 |
|
コンピュータに侵入し、様々な悪事を働くプログラム。それが、コンピュータウイルスです。
風邪の病原菌が人から人へうつるようにコンピュータからコンピュータへ感染して広まり、様々な破壊的な症状をもたらすことから、ウイルス(病原菌)と呼ばれるようになりました。
【製造の目的】
ウイルスも他の便利なプログラムと同様に、人が作りだしたものであることは重要な意味を持ちます。目的があって人為的に製造されているのです。
ウイルスは、感染した人にはなんのメリットもなく、知的財産であるプログラムやデータが失われる危険なプログラムです。
なぜ人はウイルスを製造したのでしょうか?
初めてのウイルスは、イスラエルで作られたと聞きます。あるプログラマーが自分のプログラムをコピーされて使われるという行為に怒り、そのプログラムの中に正規のユーザー以外が使用した時に破壊活動を行うプログラムを組み込んだことが、発端とされています。
しかし、そのプログラムがウイルスとして感染して広まったわけではありません。
その後、この破壊活動に着目し、任意のまたは無作為に選んだプログラムに寄生するものが作られてウイルスと呼ばれるようになったのです。
ウイルスは忍者のようなものです。作者の意図に従って、侵入し、潜伏し、破壊工作をします。ウイルスの作者はそれを楽しんでいるのです。ある意味、技術を競うゲームとして作られたり、手軽なツールを使って悪戯目的で作られます。
【ウイルスの定義】
ウイルスの基本的な活動は、感染、潜伏、発病の3つが順に行われます。
コンピュータに感染し、潜伏しながら更なる感染を行い、時機を待って発病します。
そして、その多くが発病によって破壊的な活動をしてコンピュータの利用者に被害をもたらします。
3つの行程を詳しく見ていきましょう。
(1.感染)
ウイルスがディスク上またはファイルに寄生した状態が感染です。
多くのウイルスはディスクやファイルに寄生して感染します。ウイルスもプログラムですから、ディスク内にあるだけでは活動はできません。
ウイルスは、コンピュータ(感染したディスク)が起動した時、または、感染したファイルを起動したときにプログラムとして活動を行います。
(2.潜伏)
この状態の説明は少し難しいのですが、感染から発病の間の状態です。この時点も感染や発病と呼ばれることがありますが、明らかに感染した時点から発病するまでに経過期間がありますので、これが潜伏期間となります。
潜伏している間に、活動をしたウイルスは他のディスクやファイルに感染を繰り返します。
感染したコンピュータ(潜伏中)では、常にウイルスのプログラムがメモリ内で活動した状態となって、感染と発病の機会をうかがっているのです。
(3.発病)
感染したコンピュータに悪質な症状をもたらせる破壊活動を行うのが発病です。
ウイルスによって、発病の条件は異なりますが、あらかじめ決められた条件で破壊活動を行うように作られています。
コンピュータの動きを停止させるもの、ディスク内のファイルを消すもの、ディスクをフォーマットしてしまうものなど、破壊活動は様々です。
【ワームの定義】
このウイルスに似たものにワーム(虫)という悪質プログラムがあります。ワームは単独のプログラムで、寄生を行わずに活動を行います。このような自己増殖をするのがワームの特徴です。
自己増殖は、感染した(ワームが活動している)コンピュータから、ネットワークで接続された他の稼働中のコンピュータへの侵入として行われます。先方のディスクに自身のコピーを写しておいて、そのコンピュータの起動時に活動できるようにディスク情報を書き換えます。先方からのファイル要求時に、ワームを送りつけて読み込ませるものもあります。
ワームは破壊活動をするものとしないものがあり、このような侵入の手口する悪質プログラムをワームと呼んでいるのです。
【ワクチンプログラム】
ウイルスやワームの製造には高度な技術が必要です。ウイルス作者はその技術を試したり誇示するために、これらを利用して騒ぎを起こします。
インターネットの利用が広まるにつれ、ウイルスも全世界に短時間で感染して広まります。Webやメールを通じて、無数のウイルスが氾濫しており、私たちは常に感染の危険にさらされているのです。
そこで、私たちがウイルスに対抗する手段として作られているのが、ワクチンプログラムです。
ウイルスやワームは、その活動内容から名前を付けて分類されており、対応したワクチンプログラムによって退治することが出来ます。
現在ではワクチン専門のメーカーがあります。更には、感染を事前に防いだり、潜伏したウイルスを退治したり、発病を感知して警告する総合的なセキュリティ製品が販売されています。
ウイルス等は、新種として広まるものだけでなく、誰かが故意に改造した亜種もあります。亜種にはワクチンを回避するためのものや、悪質な機能を強化したものなどあります。
ワクチンもそのような多種多彩な悪質プログラムに対応するため日々製造と改良が行われています。
あなたが病気の発信源とならないためにも、ワクチンプログラムを正しく使用することも重要です。
ウイルスには様々な目的があります。これらは人の作ったものですから、ウイルスの作者が目的を定めてプログラムを作っています。ここでは、ワームなど悪質プログラム全般を含んで解説します。
その目的も悪戯程度のものから、深刻な破壊活動をもたらすものまであります。画面の表示を狂わせたり、ファイルを改変したり、コンピュータを起動できなくしたり、ディスクの中身を消し去ったり、個人情報を盗むものまであるのです。
まず、悪質プログラムをファイルの形式で3つの種類に分けて見ましょう。
【ファイル寄生型】
通常ウイルスと呼ばれる悪質プログラム。
ディスクや他のファイルに感染し、それらが起動すると同時にウイルスも呼び出されて活動を開始します。ファイルの種類を偽装して、画像ファイルの中にウイルスが入っている場合もありますので、実行ファイル以外のファイルでも危険性があります。
【実行ファイル型】
ウイルス自体が1つの独立したファイルになっていて、そのファイルを起動することで破壊活動を行います。
起動と同時に破壊活動を行うものや直ぐには発病しないものもあります。
ワームのように自己増殖するものも形としては単独の実行ファイル型です。
また、他のプログラム(ゲームなど)に偽装されているものもあり、このようなものは「トロイの木馬」と呼ばれます。トロイの木馬は偽装により配布されますので、感染活動を必要としません。
【マクロウイルス】
マクロとは、アプリケーションソフトに組み込まれたプログラム機能です。プログラムは書類ファイル内に記述されていますが、その書類に対応したアプリケーションでないとそのプログラムを動かすことができません。
例えば、マイクロソフトの「Word」や「Excel」にマクロ機能が備わっています。作業を簡便化するためにこのマクロを使用するのですが、これを悪用したものがマクロウイルスです。
多くのマクロウイルスは書類ファイルを開いたと同時に活動を初め、他のコンピュータへ感染活動を行ったり、発病します。
ウイルスは潜伏期間中に感染して、一定の条件によって攻撃を開始します。この攻撃のきっかけにはいくつかパターンがありますので、代表的なものを見てみましょう。
【即時実行型】
最初の起動時に攻撃を行います。ワームやスパイウイルスがこのようなタイプです。攻撃と言っても、表面に現れないことも多く、潜入(常駐)して継続的に悪質行為を行うことがあります。例えば、メールをまき散らしたり、ユーザーの行動を監視したり、パスワードを盗むことを目的としている場合です。
【時限爆弾型】
感染したコンピュータの内臓時計を調べて、決められた日や時間によって攻撃を行います。毎月決まった日に活動したり、曜日によって活動するもの、一定時間経過後に攻撃を開始するものなどあります。
このようなタイプはその特定の日にちや時間が分かれば、その時間にコンピュータを使わないようにしたり、コンピュータの内蔵時計を一時的に狂わせることで攻撃を回避することができます。
例えば、クリスマスウイルスは12月25日に攻撃を行うウイルスのことを指します。
【カウントダウン型】
ウイルスを含んだプログラムが一定回数使用されると攻撃を行います。また、コンピュータを起動した回数を数えるタイプもあります。
ウイルスの活動パターンの主なものを見てみましょう。これらがウイルスの最終目標と言えます。ウイルスの機能は千差万別で、複数の機能を兼ね備えた複合型が増加しています。
【破壊活動】
潜伏しているコンピュータ内で行われる活動で、以下のものがあります。
- コンピュータが起動できないように、ディスクに細工をする
- 特定のファイルなど一部または全部のファイルを削除する
- ディスクを初期化してしまう
【スパイ活動】
侵入したコンピュータの中から個人情報やパスワードを盗みます。
盗まれた情報は、ディスクの中に記録されて、ディスクにコピーされて持ち出されたり、メール送信を使って外部へ流出させることもあります。
盗まれる情報・手法には以下のものがあります。
- メールソフトやデータベースからコンピュータの利用者や関係者の個人情報を盗み出す
- キーボードの入力やマウスの入力の記録を残すことで、利用者の行動を監視したり、作製した文書の内容を把握したり、パスワードの入力を突き止める
【メール送信】
感染したコンピュータの中から、メールアドレスを盗み出し、これを利用してウイルスを添付したメールを送信します。
自動的にメール送信することから、あなたが知らない間に行われます。そして、あなたの知り合いにメールが送られるため、相手が警戒心なくウイルスに感染する危険性が高いのが特徴です。
送り主を詐称するタイプもあり、送信者の名前とメールアドレスを盗み出したリストから無作為に選ぶため、誰がメールの送り主か分からなくなり、発信源が分かり難くなるのです。
マクロウイルスからこの機能が使われるようになり、多くのウイルス・ワームがこの機能を増殖に利用するようになりました。
【バッファオーバーフロー攻撃】
サーバープログラムは、クライアント(利用者)の要望に対して返信をするのが仕事です。例えば、Webであれば、ブラウザでクリックしたりURLを入力することでサーバーにページの要求を行い、サーバーは要求されたページを送ってくれます。
このように外部からのリクエスト(要求)を受け付けるプログラムは、1つ1つのリクエストを順に処理していきます。しかし、1つのリクエストのサイズが決まっていて、大きなリクエストは処理できないことがあります。これがバッファオーバーフローです。
バッファオーバーフローに対して、適正な処理ができないプログラムの不備を悪用するのバッファオーバーフロー攻撃です。
不正に過大なリクエストを送りつけることで、プログラムの機能を停止させたり、リクエストに含ませたプログラムを実行させることができます。
不正プログラムの侵入が行われると、新たな攻撃にそのプログラムが利用されます。ワームが増殖するための侵入の手口でもあります。
【DoS攻撃】
サーバープログラムは、クライアント(利用者)の要望に対して返信をするのが仕事です。例えば、Webであれば、ブラウザでクリックしたりURLを入力することでサーバーにページの要求を行い、サーバーは要求されたページを送ってくれます。
このリクエスト(要求)が余りにも多くなるとサーバーは全ての要求に応えきれなくなり、全ての利用者に適切なサービスを提供できなくなります。このような状況を故意に作り出すために、サーバーへ過度なリクエストを送りつけるのがサービス拒否攻撃(DoS攻撃)です。
ワームを利用して、事前に複数のクライアントやサーバーに侵入し、複数のコンピュータから大量のリクエストを送る手法を分散型サービス拒否攻撃(DDoS攻撃)と呼んでいます。こちらの場合、ワームが自動的に攻撃するコンピュータに侵入するため、発信源(ワームの作者)の特定が難しくなります。
【リモートコントロール】
侵入したコンピュータの支配権を略奪する行為がリモートコントロールです。
ワームのように侵入したプログラムがそこを拠点に感染を広げたり、DoS攻撃を行う場合もあります。本当の利用者が操作できなくなって、侵入者の思うままにコンピュータが動くのです。
外部からの侵入を手助けするためセキュリティ機能をオフにしたり、侵入専用の経路を作って、不特定多数の悪質な利用者を受け入れることもあります。
リモートコントロールされたり、セキュリティ機能が解除されたコンピュータは、次の攻撃への「踏み台」として更に別のコンピュータを攻撃するために利用されます。
【データを人質に金銭を要求】
個人や企業のPCに感染し、金銭を要求します。
PC内のデータを暗号化して使用できなくしてしまい、解除するために金銭を支払わせるための請求を画面に表示します。
高額の金銭を要求するタイプだけでなく、成功率を高めるために少額を集めようとするタイプもあります。
企業のサーバやPCに感染して業務を混乱に陥れるタイプもあり、顧客のために要求をのむ企業もあるようです。
ウイルスは常に進化をしています。1つのウイルスが広まると、そのウイルスの改良型である亜種が登場します。そして、次にはそのウイルスを上回る悪質なウイルスが発生するという状況です。
そんなウイルスにも歴史的な発展があります。実際に世間を騒がせたウイルスから、その脅威の教訓を学ぶことができるでしょう。
【メリッサ/Melissa】
メールを悪用した初のマクロウイルスです。 Wordの文書としてメールに添付されて広まりました。その感染速度があまりにも速くて世界中が驚かされました。
メールを使っての感染が簡単にできることが証明され、インターネットにおけるウイルス感染の基本的な手法として確立されることになりました。
【コードレッド/Code Red】
コードレッドはWebサーバーの欠陥(セキュリティホール)を利用して侵入をするワームです。最終目的はホワイトハウスのサーバーに対するDDoS攻撃で、決まった日に一斉に侵入したサーバーを踏み台にして攻撃をするというものでした。
【サーカム/SirCam】
スパイウイルスとも呼ばれ、コードレッドと同時に発生したウイルスです。侵入したコンピュータの中からWordやExcelの文書ファイルを取り出して、これにウイルスを感染させてメールを送信します。これにより内部文書が外部に漏れるということが起こったのです。また、マクロウイルスとは違って、ファイルを開いてもウイルスの活動に気づかないようにもできていました。また、潜伏先もWindowsのゴミ箱の中で、ワクチンソフトのウイルススキャンからも逃れるようになっています。
攻撃方法は2つあり、感染コンピュータ内に多量のファイルを作製してディスクを溢れさせたり、ディスク内のファイルを全て消去します。
【ニムダ/Nimda】
これまでのウイルスの能力を取り込んで複雑な仕組みをもったウイルスです。これまでのワームのようにサーバーに侵入を繰り返すだけでなく、ユーザーのパソコン(クライアント)にも侵入します。メールを使っても感染を広げることができます。 また、接続されたLAN内にも感染して広まります。
サーバーやクライアントから次の侵入先を探さがすため、多くの感染コンピュータがスキャンを行って回線やサーバーを混雑させて不安定にさせました。実際に破壊活動は行いませんでした。
しかし、ニムダの感染力は非常に高く、有無を言わさぬものでした。感染したサーバーのホームページをIEで見るだけでクライアントに感染します。また、メールを使ってウイルスを送りつけた場合、添付ファイルを開かずにプレビューするだけで感染するというものでした。どちらもIEとOutlook Expressのバグ(不具合)を利用したものでした。 これら基本ソフトのバグを狙われたため、ユーザーはもちろん、ワクチンソフトでも対応ができなかったのです。
メールを使用して広がる時に、送信者を偽る機能(詐称)を最初に身につけていたウイルスでもあります。メールを送っていない(感染していない)人が加害者と見なされるという混乱を生み出しました。
【ワナクライ/WannaCry】
新種のランサムウェアで、ユーザーのデータを暗号化して利用できないようにした上で、電子通貨での支払いを要求するウイルスです。
Windowsの脆弱性をついて、メールの添付ファイルとして拡散される。サポート終了したWindowsでは脆弱性が放置されており、LANやUSBメモリを経由しても拡散してしまい、被害が短時間で拡大した。
2017年5月、世界中で実害が発生し、英国では病院のシステムが停止してしまい、日本国内でも大手企業が業務停止に追い込まれた。
【グレーウェア/Grayware】
これはウイルスの名前ではありません。今後、増えると予想されている違法性の高いプログラムの総称です。
どういうことかというと、プログラムを利用する際に、使用許諾契約というのがあります。一般的にこの契約条文を読む人はいないと言われています。しかし、プログラムを利用するために契約を了解する人が多いことに目を付け、条文の中に個人情報の収集を許可するという項目を入れるという方法で、合法的でありながら無断で個人情報を集めるのです。
このように、アプリケーションプログラムの機能を実現するためであったり、単に副収入として個人情報を利用者のパソコンから収集しするという動作はスパイウェアそのものです。しかし、事前に使用許諾契約を使ってスパイ活動を了解させるという手法は大いに問題です。技術的に高度なウイルスとは違い簡単にできてしまいますし、誰もが契約内容を知らないままその活動を許してしまうのです。
そのため、既存のセキュリティプログラムでは対処できないため、問題が表面化するにも時間がかかり、法規制も難しく、使用しない以外に対処の方法はないのが現状です。【マルウェア/Malware】
悪意を持って作られたプログラムの総称。malicious softwareの省略形。
ウイルスやスパイウェアなど、当サイトでは不正プログラムと呼んでいる。【スパイウェア/Spyware】
不正侵入を行い、パソコンから利用者の情報を盗み出すことを目的としている。
パソコン内のファイルを流出させるだけではなく、利用者のキー入力を記録(キーロガー)したり、使用中の画面を掲示板に貼り付けるものもある。 個人情報や財産を扱うWEBサービスのパスワードを盗んで、詐欺やなりすましという行為に利用される。また、特定のサーバーに盗んだデータを記録して公開してしまったり、他のウイルスを招き入れてパソコンをリモートコントロールできる状態にしてしまうものもある。【アドウェア/Adware】
広告を表示することを目的としたプログラムで、ただちに不正プログラムを差すわけではない。
通常のアドウェアは、有益なサービスを提供する代わりに、ユーザーに広告を見てもらうというもの。しかし、中には広告に関することを伏せておいて、突然広告を表示したり、ブックマークなどを書き換えてしまうものもある。更に最悪な物は、広告を表示することは了解していても、ユーザー情報を不正に集めるスパイウェアとして機能するものがある。
また、WEBページに仕掛けて、強制的に広告を表示したり、ダウンロードを強要するタイプもある。
【ランサムウェア/Ransomware】
2005年5月、スパイウェアに感染したという警告を画面に表示し、駆除ソフトを押し売りしようとする不正プログラムが登場します。
その後、犯罪組織の資金源にも利用され、感染した内のファイルを勝手に暗号化して、これを解除するために金銭を要求します。
企業の顧客データを狙ったり、業務を続けられない状況に陥れて、高額の金銭を要求するタイプ。逆に、個人や企業のPCをターゲットに少額を要求することで成功率を高めようとするタイプもあります。
ウイルス情報を提供するサイトには、公的なセキュリティ情報機関やワクチンソフトメーカーがあります。
【公的機関】
IPAセキュリティセンター
【メーカー】
トレンドマイクロ…「ウイルスバスター」のメーカー
シマンテック …「Norton AntiVirus」のメーカー
日本ネットワークアソシエイツ…「McAfee」のメーカー。ウイルス画像事典を提供。
マイクロソフト・セキュリティ