マルウェアの種類とは?中小企業が押さえるべき特徴とリスク対策

2025年05月13日

マルウェアの種類とは?中小企業が押さえるべき特徴とリスク対策

マルウェア(malware)は「悪意あるソフトウェア」の総称であり、企業のネットワークやPCに侵入して情報を盗み取ったり、業務を妨害したりする脅威です。

中小企業の場合、大企業ほど強固なセキュリティ対策が施されていないケースも多く、「気づいたときには情報が抜き取られていた」「業務が停止してしまった」という被害も珍しくありません。

本記事では、マルウェアの主な種類とその特徴、中小企業が取り組むべき対策、そして法的観点から注意すべき点について解説します。

この記事を監修したのは

代表弁護士 春田 藤麿
代表弁護士春田 藤麿
第一東京弁護士会 所属
経歴
慶應義塾大学法学部卒業
慶應義塾大学法科大学院卒業
都内総合法律事務所勤務
春田法律事務所開設

詳しくはこちら

マルウェアとは?基本的な定義とリスク

マルウェア(malicious software)は、コンピュータやネットワークに損害を与えることを目的としたソフトウェアの総称です。単独で侵入することもあれば、フィッシング詐欺の一環として添付ファイルやURLに潜んでいる場合もあります。

被害としては以下のようなものがあります:

  • 社外秘データの流出
  • 顧客情報の漏洩
  • 業務システムの停止
  • 勝手に身代金を要求される

マルウェアは「入れられる」よりも「知らずに自分で入れてしまう」ことが多い点が厄介です。

マルウェアの感染経路はいくつかありますが、代表的な感染経路はメールです。仕事のメールを装って、マルウェアを仕込んだ添付ファイルを送り付けます。メールを受け取った従業員が添付ファイルを開くと、マルウェアに感染してしまうというのが、メールでの典型的な感染経路となります。

また、感染させるだけでなく、感染後に感染していることに気づかれないようにするマルウェアや、感染させるための脆弱性を見つけるマルウェアなど、多種多様なマルウェアが存在します。

中小企業が注意すべきマルウェアの主な種類

ウイルス

他のファイルに寄生して動作し、感染を広げる古典的なマルウェア。

ウィルスは寄生対象が必要で、プログラムやファイルに寄生します。他のファイルに寄生すると、自己増殖し感染を広げる活動を行います。感染したファイルを開くことでウィルスが増殖し、被害が拡大します。

ワーム

ネットワーク経由で自動的に広がるマルウェア。

ワームもウィルスと同じように自己増殖しますが、寄生対象を必要としません。人為的な操作がなくても感染を広げる点が特徴で、増殖力が非常に高いです。

トロイの木馬

見た目は安全なアプリケーションに見せかけて侵入し、裏で不正な動作を行います。業務ソフトやフリーソフトに偽装されていることもあります。

ワームと同じように寄生対象を必要としませんが、無害なプログラムを装って侵入する点が特徴です。

ランサムウェア

データやシステムを暗号化し、「元に戻したければ金銭を支払え」と脅迫する手口です。

「ランサム」とは身代金という意味ですが、ランサムウェアは人ではなくデータやコンピューターを質に取る点が特徴です。近年、中小企業でも被害が急増しています。

スパイウェア

コンピューターの内部情報を勝手に外部に送信する、情報収集を目的とするマルウェアです。

利用者の操作履歴やID・パスワードなどを密かに記録して外部に送信され、気づかれずに情報が抜かれることになります。

実際にあったマルウェア被害事例

  • トロイの木馬が送られてPCが遠隔操作され、殺害予告や襲撃予告が発信された事例(パソコン遠隔操作事件)。
  • 医療期間のシステムにランサムウェアが送られ、到着した救急車の受け入れが出来なかった事例(WannaCry)
  • Androidのスマートフォンにスパイウェアが送られ、連絡先・写真・動画・GPS情報が抜き取られた事例(Exodus)

このような事例では、技術的な被害だけでなく、「情報管理体制が不十分だった」として損害賠償や信用低下のリスクも伴います。

マルウェアと法律:企業が問われる法的責任

マルウェアによって第三者に損害が及んだ場合、企業側にも以下のような法的責任が問われる可能性があります。

個人情報保護法に基づく行政法上の責任

マルウェアの攻撃により個人情報が漏洩した場合、個人情報保護委員会から勧告・資料の提出命令等行政上の処分が行われる可能性が高いです。

これらは行政上の手続なので、民事上の責任のように直接的な金銭的負担が発生することは考えられませんが、大々的に報道がなされることにより、信用棄損等重大な損害は発生する可能性はあります。 

不法行為責任・債務不履行責任:顧客や取引先に損害を与えた場合の民事上の責任

マルウェアの攻撃により業務に関する機密情報が漏洩した場合、マルウェアの攻撃に備える体制を整えていなかったとして、顧客や取引先から損害賠償責任を追及される可能性があります。

この場合、そもそも十分な管理体制を整えていたか、管理体制を整えていたとしても十分運用できていたのかという点が問題となります。

「悪意がなかった」では済まされず、「体制が整っていたかどうか」が問われます。

中小企業がとるべき対策と法律事務所による支援内容

中小企業でもできる対策として、以下のものが考えられます。

怪しいファイルやソフトを開かない・インストールしない教育

既にご説明したように、マルウェアはファイルやソフトを隠れ蓑として侵入してきます。従業員がこれらに触れなければ、マルウェアに侵入される可能性を大幅に減らすことができます。

怪しい添付ファイルやソフトは独断で開かず上司に相談する、不要なソフトをインストールしないという教育を行い、また定期的に研修を行うことが必要です。

セキュリティソフトの導入・更新の徹底

企業が貸与している場合はもちろん、近年普及している従業員所有の端末を業務で使用させる場合に、セキュリティソフトをインストールさせる必要があります。

特に、私用の端末の場合、業務外で使用する際に感染するおそれもあるため、セキュリティソフトのインストールは必須です。

ただし、セキュリティソフトを導入するだけでは不十分です。マルウェアによる攻撃方法も日進月歩であり、日々新たな攻撃方法が生み出されています。それに対応できるようにセキュリティソフトを更新するように指導することも重要となります。

社内情報管理規程の整備・運用

社内の情報管理規定を整備することも重要です。

就業規則に情報媒体の取り扱いについて明記し、周知徹底することで、従業員の過失によるマルウェア感染のリスクを低減できます。

上記の対策を講じる上で、法律事務所が提供できるサポートは以下のとおりです。

情報管理規程・PC使用規則の整備支援

情報管理規則やPC使用規則を、法律家の観点から作成することが可能です。

特に、労働法分野との関係で従業員に過大な負担を課すことはできないと考えられるため、弁護士による詳細な検討が必要になります。

ソフトウェア使用に関する誓約書作成

法的に有効な誓約書を作成するためには、弁護士のサポートが不可欠です。

被害発生時の対外対応(通知・謝罪・警察対応)支援

万が一インシデントが発生した場合は、初動が肝要です。

初動を誤ると、信用も失墜し企業が甚大な損害を被るおそれがあります。インシデント発生時に弁護士が的確なアドバイスを行うことで、企業の損失を最小限に抑えることが期待できます。

損害賠償リスクへの法的アドバイス・交渉対応

インシデントが発生した場合、取引先や従業員との間で損害賠償リスクが発生する可能性が高いです。

損害賠償についての交渉や訴訟対応は、弁護士が最も得意とする分野であり、弁護士により企業の利益を最大化することが期待できます。

まとめ:IT管理体制の「甘さ」が企業の命取りに

マルウェアは一見すると「自分たちとは関係ない」と思いがちですが、実際には従業員の一人の行動が入口になります。

中小企業であっても、少人数であっても、最低限のルール整備と従業員教育、そして法的対応を視野に入れておくことが重要です。

「専門部署がない」「詳しい人がいない」企業こそ、外部の法律事務所に予防段階から相談しておくことで、大きな被害を未然に防ぐことができます。

よくあるご質問(FAQ)

Q:社内のパソコンがウイルスに感染したかもしれません。どう対処すればよいですか?

まずは、担当部署や責任者に報告しましょう。感染拡大を防ぐべく、1秒でも早く報告をするべきです。

次に、感染した端末を社内のネットワークから隔離しましょう。これにより、他の端末への感染拡大を防止できます。

そして、感染原因等の調査をすることになります。この際に、外部のITベンダー業者と連携して調査を進めていけば、迅速かつ的確に原因究明を図ることが期待できます。故意の外部からの攻撃と分かれば、都道府県警察のサイバー担当に報告し、取引先との賠償問題となれば弁護士へ相談すべきです。

Q:自社のPCが原因で取引先にマルウェアが広がった場合、当社に責任はありますか?

取引先との契約書に「管理体制の構築義務」が明記されていて、それを怠っていた場合は、損害賠償義務を負う可能性はあります。

また、管理体制を構築してはいたものの、実際にそれが十分機能していなかったり、日々進化するサイバー攻撃に対応する予防策をアップデートしてなかったりした場合にも、損害賠償義務を負う可能性はあります。

損害賠償義務を負う可能性を最小限にするために、損害賠償責任を制限・免責する契約条項を設けることも可能ですが、安易に設けると無効となる可能性もあります。損害賠償問題については、弁護士へのご相談をおすすめします。

Q:社内に専門担当がいなくてもできるセキュリティ対策は?

マルウェアの感染源とならないように不要なソフトは禁止する、怪しいメールは自己判断で開かずに上司に報告する等、社内に専門担当がいなくともできることは多いです。

他にも、従業員が故意に顧客リスト等の機密情報を持ち出さないように、誓約書を活用したり、情報セキュリティポリシー等管理規定を整備することも考えられます。これらは従業員に関することなので、労働法分野の知識が不可欠なので、弁護士の支援を受けて整備すべきです。

Q:弁護士に相談するとどんなサポートが受けられますか?

マルウェアの感染を予防する管理体制の構築や、万が一マルウェアに感染しインシデントが発生した際の法的サポートを受けることができます。

前者の予防段階では、社内規定の整備や従業員の管理教育・不正防止体制を整えるために各種書式のご提供や研修のサポートを行うことができます。後者の事故対応では、顧客や取引先との賠償問題で、代理人として交渉対応・訴訟対応を行うことができます。

顧問契約を前提としたご相談でなくても問題ありません。「こんなことを相談してもいいのか」「相談したいけど費用が」という中小企業様も、まずはお気軽にお電話でご相談ください。専門の弁護士が対応いたします。

あわせて読みたい関連記事

情報セキュリティのコラムをもっと読む

※内容によってはご相談をお受けできない場合がありますので、ご了承ください。