演演 Ⅱ 演演演演 3 演演 演 演演演演 演演演演演演演演演演
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
演習Ⅱレポート
木曜日第 3 時限
旭 貴朗先生
コンピュータウイルス
締切日 2015 年 1 月 15 日
提出日 2015 年 1 月 15 日
所 属 経営学部
会計ファイナンス学科 3 年
氏 名 ASIMO
目次
はじめに
1 ウイルスの歴史
2 ウイルスの分類
(1) 広義のウイルスから分ける
(2) 狭義のウイルスから分ける
3 ウイルス名に関して
4 その他脅威
5 ユーザーが行う対策
おわりに
はじめに
このレポートは主に Windows のコンピュータウイルスについて紹介することを目的
とする。パソコンを使う上で脅威の一つとして今でもパソコンを買う際にウイルス対策
ソフトの導入が推奨されている。しかし、コンピュータウイルスをまったくといってい
いほど筆者は知らないことが多いと感じ、このテーマを取り上げた。また、Net Applications による 2014 年 9 月のデスクトップ OS シェアの調査では、Windows が
92%を占め、クラッカーが標的にしやすいと考え、今回は Windows を対象としたコン
ピュータウイルスを取り上げる。
なお、このレポート内では「ハッカー」を「クラッカー」と表記する。「ハッカー」
とは本来、コンピュータ技術に精通した人々に対する尊称であるため、「悪意を持って
他人のコンピュータのデータやプログラムを盗み見る、または改ざん・破壊などを行う
者」を「ハッカー」と呼ぶのはおかしいという主張があると知った著者がその意見に賛
同したためである。
第 1 節ではウイルスの歴史について解説を行う。第 2 節ではウイルスの分類について、
第 3 節ではウイルス名に関して説明する。第 4 節ではその他脅威としてアカウント乗っ
取りについて事例を踏まえつつ解説していく。第 5 節ではユーザが行う対策を説明する。
そしておわりにではレポートの執筆内容についてまとめを行う。
1 コンピュータウイルスの歴史
表 1 コンピュータウイルスの歴史
1972 年 SF 小説で初めてコンピュータウイルスの概念が登場
81 年 「コンピュータウイルス」という言葉が、レオナルド・M・アドルマン
(Leonard M.Adleman)教授(セキュリティ技術 RSA の開発者の 1 人、
「A」にあたる人物)によって、フレッド・コーヘン(Fred Cohen) との議
論で使用される
82 年 初の「ItW」(In the Wild、野生、つまり実験室の外で使われた)ウイルス
として、エルク・クローナー(Elk Cloner)という名のウイルス(作成者は
クローン型プログラムと呼んでいた)が登場
ゼロックスのアルト研究所(Alto Research Centre)では、ヨン・ヘップス
(Jon Hepps)とジョン・ショック(John Shock)が最初のワームをプログ
ラムする
1 / 44
83 年 AppleDOS3.3 下のみで活動する、アップル II コンピュータをターゲット
とした初のウイルス Elk Cloner が、小規模なユーザーサークル内でフロッ
ピーディスクを介して感染。バグのためにこのウイルスはプログラム破壊を
引き起こした。
11 月にフレッド・コーヘンがセミナーでウイルスの概念を初めて紹介。
コーヘンはわずか 8 時間で初のユニックスで動くウイルスを開発し、たった
数分間ですべてのコンピュータにアクセスした。
84 年 Fred Cohen 教授がウイルスに関する論文を発表。コンピュータ業界で「コン
ピュータウイルス」という言葉が初めて使われる
86 年 DOS オペレーティングシステムで稼動する初のブートセクタウイルスが開発
された
ラルフ・バーガー(Ralf Burger)が、ハンブルクのケイオス・コンピュータ
クラブのフォーラムでビルデン(Virdem)という最初のファイルウイルスを
紹介した
最初のトロイの木馬である PC ライト(Write)登場
87 年 アンチウイルスソフトが初めて開発された
最初のマッキントッシュウイルスが nVir と Peace のフォーラムで紹介され
た
暗号化アルゴリズムを使用した初のウイルス、カスケイド(Casacade)が
発生
ブートセクタを感染させ、断続的にメッセージを表示する、アミーガをター
ゲットとした初のウイルスが登場
88 年 5 月 13 日金曜日に、エルサレムで初の電子爆弾が爆発(実際には時限爆弾)最初のウイルス作成キットがアタリ ST向けに作られる
国内では、NEC のパソコンネット PC-VAN の BBS 経由で送られたメールに
ウイルスが添付されて感染し、はじめて公式にウイルス感染が報告される
90 年 V2Px、Virus-90 および Virus-101 という、最初の多形性ウイルスが米国
で発見
ドイツのウイルス愛好家団体が DOS 用の初のウイルス作成キットを配布
し、アマチュアでもカスタムウイルスを作成できるようになる
ウイルス・スキャンを逃れる世界初のミューテーション・ウイルスが登場
91 年 ウイルス総数が 1,000種を超える
初の多形性ウイルステキーラ(Tequila)の発生
92 年 ウィンドウズOS の最初のウイルス、ウィンフィール(WinVir)1.4 が登
場。
2 / 44
3 / 44
93 年 脆弱性がオープンな話題となる
「BugTraq(バグトラック掲示板)」にて、管理者、セキュリティ専門家、
攻撃者が脆弱性と悪用コードの情報を交換
新しい多形性ウイルス作成ツールキットが公開される
きわめて単純なウイルススキャナが MS-DOS 6 に初めて採用される
94 年 IIJ が日本初のファイアウォールサービスを開始
95 年 アドウェア「Aureate(オーリエート)/Radiate(ラジエート)」の発生
マクロウイルスが登場
96 年 オンラインの広告会社、トラッキングクッキーを初めて使用
Windows 95 をターゲットとしたウイルス「Boza」が登場
英語およびドイツ語のマクロウイルスに対応した初のマクロジェネレータが
登場
エクセルファイルを感染させる初のマクロウイルス ラルー(Laroux)登場
97 年 Office 97 に感染するウイルスが登場
リナックス OS をターゲットとした初のウイルスが登場
ボット&ボットネット「Trinoo」の発生
最初の mIRC スクリプトが登場
98 年 Access や PowerPoint、Java に感染するストレンジ・ブリュ(Strange Brew)が登場
ハードウェアを壊す力があるウイルス「CIH」が登場
ウィンドウズ・スクリプティング・ホスト(WSH)を使用した最初のプログラ
ムラビット(VBS.Rabbit)の登場
99 年 メール機能を利用するして感染を広げるウイルスの先駆け的な存在の
「Happy99(Ska)」登場
最初のスクリプトウイルス「BubbleBoy」登場
大量メール送信型ワーム「Melissa」の発生
2000 年 「LOVELETTER」の登場でウイルスが社会現象になる
ボットを使った攻撃が本格化。アメリカの大手Web サイトが何時間も使用不
能に
9 月に、リバティ(Liberty)という PDA における最初のトロイの木馬がス
ウェーデンに出現
01 年 ホームページを見ただけで感染する「Nimda(ニムダ)」が登場
スパイウェア「Comet Curser(コメットカーソル)」の発生
7 月に SMTP エンジンを伴った最初のワーム、サーカム(SirCam)がネット
ワークとアウトルックエクスプレスを介して広まる。
4 / 44
5 / 44
02 年 おそらくボットネットを利用したスパム送信の増加が原因でスパムが激増
ボットが激増
5 月に、カザア(KaZaA)ネットワーク経由で広がる初のウイルスとして、
ベンジャミン(Benjamin)が登場
03 年 ブラウザ脆弱性を悪用した「ドライブバイダウンロード/インストール」の激
増
独自のメールエンジンを使用したソービッグ(Sobig.F)というメール大
量送信ワームが、これまでのワームの 10倍の速度で感染し、スピード記録
を樹立
04 年 64ビットのウィンドウズをターゲットとした初のウイルス、ルグラット
(Rugrat)登場
シンビアン(Symbian)OS とブルートゥースのインターフェイスを搭載
した携帯電話をターゲットとする初のウイルスキャビア(Cabir)登場
ウィンドウズCE をターゲットとした初の実験型ウイルスであるダスト
(WinCE4Dust.A)公開
05 年 報酬を伴う脆弱性研究がスタート。攻撃側、防御側ともに脆弱性情報を買う
ようになる。
日本の大手レコード会社の著作権保護技術や、「Elitebar(エリート
バー)」など、ルートキットを使うマルウェアの増加
未知の脆弱性をアクティブに悪用してアドウェア、スパイウェアボット、ク
ライムウェアをインストールする WMF が発生
MMS を通してシンビアンスマートフォンの最初のワーム、コムウォーリ
アー(CommWarrior.A)登場
06 年 オンラインゲーム内の仮想通貨やアイテムを実貨幣と交換する市場「RMT(リアルマネートレード)」の成長を背景に、オンラインゲームのアカウン
ト奪取を目的としたウイルスが多発
9 月に 4件ものゼロデイ脆弱性が検出、最高の検出数となる。
07 年 ユーザの PC にウイルスを侵入させる攻撃ツール「MPack」が流通。スキル
がなくてもネット詐欺を仕掛けることができるようになり、「オンライン詐
欺の闇市場化」が進む
09 年 ブラウザや PDF ファイルを開くアプリケーションなど、普及率の高いものの
脆弱性を悪用したウェブ攻撃が多発
「Hydraq Trojan」の攻撃により多数の大手企業が脅威にさらされる
10 年 スマートフォンなどのモバイルデバイスの普及が進み、攻撃の標的になる
6 / 44
11 年 大規模な企業や重要性の高い原子力燃料核施設などを標的とした大々的な攻
撃が発生
人をだまして何かを行わせるソーシャルエンジニアリング技法を使用した機
密情報への不正なアクセスが発生
ポリモーフィック型マルウェア攻撃の急増
12 年 「なりすましウイルス」「遠隔操作ウイルス」などの、PC ユーザに気付かれ
ずに遠隔操作が可能なウイルスが増加
日本でネットバンキングの利用者を狙い、不正な入力画面を表示して情報を
入力させるウイルスが多発
出典:コンピュータ・ウイルス辞典、なぜコンピュータウイルスは悪さができるの
か?,コンピューターウイルスの歴史から最新の脅威の動向までを振り返る、ウイルスの
歴史をもとに筆者作成
表 1 からピックアップしてコンピュータの歴史を報告する。1982 年、初の「ItW」
(In the Wild の略、つまり実験室の外で使われた)ウイルスとして、エルク・クロー
ナー(Elk Cloner)という名のウイルス(作成者はクローン型プログラムと呼んでい
た)が登場した。詩の表示、反転表示や誤表示、カチカチという音でアップルや DOS 3.3 のユーザを苦しめた。このウイルスはフロッピーディスクで広がり、別の OS に挿入
したときに何らかの原因で使用不能になるという特徴があった。また、同じ年にゼロッ
クスのアルト研究所(Alto Research Centre)では、ヨン・ヘップス(Jon Hepps)と
ジョン・ショック(John Shock)が最初のワームをプログラムした。それらは、計算を
分散させて行うために使用され、ネットワーク内でのみ実行された。しかし、プログラ
ムエラーのため、拡散を制御することができず、あっという間にコンピュータがコンフ
リクトしたという。
「コンピュータウイルス」という言葉が使われ、一般的に知られるようになったのは
1984 年の Fred Cohen(フレッド コーヘン)教授の論文からである。南カリフォルニ・ア大学の教授だったコーヘンは、その当時自己増殖型プログラムを研究しており、米国
セキュリティー学会でその成果を発表した際に「コンピュータウイルス」という言葉を
始めて使用した。これが用語としてのウイルスの始まりである。その中で教授は、コン
ピュータウイルスは「他のプログラムに自身のコピーを含ませるために、そのプログラ
ムに変更を加えることによって感染できるプログラム」と定義している。しかし、その
学会で彼の作ったウイルスが想像以上に拡散し、誰もその動きを制御することができず
それがきっかけとなってコーヘンは大学を辞めるに至った。
1986 年、DOS オペレーティングシステムで稼動する初のブートセクタウイルスが開
発された。パキスタンのラホールでブレインコンピュータサービス(Brain Computer Services)という小さなコンピュータショップを経営していたアルビ兄弟(Basit &
7 / 44
Amjad Farooq Alvi)が、自分たちのソフトが不正コピーされたことを知るために 1984年ごろから一般化した自己増殖型プログラムの仕組みを使って作成したものである。ウ
イルスはパキスタ
8 / 44
ン人学生を介して伝染病のようにアメリカの大学に広がった。ただし、プログラム自体
は感染したフロッピーディスクのディレクトリラベルをブレイン(Brain)に変更すると
いう単純なものだったため、比較的無害だった。それは、作者のアドレスを含む唯一の
ウイルスプログラムのままで残っている。彼らはおそらく次のように考えていた。自分
たちの売ったディスクを使って起動されたソフトは自社製ソフトである。そこにディス
クのコピー回数を検出するプログラムを入れた場合、回数が 0 のものだけが自社製の正
規版である。コピーされた場合はそれを検出し、新しいディスクにディスクのコピー回
数を検出するプログラムを入れ、コピー回数を加算すれば何回コピーされたものかが分
かる。コピー回数が以上の場合は不正コピー品なので、自分たちに連絡を入れてもらう
ようなメッセージを出すようにすれば善意のユーザーから海賊版販売業者の情報が手に
入るだろう。結果的にこのソフトは、海賊版の使用者に「このメッセージを見かけたら
自分たちまで連絡してほしい」というメッセージを表示することになった。このプログ
ラムは、フロッピーディスクに潜むように作られ、そのフロッピーディスクから起動さ
れるとメモリーに常駐するようになる。そしてディスクコピーが行われるまで潜み、
ディスクコピーを感知すると新しいディスクのブートセクタに自分自身を書き込む。
ブートセクタには大切な情報が書かれており、その情報はディスクのほかの場所に移し、
ブートセクタを参照するような命令がきた場合は他の場所を参照させるようにする。自
分自身を書き込んだ場所が発見されないように「この場所不良につき参照不可」という意
味のしるし(OS に備わっている機能)を付けておくため、普通の命令を使ってもこのプ
ログラムを見つけることはできない。つまり、このプログラムは紛れもなく世界初のマ
イコン用ブートセクタ感染型ウイルスだったのである。そしておそらく世界初のステル
ス型ウイルスだったともいえるであろう。これを見れば分かるとおり、ブレインウイル
スは自社製ソフトのディスクか無関係なディスクかを判断することはない。また、それ
は無条件にコピー時に感染が行われるため、簡単に他のディスクへの感染が起こってし
まう。
そして、1987 年、このウイルスはもとの製品版プログラムがコピーされた場合以外に
も、あらゆるディスクに感染する。ここからの拡がり方はすさまじいもので、1987 年
10 月にはすでに全米のかなりのコンピュータに感染していたらしく、相当数の報告が
あったという。
1987 年、暗号化アルゴリズムを使用した初のウイルス、カスケイド(Casacade)が
発生した。ドイツで発生したこのウイルスは、画面の文字を下に落として小さな山を作
り、ファイルを完全に破壊するものであった。
1988 年、5 月 13 日金曜日に、エルサレムで初の電子爆弾が爆発した(実際には時限爆
弾)。これはまったく新しい種類のウイルスで、プログラムのバグを利用してファイルを
繰り返し感染させ、ファイルが存在するだけでウイルスの検出が可能だった。
今まで述べたことは、実は当時の日本ではほとんど起こっていなかった。それは、日
9 / 44
本が独自規格のマシンを使っていたことに関係する。日本は日本以外の国に比べてもパ
ソ
コンの普及は非常に早かったが、それは他の国のような「IBM PC およびその互換機また
はクローン」ではなかった。それは日本の技術者たちの能力やプライドが高く、他の国
のように外国の 1メーカーの規格を模倣する必要がなかったからである。日本では 1970年代の終わりに、すでに初の本格的なパソコンといえる「NEC PC-8001」が発売されて
いる。まだ当時の IBM PC は黎明期で、規格として日本の規格が迎合する必要がなかった
といえる。
Windows以前のパソコンは、一般的に MS-DOS という OS を積んでいることが多かっ
た。これは OS とはいえないようなものだったので、MS-DOS という同じ名前を持つに
もかかわらず、それぞれの規格で同じソフトウェアが動作することはほとんどなかった 。
とくに、ブートセクタを扱うなど、ハードウェアに依存したような部分には互換性はな
く、それが功を奏して海外のウイルスが日本に拡散することは当時ほとんどなかった。
しかし、そんな日本で日本で始めてコンピュータ病原体が報告される。それは 1988 年
9 月 13 日、当時日本で Nifty と並ぶ最大手のパソコン通信ネットワーク PC-VAN(現在は
BIGLOBE)でのことである。発見そのものは同じ年の春頃までさかのぼる。しかし、こ
れは暗号化されたテキストデータとして BBS に書かれていたため、事務局はコンピュー
タ病原体とは判断していなかった。いずれにしても、「読めない文字列を書き込まない
ように」という内容のメールを送付することでそれらの書き込みはすぐに削除されてい
たため、せいぜい仲間内の暗号通信程度に考えていたと思われる。ところが、8 月下旬に
行われたある書き込みは削除されなかったために会員に連絡を取ったところ、そんな書
き込みをした覚えはないという回答があり、調査した結果、この書き込みはその会員の
ユーザ ID およびパスワードを暗号化したものであることが分かった。つまり、その会員
はいまでいうトロイの木馬に引っかかっていたのである。
国産のウイルスはようやく 1989 年になって登場する。名前を SURGEON ウイルスと
いい、シャープの X68000 用のウイルスであった。このウイルスはブレインウイルス同
様にフロッピーに感染し、毎年 11 月あるいは 12 月にそのディスクが起動されると、
「SURGEON 買ってね!ウヒョ」というメッセージを出力し、ハードディスクが接続さ
れている場合はそのディスクを論理的に破壊する。作成者は、新潟大学医学部生が中心と
なって発行していたキャロットパーティーという同人ソフトサークルであった。しかし、
これは無関係なソフトにまで無期限に広がることはなく、しかも X68000 のユーザ数の
少なさから、不法コピーユーザー以外はほとんど被害が出なかった。
90 年代になると「ネットワークを媒介にし、メールなどを使って感染するタイプのウ
イルス」が出現する。今報告されているウイルスは、そのほとんどがこのタイプに属し
ている。そのようなウイルスに進化する大元となったのが、マクロウイルスである。95年半ばから 96 年にかけて、マイクロソフトがインターネット志向に開発方針を転換した
10 / 44
ことで、このタイプのウイルスが登場した。マクロウイルスとは、Word や Excel など
も含めて、Windows がシステム全体でサポートしているマクロ(簡易プログラミング言
語)である VBA(Visual Basic for Application)という言語を悪用したウイルスである。
VBA はマ
11 / 44
クロから直接ウィンドウズの機能や外部プログラムを利用することができる。そして、
マイクロソフト Office製品はすべて VBA をサポートしており、作成されるファイル中に
マクロを埋め込んでおくことができる。つまり、何も考えなければシステムの重要な
ファイルを消してしまうようなマクロでさえ、ファイルを開くと同時に実行させてしま
うこともできる。そして、そのようなマクロのうち、他のファイルに感染する機能を
持ったものが、いわゆるマクロウイルスである。ウイルスがデータやシステムを破壊す
るなどの実害を与えるものかどうかは一切問わない。これは Word や Excel のファイル
の流通量の多さから爆発的に拡がっていった。アンチウイルスソフトの発達によって検
出や駆除も容易になってきたが、作成の簡単さからそれを上回る、1 日あたり数十から数
百という膨大な新種や亜種が発見されている。
1998 年 8 月に、アメリカのシマンテックというワクチンメーカーが、Java で動作す
る始めてのウイルス StrangeBrew を発見したと発表した。このウイルスは Java の実行
ファイルである class ファイルに寄生する。感染対象が class ファイルであるということ
は、Java バーチャルマシンが動作している限り、全てのプラットフォームが狙われる可
能性が あ る こ と を 意味し て い る 。 つ ま り Windows は 言 う ま で も な く 、 MacOS 9、MacOS X、Linux、BSD、Solaris、HPUX、一部の携帯電話、一部の家電のほか、ク
レイスーパーコンピュータなど、Java の動作する環境全てが感染対象になる。ただし、
Java アプレットなどは Java の設計がちゃんとしていたおかげで、このウイルスを実行
することはできないため、ネットサーフィンをしていて感染するなどということはない。
あくまで一般的なウイルス同様に、スタンドアーロンで動作する Java アプリケーション
として感染したファイルをユーザ自身が実行したときに限られる。また、このウイルス
は感染を行う以外の行動は一切しない。つまり、このウイルスに感染したところで被害
はせいぜいファイルサイズが 3,890 バイトほど増え、かつ 101 で割り切れる値になって
しまうことと、タイムスタンプが変更されてしまうこと、そして他の class ファイルに
も同じように感染することぐらいである。
1999 年 3 月下旬に「important message from 誰々」というタイトルの電子メール
が世界中の Windows ユーザに届けられた。「誰々」という部分には、ほとんどの場合知
り合いの名前が入っており、本文は「Here is that document you asked for…don’t show anyone else;-」 .」というものだった。だいたい「こないだ頼まれたものだ
よ・・・誰にも見せるなよ(^_-)-☆」という意味になる。そしてマイクロソフトの
ワードプロセッサ、Word形式の添付ファイルが付いてくる。そのファイルをうっかり開
くと、ドキュメントに仕込まれたスクリプトが起動する。マクロウイルスとは違い、マ
イクロソフト Office のドキュメントには感染しない。そして Windows をあまねくカ
バーする Active X を最大限悪用して、メールソフトの送信履歴をもとに、哀れな感染者
を発信者に仕立て上げたメールを、かつてその人がメールを出したことのある人 50 人を
ランダムに選んで送信する。このようにして現実に Melissa はインターネットを麻痺さ
12 / 44
せた。このウイルスの登場で、Melissa はウイルスなのかワームなのか、それとも人間
に感染する病原体なのかが分からなくなってし
13 / 44
まった。ウイルスは必ず何らかのファイルに感染する。ところが、Melissa はメールに
「添付」されるが感染しているわけではない。次に、ワームであればプロセスが勝手に
増殖して拡がっていくが、Melissa は人間が実行しない限り何も起こらない。また、人間
を病気にするわけではないが、人間の心理に巧みに働きかけて、人間自身にウイルスの
感染を手伝わせる。
2000 年に現れた LOVELETTER ウイルスは件名が I LOVE YOU ウイルスまたはラブレ
ターウイルスと呼ばれる。本文は「kindly check the attached LOVELETTER coming from me.」、だいたい「どうか添付の『私から来た LOVELETTER』をみてください」
というたどたどしい英語が書かれ、「LOVE-LETTER-FOR-YOU.TXT.vbs」という名前の
添付ファイルが付いてくる。このファイルがコンピュータ病原体の本体にあたる。この
コンピュータ病原体はメールだけを使って感染した Melissa に比べ、mIRC(インター
ネットリアルタイムチャットプログラム)を使っても感染するように進化している。ほ
かに、ある条件が合えば InternetExproler のホームページ設定を勝手に変更し、現在は
封鎖されているある 4 つのページのうちの一つに接続しようとさせる。そこにはこのコ
ンピュータ病原体がおいてあり、それをダウンロードさせようとする。さらに被害者の
コンピュータに保存されているパスワードがあればそれを暗号化したうえでメールにし、
フィリピンの特定のメールアドレスまで送信しようとする。このアドレスはフィリピン
のプロバイダによって即座に停止されたため、被害の拡大を防ぐことはできた。また、
コンピュータのレジストリを勝手に書き換えた上でコンピュータの起動ごとに病原体が
起動され、ハードディスクにある vbs,vbe,js,jse,css,wsh,sct,hta,jpg,jpeg,mp3,mp2をランダムに自分自身で上書きする。このファイルはバックアップがない限り修復する
ことができない。
2 ウイルスの分類
通商産業省(現、経済産業省)が制定した「コンピュータウイルス対策基準」によると、
コンピュータウイルスとは「第三者のプログラムやデータベースに対して意図的に何ら
かの被害を及ぼすように作られたプログラム」である。また、次の機能を一つ以上有す
るものとして、「自己伝染機能」、「潜伏機能」、「発病機能」を挙げている。自己伝染
機能とは、「自らの機能によって他のプログラムに自らをコピーし又はシステム機能を
利用して自らを他のシステムにコピーすることにより、他のシステムに伝染する機能」、
潜伏機能は「発病するための特定時刻、一定時間、処理回数等の条件を記憶させて、発病
するまで症状を出さない機能」、発病機能は「プログラム、データ等のファイルの破壊
を行う、または設計者の意図しない動作をする等の機能」のことである。
コンピュータウイルスは、生物学上のウイルスとは異なり、分類の仕方や種類などの
ルールがいまだに統一されていない。さらに、最近のウイルスは一つで複数の機能や性
14 / 44
格を併せ持つ場合が多く、分類すること自体が難しい。しかしながら今回は広義のウイ
ルス
15 / 44
から分け、さらに狭義のウイルスからウイルスを分ける。
(1)広義のウイルスから分ける
感染したプログラムに寄生して動作するウイルスを狭義のウイルスとし、単体で動作
するウイルスからさらに他の PC に感染するかしないかでワームとトロイの木馬に分ける
方法である。PC やネットワークに損害を与える不正なプログラムであることに違いはな
く、現在ではコンピュータウイルスの一種として扱われる場合がほとんどである。無論、
アンチウイルスソフトによって検出・駆除を行うことが可能である。
ワームとは、ユーザが操作しなくても感染が広がるコンピュータコードのことである。
多くのワームの手口は電子メール添付ファイルの形式で、添付ファイルを開くとコン
ピュータに感染する。現在の OS は複雑なファイル構造を持ち、大量のデータを保存でき
るハードディスクを記憶デバイスとして利用しているため、不審なプログラムが少し増
えただけでは気づかれない。次にワームは、感染したコンピュータをスキャンし、アド
レス帳や一時的な Webページなど、電子メールアドレスが含まれるファイルを探し、そ
のアドレスを使用して感染した電子メールメッセージを送信する。多くの場合、感染し
たメッセージの送信元が既知のユーザであるかのようにするため、それ以降の電子メー
ルメッセージでは差出人アドレスを模倣(または偽装)する。その後電子メールメッ
セージ、ネットワーク、またはオペレーティングシステムの脆弱性 を介して自動的に感
染を広げ、多くの場合、原因が判明する前にシステムを過負荷状態にする。場合によって
は、メーラーを利用せずにワームメールを送信したり、派手な画像を表示したり、破壊工
作を行ったり、あるいはキーボードからの入力を監視し、トロイの木馬として働くよう
な、複雑な動作を行うワームも存在する。ワームは、必ずしもコンピュータのシステム
やデータの破壊を目的としないが、通常はコンピュータとネットワークのパフォーマン
スと安定性の問題の原因になる。
「トロイの木馬」は、ウイルスやワームとは違って、自己増殖機能や感染機能をもっ
ていない(ただし、ごく一部のトロイの木馬には複製できるものもある)。トロイの木
馬はよく知られているソフトウェアの最新バージョンなどと偽って配布する、有益なプ
ログラムを装いユーザ自らにダウンロード・インストールしてもらうことで PC に入り込
む。また、トロイの木馬をパソコンにインストールした人が、ウイルスであると気づか
ずに他人にコピーを配布して感染が広まってしまうこともある。トロイの木馬自身は感
染を広げる能力を持たないため、人の手を介する必要がある。そして、感染したコン
ピュータにクラッカーがアクセスできるようにするコードを、オペレーティングシステ
ムに注入する。
トロイの木馬の機能は大体破壊活動を行う、情報収集を行う、バックドアとして機能す
るの三種類に分類でき、ユーザや PC に害を与える。いずれか一つの機能だけでなく、二
16 / 44
つ、あるいはすべての機能を併せ持つトロイの木馬も多い。破壊活動を行うトロイの木
馬は多くのウイルスと同様にハードディスク内部のファイルを破壊・改ざんし、場合に
よって
17 / 44
はハードディスクのフォーマットを行うなど、多くの場合、PC に壊滅的なダメージを与
える。狭義のウイルスとは異なり、潜伏期間があるものは少なく、起動したとたんに発
動し、PC がまともに動かなくなることが多い。作成は非常に簡単で、バッチファイル形
式なら初心者でも作成することが出来るうえに、破壊力は絶大である。情報収集を行うト
ロイの木馬は「スパイウェア」と呼ばれる。パソコンにはパスワードや ID、アカウント、
メールアドレス、場合によってはクレジットカードの番号など様々な個人情報が保存さ
れている。スパイウェアはこうした情報をユーザに無断に収集し、こっそりと特定の IPアドレス(多くの場合トロイ製作者のサイトや、誰もが閲覧できる掲示板)に送信する。
この種のトロイがパソコンに対して破壊活動を行うことはあまりないが、クレジット
カードの番号やネットバンクのパスワード、プロバイダへのアクセス権などを他人に知
られることは非常に危険である。1バックドアとして機能するトロイの木馬は完全な
「ハッキングツール」である。トロイの種類によって異なるが、バックドアを設置され
てしまった PC は、リモートユーザに対して完全に無防備になってしまう。
(2)狭義のウイルスから分ける
また、ウイルスは感染場所によっていくつかのグループに分類することができる。ま
ずは、「狭義のウイルス」に絞って、ウイルスの分類を行う。
まずはファイル感染型である。Windows系 PC で扱うウイルスには、特殊な例を除い
て、必ず「2拡張子」が必要になる。ファイル感染型のウイルスは実行型ファイルに感染
し、ダブルクリックするだけでプログラムを実行するという性質を持つ。つまり、ファ
イル感染型のウイルスは、ウイルス単体でプログラムを実行するのではなく、実行型
ファイルに付着して制御を奪い、動作する。現在主流になっているウイルスは、トロイ
の木馬やワームを除き、ほとんどが「ファイル感染型」に分類される。ファイル感染型
ウイルスは、感染する場所によって、さらに二種類に分類される。
メモリ常駐型は感染したプログラムが終了してもウイルスプログラムがそのままメモ
リに居座り、ファイルアクセスになど何らかの事象をきっかけに自動的に実行され、他
のファイルに感染を広げる。一方、非常駐型ウイルスは、感染プログラムが実行される
と、感染対象のプログラムを探して感染活動を行うというとてもシンプルなものだ。こ
のようなウイルスは、ダイレクトアクション型とも呼ばれている。
ウイルスが感染する仕組みを見てみよう。プログラム感染型ウイルスの場合は、ウイ
ルスが感染しているプログラムを実行すると、まずウイルスのプログラムコードが起動
し、コンピュータのメモリに格納される。ウイルスプログラムは、感染対象となる他の
ファイル(宿主ファイルやホストファイルと呼ばれる)に自身の複製を付着して感染し
1 バックドア…クラッカーがネットワーク上にあるほかの PCへ侵入するための裏口。2 拡張子…ファイル末尾に「.○○○」という形で付属し、ファイルの種類を表すもの。
18 / 44
ていく。さらに、ウイルスプログラムが他のプログラムより先に実行されるように、プ
ログラム本体のヘッダ情報などを変更する。感染対象ファイルに自身の複製を付着する
方法は、上書き型、追記型、キャピティ型、の 3 つに大別できる。
上書き型ウイルスは、感染の対象となるプログラムコードの一部をウイルス自身の
コードで書き換えられてしまう。元のプログラムコードが書き換えられてしまうため、
感染後のプログラムは正しく機能しなくなる。ほとんどの場合、クリーンなバックアッ
プファイルと書き換えられること以外に感染後のファイルを普及する手段はない。3 つの
タイプの中では比較的簡単に作成することが出来るが、感染に気が付きやすいためこの
タイプのウイルスが出回ることは少ない。
追記型ウイルスは、感染の対象となるプログラムのコードを破壊することなく、ウイ
ルス自身のコードを追加する。具体的には、ウイルスプログラムをファイルの最後に追
加するかもしくは先頭に挿入し、元のプログラムコードよりも先にウイルスコードが実
行されるようにヘッダ情報を書き換える。感染したファイルのサイズが変更されるため、
感染の確認は比較的容易である。
キャピティ型ウイルス(スペースフィラー型とも呼ばれる)は、実行可能ファイルの
中に存在する空白の場所にウイルスコードを埋め込むことにより感染する。Windows32ビットの実行可能形式であるファイルである PE ファイルには多くの空白が存在するため、
比較的簡単にウイルスを挿入することができる。しかも、もともと存在する空白にウイ
ルスコードを書き込むため、ファイルサイズが増加しない。また、ウイルスコードが
ファイル内のあちこちにあるため、完全に駆除するのが非常に困難である。
PC は起動する際に、ハードディスクからシステム情報を取得する必要がある。その際、
起動時にまず読み込みにくいのが、「MBR」や「ブートセクタ」「パーティーションレ
コード」といった「システム領域」なのだが、システム領域感染型のウイルスは記憶デ
バイスのシステム領域に感染するタイプのウイルスである。この種のウイルスはシステ
ム領域の情報を他の場所へ移動させたうえで、システム領域をウイルスプログラムで上
書きしてしまう。ゆえに、通常の起動プロセスより先にウイルスが実行されてしまい、
電源が入っている間中、メモリに常駐し続ける。システム領域感染型ウイルスは数が少
なく、PC 起動時に特殊な文字を表示させるなど、邪気のない動作をするものが多いが、
中にはシステムをハングアップさせ、データの書き換えを行うなど、悪質なものもある。
加えて、ウイルスがシステム領域への感染に失敗し、結果的に記憶デバイスのデータを
破壊してしまうこともある。「ブート感染型」とも呼ばれる。
「マクロ型」のウイルスは、マイクロソフトの Word や Excel など Office アプリケー
ションのデータファイルに、マクロ機能を利用して感染するウイルスである。マクロと
は、煩雑な操作を自動化したり簡略化したりするための機能のことである。では、どの
ようにマクロ感染型ウイルスが感染していくのか。感染したデータファイルを開いたと
きに自動的にマクロが実行され、標準テンプレートがウイルスに感染する。標準テンプ
19 / 44
レートは、Word や Excel の起動時に自動的に読み込まれる。このため、新規文書の作成
や既存文書の読み込み時などのタイミングで、この標準テンプレート内のウイルスコー
ドが実行され、データファイルに感染する。電子メールに添付された文書ファイルなど
を開くだけで簡単に感染するので、ウイルスの中でも被害が広がりやすい。また、機種
や OS に依存せずに感染を広げられるので、「マルチプラットフォームウイルス」と呼ば
れる場合もある。通常、ウイルスは実行可能なバイナリデータに感染する。しかし、セ
キュリティが強固な OS 上では、ウイルスプログラムが自らファイルを開く命令を出し
ても、OS のセキュリティに阻まれてしまう。だが、マクロウイルスは、Word や Excelという正規のアプリケーション上で動作するため、OS のセキュリティに阻まれることが
ない。また、マクロ機能自体は多くのアプリケーションで利用されている正規の機能な
ので、OS がウイルスの活動を見分けるのは難しい。加えて、マクロ型ウイルスにはもう
一つ大きな特徴がある。マクロが登場する以前、ウイルスを作成できるのは高度なプロ
グ ラ ミ ン グ 技 術 を 持 つ ク ラ ッ カ ーだけ で あ っ た 。 し か し 、 マ ク ロ ウ イ ル ス は
VisualBasic が扱える程度のライトユーザでも作成が可能で、マクロ言語がわかりさえす
れば改造も容易でウイルス作成の敷居が一気に低くなってしまった。
「複合感染型」ウイルスとは、システム領域感染型とファイル感染型、双方の特徴を併
せ持つウイルスである。他のウイルスと比べると、開発に高度な技術力を要するため、
あまり数は多くないが、実行ファイルだけでなく、記憶デバイスのシステム領域にも感
染するため、きわめて感染力が強い。
ウイルスがユーザやウイルススキャンソフトに引っかからないよう、隠れるための
様々な工夫を凝らしたウイルスを「ステルス型」と呼ぶ。手法はウイルスによって様々
であるが、ヘッダを偽装したり、DOS のコントロールを奪ったりすることが多い。
メインとなるウイルスコードを暗号化し、ランダムに改変するタイプのウイルスで、
高度なものは「ポリモフィック型」と呼ばれることもある。感染するたびに暗号化ルー
チンによってコードを変化させるため、データベース上のウイルスパターンとの照合に
よってウイルスを検知するタイプのスキャンソフトでは発見できない。当然、この種の
高度なウイルスを作るのは非常に難しい。しかし「Dark Avenger」と名乗るウイルス作
者が「Mutation Engine」と呼ばれるミューテーション型ウイルスのソースコードをイ
ンターネット上で公開したことによって一気に数が増え、スキルの低いユーザでも
ミューテーション型ウイルスが作れるようになってしまった。
3 ウイルス名に関して
ウイルス開発者のほとんどは自分の作ったウイルスに名前を付けている。例えば
「Nimda」はプログラムコードに「Concept Virus(CV) V.5, Copyright(C)2001 R.P.China」という「コピーライト表示」が含まれている。つまり、Nimda は開発者に
20 / 44
よって「コンセプト・ウ
21 / 44
イルス」という立派な名前が与えられているにもかかわらず、「Nimda」と呼ばれてい
ることになる。「MAGISTR」というウイルスは、プログラムコード内に「The Judges Disemboweler. Written in Malmo(Sweden)」と書かれていることから見て、作者はこ
のウイルスを「The Judges Disemboweler」と名付けたのだろう。だが実際には、ウイ
ルスが作者の意図する名前で呼ばれることはほとんどないといってよい。これはいった
いなぜなのだろうか。
ウイルスの作者がウイルスを作る理由は様々だ。だが、多くの場合、ウイルスは悪戯
目的、あるいは売名行為として作られる。つまり、ウイルス作者というのは悪戯好きで、
さらに自己顕示欲が旺盛な人種だといえる。では、そんな相手が作ったウイルスを、相
手が「呼んでほしい」と思った名前で呼ぶと、どうなるか。ウイルス作者は、自分が付
けた名前が新聞やテレビで報道されるのを見て、狂喜乱舞することになるだろう。つま
り、ウイルス作者の意図通りの名前をウイルス名として使うことは、ウイルス作者に満
足感を与え、ウイルス開発を助長することにつながりかねない。もちろん、初の
Windows95 用ウイルス「Melissa」のように、時にはあっという間に流行してしまい、
まんまとウイルス作者が意図した名前を定着させてしまうような例もある。だが、ウイ
ルスの名前は原則的に、ウイルス作者が意図する名前を避けて、セキュリティ・ソフト
を開発するソフトメーカーが命名することが現在では慣例となっている。ウイルスを駆
除するソフトを開発する企業が、ウイルスの名付け親でもあるというのは、なんだか奇
妙に思えるかもしれない。だが、ウイルスにもっとも詳しいのは、ウイルスの作者自身
を除けば、セキュリティソフトのメーカーであることは間違いなく、この名付け親は妥
当なところだろう。
ただし、セキュリティソフト・メーカーがウイルスの名前を決定すると、困ったこと
が起こる。それは、セキュリティソフトのメーカーが一つではないということだ。つま
り、それぞれのメーカーが勝手な名前を付ければ、同じウイルスが複数の名称をもつこ
とになり、ユーザを混乱させかねない。しかしながら、少なくても現在のところ、この
弊害は解消されておらず、ほとんどのウイルスは複数の呼び名を持っている。ゆえに、
同じウイルスであっても、スキャンソフトによって異なる名前で検出されることが多く、
ある程度ウイルス命名規則を知っておかないと混乱することになる。そこで、比較的メ
ジャーなウイルス命名方式である「CAROネーミングシステム」を中心に、代表的なセ
キュリティソフトメーカーである「Symantec社」や「Networks Associates社」、
「トレンドマイクロ社」などのウイルス呼称ルールを見ていく。ウイルスの命名は、セ
キュリティソフト・メーカーの手にゆだねられている場合がほとんどなので、一つのウ
イルスが複数の名称をもつことは少なくない。だが、「CAROネーミングシステム」と
呼ばれるウイルス命名規則をもとにしたウイルス命名法が比較的多くのメーカーで採用
されているため、ここからウイルスの命名規則を紹介する。
ウイルスの命名規則については、これを統括している団体は現状では存在せず、新種
22 / 44
のウイルスが発見された際に、各セキュリティソフト・メーカーが独自に、ウイルスの
名
23 / 44
前を決定することになっている。だが、多くのセキュリティソフト・メーカーは、ウイ
ルス研究者や解析者などで構成されている世界的なウイルス研究者組織「CARO」
(Computer Anti-virus Research Organization)で定められた名称を基本としており、
このネーミングシステムは「CAROネーミングシステム」と呼ばれる。
CAROネーミングシステムでは、ウイルスの名称を「接頭語」、「ファミリーの名
称」、「接尾語」の三つで命名する。そして、各部分に記されるのは、以下のような情報
だ。ここでは、「ニムダ」を例にとって、命名法を見てみる。ニムダW32/Nimda.A-mn接頭語ウイルスの接頭語には、ウイルスが動作するプラットフォーム、ウイルスを記述
しているプログラム言語、ウイルスのタイプなどの情報が英数文字列で記される。よく
使用される接頭語の例は表の通り。なお、接頭語とファミリーの名称との区切りには
「/」が使用される。
表 2 Windows環境で動作するウイルス
接頭語 意味
W32 Windows の 32ビット環境で動作するウイルス。9x系、NT系双方の
Windows 上で動作する。
W95 Windows9x系で動作するウイルス。NT系Windows 上では動作しない。
W98 Windows98/ME で動作するウイルス。Windows95、NT系Windows 上では
動作しない。
WNT WindowsNT系で動作するウイルス。9x系Windows 上では動作しない。
W2K Windows2000/XP で動作するウイルス。WindowsNT、9x系Windows 上で
は動作しない。
出典:コンピュータ・ウイルス辞典
表 3 MS Office環境で動作するマクロウイルス
接頭語 意味
OM MS Office環境の複数のアプリケーション上で動作するマクロウイルス。
O**M 特定のバージョン以降の MS Office において、複数のアプリケーション上で動
作するマクロウイルス。**には「97」「2K」などの文字列が入る。
WM MS Word で動作するマクロウイルス。
W**M 特定のバージョン以降の MS Word で動作するマクロウイルス。**には「97」
「2K」などの文字列が入る。
XM MS Excel で動作するマクロウイルス。
X**M 特定のバージョン以降の MS Excel で動作するマクロウイルス。**には「97」
「2K」などの文字列が入る。
AM MS Access で動作するマクロウイルス。
A**M 特定のバージョン以降の MS Access で動作するマクロウイルス。**には
24 / 44
「97」「2K」などの文字列が入る。
XF MS Excel で動作する「数式(フォーミュラ)形式」のマクロウイルス。
出典:コンピュータ・ウイルス辞典
表 4 その他のウイルス
接頭語 意味
VBS 「VB スクリプト(Visual Basic Script)」で記述されたウイルス。
JS 「Javascript」で記述されたウイルス。
Trojan(Troj) トロイの木馬やワーム。
--(接頭語なし) DOS環境で動作するウイルス、あるいは、ブートセクタウイルス。
出典:コンピュータ・ウイルス辞典
ファミリーとは、ウイルスの「種」に当たる名称であり、「ニムダ」「サーカム」と
いった名称のことだ。ウイルスはしばしば、小さな改変を加えた「改良型」として登場
するが、ほとんど同一のウイルスコードを持つ場合、こういった改良型はウイルスファ
ミリーの「亜種」として扱われ、亜種の区別は接尾語で行われる。ウイルスファミリー
の名称は、ウイルス作者が意図するウイルスの名称を避けつつ、ウイルスの特徴やウイ
ルスコードに含まれている文字列から選択される。接尾語との間は「.」で区切られる。
ウイルスの接尾語の位置には、ウイルスのファイルサイズや亜種名、感染方法などにつ
いての情報が記される。表 5 使用頻度の高い接尾語
.A(B、C) ウイルスの接尾語として使われる一文字のアルファベットは、一般にウ
イルスの亜種を示す。たとえば、「W32/Nimda.A」は最初に出現した
ニムダウイルスであり、「W32/Nimda.E」は、Nimda ファミリーの5
番目の亜種であることを表す。
.worm 狭義のウイルスではなく、ワームであることを示す。
-m(@m) 電子メールを利用して伝染するウイルスであることを示す。
-mm(@mm) 大量のワームを発信する、伝染力の強いウイルスであることを示す。
出典:コンピュータ・ウイルス辞典
「Norton」シリーズの開発元である Symantec社、および「McAfee」の開発元である
Networks Associates社のウイルス命名規則は、どちらも CAROネーミングシステムを
基本とし、これを一部拡張したものだ。CARO と同様に、ウイルス名は「接頭語」
「ファミリーの名称」「接尾語」の三部分で成り立っており、Networks Associate社で
は各部分を「/」と「.」で、Symantec社では「.」だけで区切られる。例:ニムダ
W32/Nimda.a@MM(Networks Associates社)W32.Nimda.A@mm(Symantec社)Symantec社およびNetworks Associates社でのウイルス名における接頭語の役割
は、CARO と同じで、ウイルスが動作するプラットフォームやウイルスの種類、ウイル
スコードに使われている言語などを表す。ちなみに、Symantec社では以下のような文
25 / 44
字列を接頭語として規定している。
表 6 OS を表す接頭語
W32 すべての Windows プラットフォームに感染するウイルス。
W95 Windows95 用ウイルス。多くの場合、Windows98環境でも動作。
W98 Windows98 用ウイルス。Windows95環境では動作しない。
WNT WindowsNT 用ウイルス。
W2K Windows2000 用ウイルス。
Win Windows3.x 用ウイルス。
Linux Linux 用ウイルス。
UNIX UNIXベースのサーバシステム用ウイルス。
Palm 携帯端末用の PalmOS 用ウイルス。
出典:コンピュータ・ウイルス辞典
表 7 マクロウイルスの接頭語
OM Office 用マクロウイルス。複数の Office アプリケーション上で動作。
O97M Office97 用マクロウイルス。複数の Office97 アプリケーション上で動作。
O2KM Office2000 用マクロウイルス。複数の Office2000 アプリケーション上で動
作。
WM Word95 用マクロウイルス。
W97M Word97/98 用マクロウイルス。
W2KM Word2000 用マクロウイルス。
XM Excel95 用マクロウイルス。
X97M Excel97 用マクロウイルス。
X2KM Excel2000 用マクロウイルス。
XF MS Excel で動作する「数式(フォーミュラ)形式」のマクロウイルス。
AM Access95 用マクロウイルス。
A97M Access97 用マクロウイルス。
A2KM Access2000 用マクロウイルス。
出典:コンピュータ・ウイルス辞典
表 8 ウイルスコードの言語を表す接頭語
JS JavaScript で記述されたウイルスまたはワーム。
Java JAVA で記述されたウイルス。
VBS VB スクリプト(VisualBasic Script)で記述されたウイルス。
HLLC 高級言語で記述されたコンパニオンウイルス。付加的なファイル(コンパニ
オン)を作成して感染を広げる DOS ウイルス。
26 / 44
HLLO 高級言語で記述された上書き型ウイルス。感染先ファイルをウイルスコード
で上書きする DOS ウイルス。
HLLP 高級言語で記述された寄生型ウイルス。寄生先のファイルに自分自身を添付
する DOS ウイルス。
出典:コンピュータ・ウイルス辞典
表 9 その他の情報を表す接頭語
27 / 44
Trojan(Troj) 狭義のウイルスではなくトロイの木馬であることを示す。
PWSTEAL パスワードを盗み出すトロイの木馬。
AOL America Online を標的とし、パスワードを盗み出すトロイの木馬。
DDos 分散型サービス拒否攻撃の“踏み台”にするための不正プログラム。
DoS サービス拒否攻撃の“踏み台”にするための不正プログラム。MS-DOS 用ウ
イルスではないことに注意。
Backdoor バックドアを設置し、ハッキングの足掛かりとするための不正プログラ
ム。
HTML HTML を標的とするウイルス、またはワーム。
IRC IRC アプリケーションを標的とするウイルス、またはワーム。
BAT バッチファイルを使用する不正プログラム。
Bloodhound
Norton AntiVirus のヒューリスティック・スキャン技術により検出された
新規、または未知のウイルスに使用される接頭語。
出典:コンピュータ・ウイルス辞典
CARO システムと同様に、Symantec社およびNetworks Associates社でも、ウイルス
名の接尾語はすべてのウイルスに付加されるわけではなく、亜種・変種の区別をつける
必要がある場合や、あるいは電子メールを大量にばらまく、ウイルスではなくワームで
あるなど、その他の特徴を表す必要がある場合に使用される。Symantec社では以下の
ような文字列を接尾語として規定している。
表 10 Symantec社のウイルス名接尾語
Worm ウイルスではなくワームであることを表す。
@m ウイルスまたはワームがウイルス付きメールを無断で送信することを表
す。
@mm ウイルスまたはワームがウイルス付きメールを無断で大量に送信すること
を表す。
Dr 別のウイルス・ワームを作成するファイルが検出されることを表す。
Family ある種の感染動作を持つ不正プログラムであることを表す。
Gen ある種の感染動作を持つ不正プログラムであることを表す。
Int バグ、またはエラーが原因で実行されない不正プログラムであることを表
す。
出典:コンピュータ・ウイルス辞典
CAROネーミングシステムは、ウイルス命名方法としては最も一般的で、かつ歴史あ
る命名ルールではあるが、基本ルールが決定されてからかなりの時間がたつため、現在
のウイルス情勢にはそぐわない部分もある。そこで、ユーザーの分かりやすさを最優先
に考え、ウイルスの現状に即した独自のウイルス命名ルールを採用しているのが、「ウ
28 / 44
イルスバスター」シリーズの開発元であるトレンドマイクロ社だ。
トレンドマイクロ社では、ウイルス名を「接頭語」「ウイルスファミリー名」「亜種
情報」の三つで表し、それぞれの部分は「_」と「.」で区切る。例:ニムダ
PE_NIMDA.A
29 / 44
CAROネーミングシステムでの接頭語は、OS やウイルスの種類、使用されているプロ
グラム言語など、さまざまな情報が入り乱れた、少々分かり辛いものだった。だが、ト
レンドマイクロ社の接頭語は、CARO システムを基本としながらも、ウイルスの特徴を
ずばりと表した、分かりやすいものとなっている。
トレンドマイクロ社では接頭語として、以下のような文字列が使用される。
表 11 トレンドマイクロ社のウイルス名接頭語
ATVX ActiveX を使用したウイルス。
BKDR バックドア型ハッキングツール機能を持ったウイルス。
EPOC 携帯端末用 OS「EPOC」に感染するウイルス。
JAVA Java アプレットを悪用したウイルス。
JOKE ユーザを驚かせる目的で作られ、実害を及ぼさない冗談ウイルス。
JS Java スクリプトで記述された、HTML 内に埋め込まれるウイルス。
O97M Office 関連の複数のアプリケーションに感染するマクロウイルス。
PALM 携帯端末用の PalmOS に感染するウイルス。
PE Windows32ビットのメモリに常駐し、COM、EXE、SYS などのファ
イルに感染するファイル感染型ウイルス。
TROJ トロイの木馬。
VBS VBS(VisualBasic Script)で記述されたウイルス。
W2KM Word2000 に感染するマクロウイルス。
W97M Word97/98 に感染するマクロウイルス。
WORM ワーム。
X2KM Excel2000 に感染するマクロウイルス。
X97M Excel97 に感染するマクロウイルス。
出典:コンピュータ・ウイルス辞典
ウイルスのファミリー名については、トレンドマイクロ社もほぼ、CARO によるめい
めいを採用している。ただし、まれにトレンドマイクロ社のウイルス解析センター
「TrendLabs」でウイルス解析者が名付けた独自の名称を採用する場合もある。
トレンドマイクロ社のウイルス命名ルールでは、CARO における「接尾語」の部分に
は、「亜種情報」だけが表示されることになっている。亜種情報は一文字の大文字アル
ファベットで表され、最初に発見されたものを「A」とし、その後、亜種が誕生すると、
順に「B」「C」……と付けていく。
例えば、ワーム「Klez」には多くの亜種があるが、これらは発見された順に
「WORM_KLEZ.A」「WORM_KLEZ.B」と名付けられ、2002 年 5 月現在、最も新しい
「WORM_KLEZ.I」まで亜種が登場している。
30 / 44
また、ウイルスには、使用されたプログラムコードの機能と特性に基づいて命名され
31 / 44
たものがある。
表 12 トロイの木馬型
ゲノム(Genome) ダウンローダー、キーロガー、ファイル暗号化の機能が統合された
もの。
スカー(Scar) ダウンローダー、スパイウェア、ボットなど、マルウェアのさらな
るダウンロードを開始するのに使用されるテキストファイルをロー
ドする。
ブザス(Buzus) 個人情報(クレジットカード、オンラインバンキング、Eメールおよ
び FTP アカウント)を探し出し攻撃者にデータを転送する。そのう
え、より容易に犠牲者のコンピュータを攻撃できるようにコン
ピュータのセキュリティ設定を下げようと試みる。
マガニア
(Magania)台湾のガマニア社のオンラインゲームのパスワードを盗むために用
いられ、何度も圧縮したRAR形式のメールの添付ファイルに紛れて
侵入を試みる。画像を表示し注意をそらしている間にバックグラウ
ンドで別のファイルをシステムにロードする。また同時に、イン
ターネット・エクスプローラーにDLLを登録し、攻撃者がいつでも
ネット利用をモニタリングできるようにする。
サスフィス
(Sasfis)コンピュータ上にファイルをインストールし、インターネットから
新たなマルウェアをダウンロードするのを試みる。亜種はメール添
付として送られてくる。
リフレッソ
(Refreso)バックドアの機能を用い、ネットワークでほかのコンピュータを攻
撃する。
モンダー
(Monder)感染したシステム上のセキュリティ設定を操作し侵入しやすくす
る。亜種が無数に発生しており、求められてもいない広告を表示す
るアドウェアを併用するものや、ウイルススキャンを偽装し、感染
したとみせかけて完全版の購入を促し、クレジットカードで支払う
よう誘導し、個人情報を盗み出すものがある。また、別のウイルス
をダウンロードし、ユーザーに知られずにネット閲覧の履歴を攻撃
者に転送するものもある。
オンラインゲーム
ズ
(OnlineGames)
オンラインゲームのアクセスデータを盗み出す。ピークは 2007 年
から 2008 年だったが、オンラインゲームは依然としてデータ窃盗
の標的となっている。ゲームのキャラクターやアイテムなどのデー
タは多くのフォーラムにて RMT(リアルマネートレード)で取引され
ている。これがネット犯罪者を引き付けている理由である。
32 / 44
インジェクト
(Inject)実行プロセスを操作するタイプのものであり、多数の亜種がある。
攻撃者が自由に、しかも、被害者に知られずに、プロセスを統御で
きるようにするものである。
リプラー(Lipler) ウェブサイトから追加マルウェアをダウンロードできるダウンロー
ダーを含む。またブラウザのスタートページを変える。
フラウドロード
(Fraudload)セキュリティソフトやシステムツールを偽装するスケアウェアを
使ったもので、製品を購入させようと特設サイトに誘導しクレジッ
トカード情報を入力させ盗み出す。一般に、OS のセキュリティホー
ルにパッチを当てていない場合や、アプリケーション・ソフトに脆
弱性があることで、感染が起こる。このフラウドロードは、アダル
トや最新ニュース、ゴシップといった多くの人が関心を持ちそうな
テーマの動画を用意し、その動画を再生するためにビデオコーデッ
クをダウンロードしなければならない、と思わせて感染させるとい
う手法をとっている。
出典:筆者作成
表 13 バックドア型とワーム型
ピーシークライアント(PcClient) コンピュータを遠隔操作してデータを盗み
出すのに使用される。ファイルと登録エン
トリーを隠すためにルートキット技術を使
用している。
フビゴン(Hupigon) 攻撃者はコンピュータを遠隔操作する。
キーボード入力の記録や、ファイルシステ
ムへのアクセス、ウェブカメラへのアクセ
スを可能にする。
ビフローズ(Bifrose) 感染した PCにアクセスし、IRCサーバー
に接続できるようにする。
ポイズン(Poison) 認証されていなくてもリモートでアクセス
できるようになり、例えば回線速度を遅く
させるなどのDDos攻撃に用いられる。
バスン(Basun)(ワーム) 現在のユーザーが管理者の名で PCに侵入
する。ローカルネットワークでほかのコン
ピュータを攻撃し、感染を広げる。
33 / 44
出典:筆者作成
34 / 44
4 その他脅威
アカウント乗っ取りについて説明する際、どのような方法があるのか。主なものをあ
げる。「ブルートフォースアタック」はパスワードを総当たりで試す方法で、文字数が
少ないパスワードに対して有効な方法である。現在では文字数が多く英数字で登録を求め
るサイトが多いため、この方法での成功率は低い。「辞書攻撃」はパスワードに使われ
そうな単語を辞書として登録し、使用頻度の高い順から試す方法である。「リバースブ
ルートフォースアタック」はパスワードを固定し、ID を試す方法で、ブルートフォース
アタックがパスワードを試す方法であることに対し、その逆の発想を取ったことからリ
バースがついている。サイト側からは多くの人物が 1 回ずつ認証に失敗したように見え
るため、この攻撃への対処が難しい。「パスワードリスト攻撃」はリスト型アカウント
ハッキングとも呼ばれ、別のサイトから得た ID とパスワードの一覧を他のサイトで試す
方法である。1 つのパスワードを複数のサイトで用いているユーザーが多いため、1 回の
認証の成功率が高く、近年この方法での被害が増加している。特に標的となりやすいの
が ID にユーザーのメールアドレスを用いるものである。企業が外部から攻撃された事例
を以下に記す。
事例 1:JAL
昨年 9 月 24 日、社内のパソコン 23台がウイルスに感染し、うち 12台が顧客情報シス
テムにアクセスできる状態であったため情報漏えいが起こった。流出した可能性のある
情報は会員番号、入会年月日、名前、生年月日、性別、自宅(郵便番号・住所・電話番号)、勤務先(会社名・郵便番号・住所・電話番号(内線)・所属部門名・役職)、電子メールアド
レスである。パスワードやクレジットカード番号は顧客情報システムに保存されていな
かったため流出することはなかったものの、JAL マイレージプログラムへのアクセスに
は会員番号とパスワードが必要であるため、パスワードさえわかれば簡単にアクセスす
ることが出来る。そしてこのパスワードは数字のみ 6桁というとても弱いものであった。
この事例に関連して、ANA クラブマイレージクラブの Web サイトに不正ログインがあ
り、顧客 9 人のマイレージが iTunesギフトコードに交換されていたという事件があった
が、このサイトは 10桁のマイレージ番号と数字のみ 4桁の組み合わせでログインするこ
とが可能であり、JAL よりも脆弱なパスワードであった。
事例 2:LINE この事例は LINE側が自分のアカウントが第三者により利用されているというユーザか
らの問い合わせを受けて調査を行ったところ、他社サービスのログイン情報を用いて不
正ログインをしている事象が確認された、というものである。公式ブログによると、
LINE のアカウント情報が外部に流出したという事実はなかったという。
不正ログインを行った後、犯人はパスワードを変更し、元の持ち主になりすまし友達
35 / 44
に「何してますか?忙しいですか?手伝ってもらってもいいですか?」と話しかけ、反
応
36 / 44
した場合、コンビニでWebMoneyや iTunesカードといったプリペイドカードを買う手
伝いをしてほしいという内容のメッセージを送る。さらに返事をすると具体的な購入の
指示が来るという。購入した後、番号の写真を送らせて換金し、アカウントを削除する
といった手口で詐欺を行うという。一対一で、知人と連絡する手段として主に使われて
いる分、乗っ取りに使われやすいのではないかと考えられる。また、なぜWebMoneyや iTunesなどのプリペイドカードが狙われるのかというと、このようなカードは年齢制
限や身分照明などの制約がなくコンビニで買うことができ、用紙に記載された番号さえ
あれば換金できる仕組みになっており、写真を撮って送るだけで会うこともなく騙し取
ることができるからである。
事例 1 においての情報漏えいの方法としては「ブルートフォースアタック」、「辞書
攻撃」が当てはまると考えられる。辞書攻撃を用いる場合、数字でよく使われるパス
ワードを使われている順番で試せば成功率が高いであろう。しかし実際のところ、JAL の
ログイン機能にはアカウントロックがあり、ブルートフォースアタックが成功するとは
いえない。なおかつ JAL では生年月日・電話番号・住所の数字・連番をパスワードに使用
不可としており、辞書攻撃の幅も狭まる。事例 2 においてはパスワードリスト攻撃のほ
かにフィッシング詐欺によるものがある。「LINEサービス大型移行に伴い、IDとパス
ワード、登録メールアドレスを再確認させて頂くことになりました。お手数ですが下記
の空欄に記入して送信ください。」といったメールが届き、送信をしてしまうと乗っ取
られてしまうという事例があった。LINEでは個人のメールアドレス宛に連絡をするこ
とはなく、サービスの大型移行というようなことも一切予定していないとし、注意喚起
をしている。
5 ユーザーが行う対策
前章で企業の被害例を紹介したが、アカウント乗っ取りが起こる原因はユ-ザの ID お
よびパスワード管理にもある。異なるサイトで同じ ID およびパスワードを使ってはいな
いであろうか。また、数字だけであったり英単語をもとに ID やパスワードを作成しては
いないであろうか。簡単なものにしていると前章で述べた方法ですぐにセキュリティを
破られてしまう。企業の運営側にも問題はあるかもしれないが、それでも ID およびパス
ワードを英数字混合にし文字数を増やし難易度をあげ、なおかつ頻繁に変更することが
必要であると感じた。ユーザの惰性も相まってアカウント乗っ取りが流行しているため、
ユーザ自身が対策をすることが必要である。
IPA の調査によると、2013 年におけるウイルスの年間検出数の1位と2位を占めたの
はメールの添付ファイルとして感染するタイプのウイルスであった。なぜ添付ファイル
を開いてしまうのか。一つには知人からのメールであるということである。現存する
ワームの多くはアドレス帳に登録されているアドレスや、受信箱にあるメールのアドレ
37 / 44
ス宛にワームのコピーを添付したメールを送信する。知人から来るため、疑うことなく
開いてしま
38 / 44
うのである。また、ワーム作成者は様々な工夫をして添付ファイルを安全なものに見せ
かけ、実行させようとする。例えば、Loveletter は拡張子が 2 つあり、表向きは.TXT と
表示されているが、種類欄は VBSScript となっている。Nimda はアイコンが HTML に
なっているが、実際はアプリケーションソフトとなっている。このように種類欄を見ず
に実行してしまえば感染してしまうため、添付ファイルを開く際には注意が必要である。
バージョンアップをすることも重要である。Webブラウザや MUA といったクライア
ントソフトのセキュリティホールを利用したワームが多くなっており、バージョンアッ
プをしておかないと感染するリスクが高くなる。特に Microsoft社の製品においては、
バージョンアップの頻度が高く、古いバージョンに対するパッチの公開を停止するまで
の期間が短い。新しいパッチが公開されたり、バージョンアップされた場合にはただち
に対処すべきである。さらに、感染してしまったときのために重要なファイルをバック
アップすることも必要である。
ActiveX、Java アプレット、JavaScript、ダウンロードを無効にすることも対策とし
て挙げられる。正しく表示されなくなる Webページや必要なファイルをダウンロードす
る際にいったん有効にしなければならない手間はかかるが、外部からの攻撃には有効で
ある。
マクロウイルスに感染しないよう、Word、Excel、PowerPoint などのマクロのセキュ
リティレベルを低以外にすることも効果がある。サムネイルを表示しただけで感染する
ウイルスに対抗するためにサムネイルを非表示にしたり、登録された拡張子を表示する
ことも同様に効果がある。
おわりに
第 1 節ではウイルスの歴史について、第 2 節ではウイルスの分類について、第 3 節で
はウイルス名に関してそれぞれ解説を行った。第 4 節ではその他脅威としてアカウント
乗っ取りについて事例を踏まえつつ解説した。第 5 節ではユーザが行う対策を説明した。
後期では個人研究よりも経営学会に向けたチーム発表に重点を置いたため、大枠は変化
していない。しかしウイルスが直接的には関わっていないが、筆者が興味のあった不正
アクセスについて調べることができたため満足している。経営学会に出席すると聞き、
チームワークや発表の質に不安があったが、特に問題はなかった。個人的な部分での指
摘があったため、就職活動ではそれを踏まえて行動したいと思う。
参考文献
株式会社ユニゾン [2002] 『図解雑学コンピュータウイルス』 ナツメ社。
河口知商、笹原康孝、孫準完 [2004] 「コンピュータウイルスの現状と対策につい
て」 『学校法人佐藤栄学園埼玉短期大学研究紀要』 第13巻,131-137頁。
菅野泰子 [2004] 「コンピュータウイルス被害の現状と対策」 『経営情報学会
誌』 第12巻第4号,102-108頁。
鈴木光勇 [2003] 『なぜコンピュータウイルスは悪さができるのか?』 MYCOM。
瀧本往人 [2009] 『コンピュータウイルス解体新書』 工学社。
武井純孝 [2003] 『コンピュータ ウイルスが伝染るのはなんでだろう!?』 セレ・ンディップ。
中島克彦 [2003] 「電子メールによるコンピュータウイルス感染の危険性」 『愛
知文教大学論議』 第6巻,147-159頁。
星正明 [2002] 『コンピュータ・ウイルス辞典』 工学社。
経済産業省 「コンピュータウイルス対策基準」2015 年 1 月 14 日
http://www.meti.go.jp/policy/netsecurity/CvirusCMG.htmつながる世界の歩き方 「LINE 乗っ取り被害とその手口!パスワードリスト攻撃と
フィッシング」2015 年 1 月 14 日
http://www.as-child.com/blog/1845「トロイの木馬の駆除とウイルス対策・削除方法」2015 年 1 月 14 日
http://vanilla.xrea.jp/virus/マイナビニュース 「コンピューターウイルスの歴史から最新の脅威の動向までを振
り返るーセキュリティ対策の基本をしっかり守る」2015 年 1 月 14 日
http://www.atmarkit.co.jp/fsecurity/rensai/anti_virus01/anti_virus01.htmlマイナビニュース 「9 月 OS シェア、Windows 7 が増加」2015 年 1 月 14 日
http://news.mynavi.jp/news/2014/10/04/028/「ANA の不正ログイン事件について徳丸さんに聞いてみた」2015 年 1 月 14 日
http://blog.tokumaru.org/2014/03/ana.htmlG DATA 「ウイルスの分類」2015 年 1 月 14 日
https://www.gdata.co.jp/labs/type.htmlG DATA SOFTWARE AG 「ウイルスの歴史」2015 年 1 月 14 日
https://www.gdata.co.jp/labs/history.htmlIPA独立行政法人情報処理推進機構 「情報セキュリティ」2015 年 1 月 14 日
http://www.ipa.go.jp/security/outline/outline-j.htmlIT 用語辞典 e-Words 2015 年 1 月 14 日
http://e-words.jp/ITmedia「ANA マイレージクラブに不正ログイン マイルを iTunes コードに不正交換
される被害」2015 年 1 月 14 日
http://www.itmedia.co.jp/news/articles/1403/11/news083.html「JAL の不正ログイン事件について徳丸さんに聞いてみた」 2015 年 1 月 14 日
http://blog.tokumaru.org/2014/02/jal.html
LINE 「他社サービスと同じパスワードを設定している皆様へパスワード変更のお願
い」2015 年 1 月 14 日
http://official-blog.line.me/ja/archives/1004331596.htmlMicrosoft 「コンピューターウイルス:解説、予防、および回復」2015 年 1 月 14 日
http://support.microsoft.com/kb/129972/jaSo-net 「セキュリティ通信」2015 年 1 月 14 日
http://www.so-net.ne.jp/security/pc/mail/Telecom-ISAC Japan 「インターネットみんなの安心安全ガイド」2015 年 1 月 14
日
https://www.telecom-isac.jp/an119/index.htmlVector 「フリーソフト、シェアウェアの基礎知識」2015 年 1 月 14 日
http://www.vector.co.jp/for_users/study/virus.htmlWebMoney 「WebMoney ってなに?」2015 年 1 月 14 日
http://sp.webmoney.jp/guide/Yahoo!ニュース 「今更聞けない!LINE ID 乗っ取りを防ぐ方法まとめ」2015 年 1 月
14 日
http://bylines.news.yahoo.co.jp/takahashiakiko/20140812-00038169/YOMIURI ONLINE 「JAL個人情報漏えい、6桁暗証での危険性」2015 年 1 月 14 日
http://www.yomiuri.co.jp/it/security/goshinjyutsu/20140926-OYT8T50136.html
Related Documents
