークの類も少なくなかった。あるいは研究者の純粋な好奇心や研究活動から生まれるものもあっただろう。

コンピュータウイルスが不正なソフトウェア全般を指す一般用語になったのは、最初に大きな社会問題になったものが感染能力を持つウイルスだったからだと言える。そのウイルスの定義は一般に以下のようになる。

感染・増殖・潜伏期間など病理学の「ウイルス」と同じ特徴を持つのでコンピュータウイルスと名付けられた。なお、世界最初のコンピュータウイルス（以下ウイルス）は、1982年のApple II（アップル社が最初に市販したパーソナルコンピュータ）のElk Clonerと言われているが、1971年のThe Creeperという説もある。日本で最初のウイルスは1989年の「メリークリスマス」と言われている。

ウイルスを含むマルウェアとして、以下をその代表例として挙げることができる。

ウイルス
※上記説明参照※

ワーム
ウイルスに似ているが、感染するためのホスト（プログラム）がなくても自律的にネットワークやコンピュータを渡り歩くことができる。1988年のMorrisワームは世界中のコンピュータに被害を及ぼして話題となった。

トロイの木馬
別の（正規の）プログラムを偽装したマルウェア。偽装のため正規の機能を持つものもある。

現在、ウイルスやトロイの木馬などの機能を単体で使うマルウェアはほぼ存在しない。通常の攻撃に使われるマルウェアは、これらの機能を併せ持っていたり、時代ごとのソフトウェアの特性、脆弱性を利用した構造や機能を持つソフトウェアとして構成されている。

OSには保護機能やアクセス制御機能が備わっており、以前のようにシステムにアクセスするだけですぐに感染するようなことはない。そのため、侵入方法から感染、インストール、起動までさまざまなツール（ソフトウェア）を利用することになる。

マルウェアを構成するその他のソフトウェアやツールの代表例を以下に示す。

クッキー
クッキーはブラウザのセッション情報（ログイン情報やフォームに入力した情報など）を保持して、操作を支援する機能。クッキーそのものはマルウェアではないがスパイウェアなどが、標的の情報収集に利用されることがある。

バックドア
特定の通信を監視して攻撃者のデータや操作を実行させるプログラム。DDoS攻撃に利用されるボットはバックドアの一例。攻撃者は大量のボットをPCやサーバーに感染させ、攻撃者の指令で標的に大量のパケットを送り込む。RATと呼ばれる遠隔操作プログラムは、侵入したPCのカメラやマイクを外から制御できたり、画面表示を複製・操作できたりする。RATもバックドアの一種である。

キーロガー
キーストロークロガーとも呼ばれる。キーボードの打鍵情報を監視するマルウェア。パスワード入力やカード情報の入力を直接盗むことができる。

ルートキット
保護機能のあるシステム（OS）にバックドアやウイルスを仕掛けるには、システムの機能を何らかの方法で上書きまたは制御を奪う必要がある。ルートキットはこのような攻撃機能を担うシステムソフトウェアやライブラリをまとめたものである。システムコールやシステムライブラリを改変する必要があるので、変更を隠蔽する機能を持つものが多い。痕跡を残さないように、ファイルを作らずメモリ上だけで稼働するモジュールも持っている。

プラグイン
アプリケーションやブラウザのプラグイン機能が攻撃に利用されることがある。攻撃者がプラグイン機能を利用して攻撃機能のプラグインをインストールする場合と、正規のプラグインを偽装する場合がある。

攻撃用アプリケーション
攻撃専用に作られたツールやマルウェアアプリケーションも存在する。パケットの内容を監視するパケットスニファ、ポートスキャナ、脆弱性スキャナ、パスワードクラッカーなどがそれだ。最近ではこれらの機能をクラウドサービスとして提供するアンダーグラウンドの業者やサイトもある。

マルウェアを攻撃手法で見ることもできる。その場合、以下のような攻撃手法が考えられる。

DoS/DDoS攻撃
DoS攻撃は標的に大量のパケットを送信してサーバーをダウンさせる攻撃。単純に大量のパケットを生成する攻撃と、プロトコルの不備を利用してパケットを大量生成する攻撃がある。DDoS攻撃は、ボットなど遠隔操作が可能なPCやネットワーク機器を使って大量のパケットを生成する攻撃。攻撃が不特定多数から行われるのでパケットの遮断が難しい。ボットの主流はPCから、Webカメラやネットワーク機器などIoTに移っている。

ソーシャルエンジニアリング
人間の心理や慣習を利用して標的を騙すことで秘密情報を得たりシステムに侵入したりする攻撃。たとえば、多くの人が該当しそうな宅配便の不在通知を装って標的の行動を誘導すること。

フィッシングメール攻撃
主にソーシャルエンジニアリングを利用して、正規サイトや企業を偽装したメールによって攻撃サイトに誘導する。攻撃サイトでは、マルウェアをダウンロードさせたりパスワードやカード情報を入力させる。誘導先は正規のものではないので入力したパスワードや暗証番号はすべて記録される。

ランサムウェア攻撃
保存ファイルやシステムファイルを暗号化してPCやサーバー、DBを機能させなくする攻撃。復号化と引き換えに身代金を要求（脅迫）するので、ランサムウェアと呼ばれる。ファイルを暗号化するだけでなく、盗んだファイルを公開またはアンダーグラウンドで売買するタイプの暴露型ランサムウェアが増えている。大企業や病院、インフラ事業者が攻撃を受けた場合、システムやサービス停止の影響が大きく、身代金も高額になりがち。大きな社会問題にもなっている。

サプライチェーン攻撃
大企業や政府機関などを直接攻撃するのではなく、比較的防御の低い取引先から侵入する攻撃。サプライチェーンには2つの方法がある。ひとつは取引先チェーン（サプライチェーン）のうち防御の手薄い下流企業や組織のシステムに直接侵入する。もうひとつは、オープンソースソフトウェアの開発コミュニティやツール・ミドルウェアベンダーに成りすましてマルウェアや脆弱性を正規ソフトウェアに組み込ませる方法だ。

以上のマルウェアの分類や各種攻撃手法を前提に、2024年にはどのようなマルウェアや攻撃に注意すればいいのだろうか。

マルウェアや攻撃手法は、時代ごとに流行りや変遷がある。年次ごとの予測は困難だが、近年の動向から注意したほうがいい攻撃を挙げることはできる。

ランサムウェア攻撃
近年のサイバー攻撃の主流といってもいい。ランサムウェアによる攻撃は、ランサムウェアの開発、配布プラットフォーム、アフィリエイトユーザーに分離した攻撃エコシステムが出来上がっている。エコシステムはRaaS（Ransomware as a Service）と呼ばれている。直接の攻撃者はアンダーグラウンドのRaaSプラットフォームの利用者で、振り込まれた身代金の一部をアフィリエイト収入として受け取る。

プラットフォームが摘発され、攻撃者が逮捕されても開発者やプラットフォーム運営者まで逮捕や裁判が及ばないので、撲滅には至っていない。攻撃者も入念に準備して特定の標的を狙うのではなく、リストを使って多数の標的にフィッシングメールや詐欺メールを送り付ける。攻撃エコシステムによって参入ハードルがさがっており、手軽なアフィリエイト収入を期待する利用者（攻撃者）などの理由によって、ランサムウェアブームは当面続くと思われる。

サプライチェーン攻撃
2023年も国内外の製造業においてグループ子会社や取引先へのサイバー攻撃が目立った。高度なサプライチェーンほど、部品ひとつの欠品が簡単に全ラインの停止、出荷停止を引き起こす。RaaSを使ったランサムウェア攻撃でも、システムがダウンすると部品の出荷ができなくなり、チェーン全体に影響がでる。

また、暴露型ランサムウェアには、身代金交渉が不調に終わると、入手した企業情報（取引先や従業員のアカウント情報など）をリークサイトやアンダーグラウンドのSNSなどに公開する事例が報告されている。この場合、公開された情報をもとにさらに攻撃が連鎖していく可能性がある。

AIに関連した攻撃
サイバー攻撃にAIを悪用する手法は各所が指摘している。AIによってマルウェア、またはマルウェアの亜種を自動生成する例。フェイク画像の生成に悪用する例。ChatGPTなどを利用して攻撃情報を答えさせる例。同、秘密情報を引き出す例。などが報告されている。

2023年にはWormGPTという倫理規定や悪用防止のセーフガードを排除した生成AIが話題になった。通常の生成AIは、たとえば個人情報を聞き出すプロンプトやウイルスの作り方などには答えを出力しない制御がなされている。このような制限を排除した生成AIを犯罪者グループが活用しているという。これを利用すると、企業担当者どうしのメールをハイジャックして不正な振込や送金（社長命令で振込先をここにしてほしい、といったメールを送る）させるBEC詐欺をAIで自動化できる。

これが進化すると、ダークウェブやアンダーグラウンドの世界に、犯罪に特化した生成AIサービスが可能になる。これまでは、ChatGPTなどを悪用してマルウェアコードを生成させようとしたら、「A社の障害通知の文面を作って」（フィッシングの誘導メールの下書き）、「ファイルを秘密鍵で暗号化するコードを作って」（ランサムウェアのベース）といった遠回しなプロンプトを使う必要があった。犯罪者向け生成AIならば「A社の社員に有効なフィッシングメールを考えて」と指示するだけでよい。

他にも社会情勢から注意すべき点もある。ロシア・ウクライナ戦争はまだ長期化するだろう。イスラエルとパレスチナ（ハマス）との戦争も同様だ。どちらの問題も、日本とは直接関係ないように思える。しかし、西側陣営の一員でありながら石油資源を中東に依存する日本は、どちらの勢力からも攻撃されうる立場にあるともいえる。国レベルでの対立はないにしても、ハクティビスト（政治的主張のために、サイバー攻撃を行うネット犯罪者）や個別グループの攻撃が起きている。

24年はアメリカの大統領選も予定されている。関連したフェイクニュースや世論操作のためのキャンペーン、選挙に乗じたフィッシングメールや詐欺サイトにも注意したい。

マルウェアは、悪意を持った動作をするが正規のツールやアプリケーションでも、悪意をもって不正や犯罪を行えば、そのソフトウェアをマルウェアと呼ぶことも可能だ。たとえば、前述のパケットスニファ、ポートスキャナは、機能だけならネットワーク機器やソフトウェアの開発に有用かつ正当なツールである。

さらにいえば、悪意の存在も相対的なものだ。ウクライナの停電を引き起こすソフトウェアは、攻撃する側（ロシアまたはロシア政府が関与する勢力の攻撃という分析がされている）にとっては正当なツールかもしれない。マルウェア対策は、特定の機能やソフトウェアの種類だけを対象にすればいいというものではない。このことがマルウェアの分類や対策を難しいものにしている。


参考文献：
NIST SP800-83: Guide to Malware Incident Prevention and Handling for Desktops and Laptops
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-83r1.pdf

上記の日本語訳（参考）
https://www.ipa.go.jp/security/reports/oversea/nist/ug65p90000019cp4-att/000025349.pdf