japan.internet.com
テクノロジー2010年6月23日 16:40
文字サイズ文字サイズ小文字サイズ中文字サイズ大

コンピュータウイルスの種類【コンピュータウイルスとは:後編】

この記事のURLhttp://japan.internet.com/webtech/20100623/6.html
著者:japan.internet.com 編集部
国内internet.com発の記事
現在、コンピュータウイルスは1.5秒に1つ(出典:2009年 AV-Test 提供データに基づきトレンドマイクロ算出)という驚異的なスピードで発生している。本記事では、コンピュータウイルスの脅威を紹介する。

● コンピュータウイルスの種類

ウイルス・不正プログラムには、様々な種類がある。ワーム、トロイの木馬、スパイウェア、バックドア、ボット、ルートキット、キーロガー、ダウンローダーといった名称を聞いたことのある方も多いだろう。

ウイルスを分類する際にはいくつかの方法がある。他者への感染活動の有無や感染の手法で分ける、感染後の活動で分ける、ファイルの種類で分ける、実行できるプラットフォームで分ける、など分類の常として無数の考え方があるものだ。ここでは、トレンドマイクロによる分類の考え方に沿って解説していこう。

まず、対象の不正プログラムがファイルに感染するか否か、を第一の分岐とする。不正プログラムには、他のファイルにコードを追記・上書きし、そのファイルが実行された際に、自身の不正コードを実行させるタイプのものがあり、これを一般にファイル感染型と呼ぶ。いわゆる狭義のウイルスがこれにあたる。

一方、他のファイルに感染しないタイプは、不正プログラムのファイル単体で活動可能であり、活動を開始するためにはそのファイル自身が実行される必要がある。

第二に、ファイル単体で活動するものの中で、自己増殖を行うか否かが次の分岐である。自己増殖を行わないものをトロイの木馬、自己増殖するものをワームと呼ぶ。

大きな分類としては以上のファイル感染型、トロイの木馬型、ワーム型の3種類となる。これはトレンドマイクロの分類方法であるが、言い換えるとセキュリティソフトが不正プログラムを検出・駆除するためのロジックに沿った考え方である。

ある身元不明なファイルを不正か否かを判断する際に、他ファイルへの書き込みや自己増殖などの感染活動を確認することはもちろん、より重要なことは検出した後の対処が不正プログラムのタイプで大きく異なるからである。

ファイル感染型の場合には、感染ファイルから不正コードを取り除く処理が必要となる一方で、トロイの木馬型やワーム型は該当のファイルそのものを削除することになり、対処の仕方が全く異なるのである。従って、対象の不正プログラムがファイル感染を行うか否かは、対処を前提とした場合に最も重要な分類となるのである。

ウイルスの分類
ウイルスの分類
その他の分類名である、スパイウェアやバックドアは上記の感染活動そのものに焦点を当てた分類とは異なり、感染活動以外の動きに着目したものと言えるだろう。概ねトロイの木馬型に分類される不正プログラムの中で、情報漏えい活動を行うものをスパイウェア、バックドアを仕掛けるものをバックドア、ルートキット機能で自身を隠ぺいするものをルートキット、といった具合だ。

ではここからは具体的に各々のウイルスがどのような特徴を持っているかを紹介していこう。

● ファイル感染型(狭義のウイルス)

ファイル感染型(狭義のウイルス)は他のプログラムに寄生する。寄生方法は大きくわけて「上書き感染型」と「追記感染型」が存在する。通常のファイルをヘッダー、プログラムの2つで構成されているとすると、上書き感染型のウイルスは元のファイルを上書きしてしまうために、元のファイルを実行することはできない。一方、追記感染型のウイルスは元のファイルにウイルスのコードを追記するため、元のファイルは実行できるが、ウイルスも実行される。

ファイル感染型がコンピュータで発見された場合には対処に注意が必要だ。上書き感染型の場合、元のデータが不正プログラムにより上書きされてしまっているため元に戻すことが事実上できない。

企業などでは、予め重要なデータは感染リスクの低い場所にバックアップを取っておくことが肝要である。また、ファイル感染型の感染対象はコンピュータではなくファイル一つひとつであるため、1台のコンピュータで数百件の感染ファイルが発見される例もまま見受けられる。

特にファイルサーバなど不特定多数がアクセスできる場所でファイル感染型が発症してしまうと、そこにアクセスするコンピュータ上でも連鎖的に同様のファイル感染が発生し、非常に面倒な事態に陥ってしまうのだ。

ウイルス(狭義のウイルス)の感染パターン
ウイルス(狭義のウイルス)の感染パターン
*クリックして拡大
● ワーム

「ワーム」はファイル単体で活動可能で自己増殖する不正プログラムだ。不正プログラムのファイルそのものを、他のコンピュータにコピーしていく様子が感染と呼ばれ、前述のファイル感染型の感染と言葉は同じでも実際のコンピュータ上の動きは違う。

特定のファイルをあるコンピュータから別のコンピュータにコピーする際には、いくつかの方法がある。最もポピュラーなのはメールにファイルを添付して送る方法だ。

不正プログラムの場合には、不正プログラムが感染したコンピュータ内のメールアドレスを収集し、それらを宛先に勝手に自身のコピーを添付したメールを大量配信するやり方である。2000年に全世界で流行したラブレターウイルス(VBS_LOVELETTER)はこの典型である。

また、OS やアプリケーションの脆弱性を悪用して不正にコピーを広げる方法も一般的だ。感染したコンピュータから、同一ネットワーク上で該当の脆弱性のあるコンピュータを探し、穴があればそこにコピーを送り込む仕組みである。2003年のブラスター(WORM_MSBLAST)が有名どころである。

他にもコンピュータのログインID・パスワードによって不正にコピーを送り込む方法や、USB メモリなどを経由して感染するものもワームの1種である。

「ワーム」に感染したコンピュータが1台でも企業内に存在すると、ネットワーク内のコンピュータに対してぜい弱性を悪用した攻撃などを用いて感染を広げる。近年も企業内の500台のコンピュータ全てに「ワーム」が感染してしまうという事例も実際に起きている。

ワームの感染活動
ワームの感染活動
*クリックして拡大
● トロイの木馬

「トロイの木馬」はファイル単体で動作可能であるが、自己増殖は行わない。一般的に「トロイの木馬」は、有益なソフトウェアやツールと偽って感染させる。例えば、ゲームのソフトであったり、動画を編集するためのツールと偽ったりなどだ。

しかし、実際「トロイの木馬」に感染すると、裏でコンピュータに保存されている個人情報を盗んだり、悪意のある攻撃者が感染したコンピュータに侵入するための裏口を作ったりなどする。

主にトロイの木馬に分類される不正プログラムの中で、感染以外の活動で特徴的な機能を持つものは以下の名称で分類されることがある。

トロイの木馬の感染活動
トロイの木馬の感染活動
*クリックして拡大
● その他

・スパイウェア
感染したコンピュータ内の情報を盗みだす。メールアドレスのリストやWebの閲覧履歴などをコンピュータ内で収集し、外部に送信してしまう。ただし、必ずしも不正と断定できないケースもある。プログラムの作成元が明確であったり、事前に許諾を得てインストールされる例もある。広告を表示するアドウェアも、同様の観点からグレーゾーンのソフトウェアとしてスパイウェアに分類されることがある。

・バックドア
コンピュータの裏口を作るウイルスで、裏口(バックドア)を作られたコンピュータは外部の攻撃者から侵入されてしまう。侵入されたコンピュータは攻撃者の思いのままに操られてしまう。

・ボット
ボットに感染してしまったPCをゾンビPCなどという。ボットに感染することで、特定のサーバへのDos(サービス不能)攻撃などに悪用されてしまう。企業のPCがボットに感染することで、スパムメールをユーザや他の企業に送ってしまい、信用失墜してしまうなどの恐れがある。自己増殖のワーム機能を持つ例も多く、その場合にはワームに分類される。

・ルートキット
ウイルスに感染したことを巧妙に隠すプログラムで、通常のプログラムが実行されている場合にはプロセスとしてタスクマネージャ等で確認できるが、ルートキットにより隠されたプロセスはWindows上からでは確認できないケースがある。

・キーロガー
感染したコンピュータで入力したIDやパスワードを詐取するようなウイルス。スパイウェアの1種とされることもあるが、キーロガーはキーボードに入力された情報を盗む。ソフトウェアキーボード(キーボードに直接入力せず、画面上のアルファベットなどを選択して入力するキーボード)を用いると盗まれない。(ただし、スパイウェアに感染している場合はソフトウェアキーボードを使用していても情報を盗まれることがある)

・デマウイルス(HOAX)
嘘の情報のことをさす。例えば、セキュリティ企業などを偽ったメールで「最近○○というウイルスが流行っています。Cドライブ配下にある△△というファイルが存在する場合はウイルスに感染している恐れがあるため、削除して下さい。」などの情報が記載されている。該当のファイルは、実はWindowsの起動に必要なファイルで、削除するとPCが起動しなくなるなどの問題が起こることもある。

・ダウンローダー
外部の不正なWebサイトなどに接続して、別のウイルスをダウンロードしてくるウイルス。ダウンローダーに感染してしまうと連鎖的に様々なウイルスをダウンロードされ感染してしまう可能性がある。

不正プログラムの分類と種類を解説してきたが、敵を知ることがセキュリティ対策の第一歩となる。特に「ウイルス(狭義のウイルス)」「ワーム」「トロイの木馬」の違いを覚えておくと、万一の際に対処する上でも一助となるだろう。
記事提供:トレンドマイクロ株式会社
japan.internet.comのウエブサイトの内容は全て、国際法、日本国内法の定める著作権法並びに商標法の規定によって保護されており、その知的財産権、著作権、商標の所有者はインターネットコム株式会社、インターネットコム株式会社の関連会社または第三者にあたる権利者となっています。
本サイトの全てのコンテンツ、テキスト、グラフィック、写真、表、グラフ、音声、動画などに関して、その一部または全部を、japan.internet.comの許諾なしに、変更、複製、再出版、アップロード、掲示、転送、配布、さらには、社内LAN、メーリングリストなどにおいて共有することはできません。
ただし、コンテンツの著作権又は所有権情報を変更あるいは削除せず、利用者自身の個人的かつ非商業的な利用目的に限ってのみ、本サイトのコンテンツをプリント、ダウンロードすることは認められています。
Copyright 2012 internet.com K.K. (Japan) All Rights Reserved.