マルウェア

 マルウェアは、コンピュータの正常な働きを妨げたり、利用者やコンピュータに害を及ぼすソフトウェアの総称です。悪意に基づいて開発されたソフトウェア(malicious software)で、コンピュータウィルス、ワーム、トロイの木馬、スパイウェア、ランサムウェア、キーロガー、バックドア、一部の悪質なアドウェアなどが含まれます。




1 コンピュータ・ウィルス

 「コンピュータ」ウィルス(virus)は元々は医学上のウィルスと同じような性質を持っているということで命名されました。しかし、これはウィルスに似せることで機能するようになるとか、ウィルスに似ているために効果が増すとかいう話ではありません。作ってみたらたまたまウィルスに似ていたというだけの話でしょう。

 しかし、ウィルスに動作が似ているかどうかはあまり意味がありません。とにかく、何か「悪さ」をするプログラムということでしょう。ウィルスに似ているもの、全然似ていないもの、さまざまなものがあります。しかし、これに対策しなくてはならないという立場からは、これらを整理して、分類毎に対策を考えてみるのも役に立つのではないでしょうか。そこで、いくつかの視点から分類してみたいと思います。

 最初にウィルスという言葉を使ったのはフレッド・コーエンで(1983年)、コーエンはウィルスを「自身のコピーを含むように、他のコンピュータプログラムを修正することによって感染することができるコンピュータプログラム」と定義しています。

 また、経済産業省の示す基準では、ウイルスを次のように定義しています。

 第三者のプログラムやデータベースに対して意図的に何らかの被害を及ぼすように作られたプログラムであり、次の3つの機能のうち1つ以上を有するものとしています。

≪自己伝染機能≫
 自らの機能によって他のプログラムに自らコピーし、またはシステム機能を利用して自らをコピーし、またはシステム機能を利用して自らを他のシステムにコピーすることによって、他のシステムに伝染する機能

≪潜伏機能≫
 発病するための特定時刻、一定時間、処理回数などの条件を記憶させて、発病するまで症状を出さない機能

≪発病機能≫
 プログラム、データなどのファイルの破壊を行ったり、設計者の意図しない動作をするなどの機能

1.1 感染先による分類

1.1.1 ブートセクタ感染型

 BSI(Boot Sector Infector)と呼ばれるタイプで、ハードディスクやCD-ROM、フロッピーディスクのシステム領域(ブートセクタやパーティションテーブル)に感染するウィルスです。

 システム領域については、システムの起動やリセットと関係がありますので、このあたりを簡単に説明しておきます。

 システムの起動手順はOSによってそれぞれ違っています。また、同じOSでもバージョンによっても異なることがあります。更に、同じバージョンでも、システムをコンパイルしたときの設定によっても異なる可能性があります。したがって、これから説明することは全くの概略です。

 コンピュータはプログラムがないと動きません。このコンピュータの基本的な動きを制御しているプログラムをOSといいます。ただし、プログラムはコンピュータに入れておけばいいというわけではありません。ハードディスクに入れたのでそれで動くというわけにはいかないのです。プログラムはCPUの動きを制御するのですが、CPUはメインメモリとしかデータのやり取りができないのです。したがって、OSでコンピュータを制御するには、OSをメインメモリーに持っていかないといけません。これをするのはもちろんプログラムです。このプログラムをメインメモリの持っていくためにはどうしたらいいでしょうか?手作業?やはりプログラムです。では、このプログラムをメインメモリに持っていくには?これではいくらやってもきりがありません。

 コンピュータが開発された当初はこの作業はもちろん手作業で行っていましたが、大変な労力を要する作業となりました。しかし、コンピュータの電源を落とすと、メインメモリ上にあるデータは全部消えてしまいます。従って、再立ち上げという段になると、また大変な立ち上げ作業をしなくてはなりません。

 そこで、コンピュータを立ち上げるまでの手順を自動化しようということになりました。これからお話しするのは単なるアイデアで、何かのシステムの手順を正確になぞったものではありません。

 パソコンに電源を入れたときに直ぐに動き出すプログラムをROMに入れておきます。ROMに入れなくてはならないので、小さな小さなプログラムです。パソコンに電源を入れると、この小さな起動用のプログラムがメインメモリに移動します。このプログラムが起動の手順を書いたプログラムを、メインメモリに引き上げます。この起動の手順を書いたプログラムは通常ブートストラップと呼ばれます。このブートストラッププログラムは、ハードディスクの先頭部分(ブートセクタ)に記述されています。このブートストラッププログラムがCPU、メモリ、チップセット、キーボード、グラフィックス・カード、PCIスロット、ハードディスクコントローラ、などが正常に動くかどうか確認しつつ起動していきます。問題なければ、OSの中心的な部分であるカーネルをメインメモリに移動させ、その後、基本となるファイルシステムなどの設定ファイルを読み込んでいくという順番になります。

 ブートセクタ感染型のウィルスはブートセクタにあるブートストラッププログラムを別の場所に移動し、自身をブートセクタにコピーします。従って、パソコンの電源が入るとOSが起動する前にまずウィルスが起動し、その後にブートストラップに制御を渡すということになります。

※ブートセクタにウィルスがコピーされると、OSよりも早くウィルスが動き出します。ウィルス対策ソフトはOS上で動作しますので、ウィルスはウィルス対策ソフトが起動する前に、起動してしまうことになります。

※ここではハードディスクに起動プログラムが入っているという前提で、説明しましたが、起動用プログラムは、FDやCD-ROMに入っていることもあります。FD起動が一般的であった時代にはこの種のウィルスが大流行しました。

1.1.2 実行ファイル感染型

 拡張子が「com」「exe」「sys」などの実行ファイルに感染するウィルスです。既存の実行プログラムの先頭や最後尾に付着するものや、既存のプログラムを上書きしてしまうものがあります。このタイプのウィルスに感染した場合は、感染したプログラムを実行する度にウィルスコードも一緒に実行してしまうことになりますので、感染被害が広がってしまいます。

1.1.3 複合型

 ブートセクタ型と実行ファイル型の両方に感染するウィルスです。

1.1.4 データファイル感染型

 マイクロソフト社のOffice製品(Word、Excel、PowerPoint、Access)には一連の操作を記録しておき再現するための仕掛けとしてマクロという機能が備わっています。このマクロ機能を利用して、Officeのデータファイルに感染するウィルスをマクロウィルスといいます。データファイル感染型には、マクロウィルス以外にも、Javaスクリプトや、Visual Basicスクリプトなどを利用して、HTMLファイルなどに感染するスクリプトファイル型があります。






1.2 トロイの木馬とワーム

 トロイの木馬とワームはいずれも、完全に独立したプログラムとして動作するウィルスです。独立したプログラムとして動作するので、生物学上のウィルスに動きが似ているという意味での「狭義」のウィルスには該当しませんが、最近ではウィルスに分類されることが多くなっています(広義のウィルス)。

※トロイの木馬と「ワーム」を広く、トロイの木馬と捉え、更に、狭義のトロイの木馬と、ワームに分類する考え方もあります。

■ 狭義の「トロイの木馬」
 表向きの機能と実際の機能が異なるプログラムで感染性はありません。表向きは便利なアプリケーションや面白いゲームのようなものに見えながら、実際は悪事を働くプログラムです。遠隔操作されるものが多くあります。

■ ワーム型
 狭義のウィルスは宿主に感染した後、一旦潜伏し、宿主が動き出したタイミングで発病するというメカニズムに従います。しかし、ワームは宿主なしで、独立に動き出すプログラムで、自己増殖する機能があります。宿主が動き出したタイミングなどに縛られることがありません。自分で自分のコピーを大量に作りそれをばらまいていくことができるので、驚異的な感染力を持ちます。最近インターネット上で問題となっているウィルスはその大半がワームに分類されています。

1.3 その他のタイプ

■ ロジックボム(論理爆弾)
 サイバー攻撃などに用いられるコンピュータウィルスで、指定時間の到来など、システム上で条件が満たされるまで潜伏し、条件が満たされると動作を開始するプログラムです。

■ ボット
 感染した大量のコンピュータをリモートから遠隔操作して悪さをするウィルスです。ボットについては後の節で説明しています。

■ スパイウェアとアドウェア
 スパイウェアとアドウェアについては、ウィルスではないとする意見が一般的です。スパイウェアと悪質なアドウェアはマルウェアと位置付けられています。

 スパイウェアは感染したコンピュータの内部から外部に情報を漏えいするプログラムです。スパイウェアについては後の節で説明しています。

 アドウェアとは広告を目的とした通常は無料のソフトウェアですが、中にはユーザに告知せずに何らかの情報を収集するようなものもあります。悪質なものはマルウェアとなります。アドウェアについても後の節で説明しています。




1.4 ウィルスの感染経路

1.4.1 記憶メディア感染型

 ウィルス感染が流行った初期のころはFDやCD-ROMのシステム領域に感染したウィルスが大流行しましたが、現在はUSBメモリから感染する例が増えています。

 最近多くのコンピュータでは、USBメモリをコンピュータに差し込んだだけで自動的にプログラムが実行される仕組みを用意しています。ウィルスがこの仕組みを悪用している場合は、USBメモリをコンピュータに差し込んだだけでウィルスに感染してしまいます。このタイプのウィルスに感染したコンピュータにUSBメモリを差し込むと、そのUSBにも感染が広がります。

1.4.2 電子メール感染型

 電子メール感染型では、電子メールの添付ファイルから感染するタイプと、メールの本文から添付するタイプに分かれます。本文にウィルスが埋め込まれている場合は、本文を開くだけで感染してしまいます。

■ テキストメールの添付ファイル
 電子メールはテキストメールが基本です。テキストメールの場合は、本文にウィルスを埋め込むことはできませんが、添付ファイルにはウィルスを記述することができます。添付ファイルをうっかり開いてしまうと、ウィルスに感染してしまう可能性があります。

■ HTMLメールは本文も危険
 HTMLメールの場合は、本文にスクリプトを記述することができますので、スクリプトの形で本文にウィルスが埋め込まれている可能性があります。本文を開いただけでウィルスが自動実行する設定になっていると思いますので、本文を開いただけで感染してしまう可能性があります。HTMLメールはできれば使わないほうがいいと思います。

1.4.3 ネットワーク感染型

 電子メール以外の手段で、ネットワーク経由で感染を広げるタイプです。OSやアプリケーションのセキュリティホールを狙ってウィルスを侵入させるものや、IRCやNetNews、ファイル共有などを利用するものなどがあります。

■ Webページの閲覧
 現在のWebブラウザは、Webページ上で様々な処理を実現できるようになっています。従来は、全ての処理をサーバ側で行いブラウザは表示するだけというのが一般的でした。しかし、近年ではブラウザ上で処理を行うケースが増えています。特にクラウドでは、クライアント側での処理やキャッシュコントロールによって、サーバの負荷を抑えるというメリットがあります。
 
 クライアント側で処理する場合には、JavaScriptやVBScript、Javaアプレット、ActiveXコントロールなどが使われます。JavaScriptとVBScriptは、HTMLファイルの中に書かれたソースコードをブラウザで読み込み実行する形式です。Javaアプレットは中間言語にコンパイルされたプログラムで、Webサーバに保存されています。クライアントがHTMLファイルを読み込むときに、タグにアプレットが指定してあれば、Webサーバのアプレットをクライアントに読み込んで実行します。ActiveXコントロールはMicrosoft社のソフトウェア技術で、Webサーバからブラウザにソフトウェアの部品を送信し、ブラウザ上で即座に実行することができるものです。これは、同社のIEが対応している部品化技術で、ブラウザが標準で対応していない形式のデータを読み込んで表示・再生したり、ブラウザ上で特定の機能を持つソフトウェアを実行することができます。

※Javaアプレットでは、Java仮想マシンと呼ばれるソフトウェア的なメカニズムがアプレットを実行し、結果をブラウザに表示します。

 これらのプログラムでウィルスが埋め込まれたWebページを閲覧すると、ブラウザ上でウィルスが実行され感染してしまいます。かつては怪しいサイトに行かなければ大丈夫と思われていましたが、最近ではSQLインジェクションという手口が横行して、正規のWebサイトにウィルスが埋め込まれてしまうというケースが増えています。

 最近ではWebブラウザの脆弱性だけでなく、Webブラウザへのプラグインソフトの脆弱性も狙わていますので注意が必要です。

※プラグインソフトは、ソフトウェアの機能を拡張するための拡張プログラム




■ P2Pファイル共有ソフト
 ファイル共有ソフトは、インターネットで不特定多数のユーザとファイルを交換するためのソフトウェアです。ファイル共有ソフトウェアはソフトウェアによって少しずつ異なりますが、多くはクライアント同士でやり取りを行うP2P(Peer-to-Peer、ピアツーピア)というタイプのものです。このファイル共有ソフトでは、不特定多数のユーザが自由にファイルを公開することができます。そのため、別のファイルに擬装したウィルスをP2Pネットワークに公開されると、いつの間にか感染が広がってしまいます。
 
 P2Pファイル共有ソフトの使用に当たってはP2Pファイル共有ソフトのポートを開放しておくことが要件になっています。しかも、このポート番号は流動的ですので、ある一定範囲のポートをそっくり開けておく必要があります。これはウィルス開発者にとってもとても好都合なことです。P2Pファイル共有ソフトがインストールされているパソコンには容易にウィルスを侵入させることができます。

 個人としてはファイル共有ソフトはインストールしないことが望まれます。P2Pファイル共有ソフトは著作権侵害行為にも結び付きますのでぜひ使用しないようにして下さい。個人ではインストールしないと決めている場合でも、1台のパソコンを家族の何人かで共用している場合には注意が必要です。家族の誰かが勝手にインストールしてしまっているという場合もありますので、家族でよく相談しておくことが大切です。企業や学校等のセキュリティポリシーではP2Pを利用禁止にしているところが多いと思います。まだという場合はぜひ検討して下さい。

■ ネットワークファイル共有
 企業等のネットワークでは特定のコンピュータの特定ドライブ(ネットワークドライブ)でファイルを共有するような使い方が一般的です。ウィルスによっては、感染したコンピュータでファイル共有用のネットワークドライブを探し出し、特定の拡張子を持つなどの条件でファイルを選択して、感染していくタイプがあります。
 
 サーバ内の共有プログラムが感染してしまったり、共有テンプレートが感染してしまったという場合は、ユーザがこれを使うことで瞬く間に組織全体に感染が広がってしまいます。

■ グループウェアに注意
 企業内LANを利用して情報共有やコミュニケーションの効率化をはかり、グループによる協調作業を支援するソフトとしてグループウェアと呼ばれるソフトウェアがあります。主な機能としては、電子メール機能、電子会議室機能、テレビ会議機能、電子掲示板機能、スケジューラ機能、文書共有機能、ワークフロー機能などを備えています。

 グループウェアに蓄積された情報は独自のデータベースに格納されるため、通常のウィルス対策ソフトが働かない可能性があります。また、グループウェアのメールも独自開発されたものが多く、添付ファイルがグループウェア独自のデータベースに格納されるため通常のウィルスソフトが効かないことがあります。このような場合には、そのグループウェア専用のウィルス対策ソフトを使用して下さい。これから、導入する場合は独自のウィルス対応ソフトが用意されているものを選択して下さい。
 
■ 偽のウィルス対策ソフト
 ウィルス対策ソフトのように見せかけて、ユーザにウィルスをダウンロードさせるようなケースが増えています。インターネットをしていて特定サイトに行くと、突然「あなたのパソコンはウィルスに感染しています」というような表示が出て、「今すぐインストール」などと書かれたボタンをクリックすると、ウィルス対策ソフトに見せかけたウィルスがインストールされてしまいます。インターネットサーフィンなどをしている途中で隠れたリンクに引っかかって特定サイトに誘導されてしまうケースがほとんどのようです。




1.5 メモリ常駐型か否か

 ウィルスがメモリの常駐してしまうと、他のファイルを開いたり、コピーしたりするだけで、そのファイルにウィルスが感染してしまいます。ブートセクタ型はメモリに常駐します。メモリに常駐しない場合は、その感染ファイルが実行された場合にだけ、症状が発生します。

1.6 ウィルスの変遷

 ウィルスの感染経路や活動内容、活動形態は、時代と共に変わり続けています。

● ≪1990年代前半まで≫
 1990年代前半位までは、コンピュータはまだスタンドアローンで利用されるのが普通でしたので、FDやCD-ROM等の記憶媒体を媒介して感染するというのが一般的な感染形態でした。最初は、狭義のウィルスに分類されるようなタイプが殆どです。
 
 誰が、どんな目的でウィルスなどを作ったのでしょうか?最初は、コンピュータに興味を持ったいたずら好きの若者が、自分の能力を誇示する目的で、いたずら半分に作ったものだと言っていいでしょう。いたずら目的ですので、コンピュータに与える影響は大したものではありません。被害を受けた方も「やられたな」位で、笑い飛ばしてしまうほどのものだったと思います。

 このころのウィルスによる症状は、画面の表示が崩れたり、メッセージが表示されたり、コンピュータが起動しなくなったりという分かり易い症状が出るのが一般的でした。

 例えば一定期間潜伏して、特定の日時が来たらメッセージを表示するようなものがありました。これなどは、いたずら目的といっていいでしょう。
 コンピュータを破壊するウィルスは、特定の拡張子がついているファイルを探し出して、自動的に削除してしまうものなどです。これはいたずらとしては少しやりすぎの感はありますが、ファイルを入れ直せばすぐに治るもので、他には害はありません。

● ≪1990年代後半から2000年代の初頭≫
 この頃になるとパソコンがネットワークで接続されるようになります。感染対象は、パソコンやサーバです。感染形態としては、ネットワーク経由が増えてきます。メールや、ファイルのダウンロードなどで感染します。このころは、狭義のウィルスは減って、「ワーム」が増えてきます。

 いたずら目的のものもまだありましたが、だんだん経済的な不正利得を得ることを目的とするウィルスが多くなってきます。コンピュータの管理者に気づかれずに情報を盗むのが目的というケースも多くなってきます。メッセージを出したり、コンピュータを停止させたりという分かり易いものはなくなり、コンピュータの管理者に気づかれないように、個人情報を窃取したり、あるいはDDoS攻撃などを使って、ネットワークを制御状態に陥れるなどの手法が一般的になります。

● ≪2000年代の初頭から最近まで≫
 ネットワーク経由ということは変わりがありませんが、最近の傾向としてはWeb経由での感染が増えています。感染対象としては、パソコン、サーバなどに加えて、携帯電話、PDA、情報家電などが増えています。

 脅威としては個人情報の漏洩、詐欺行為(フィッシング等)などが増えています。ウィルスの作成が反社会行為、あるいは犯罪行為とみなされるようになりましたので、以前のようないたずら目的のものは殆どありません。現在は、経済的な利得、犯罪行為、スパイ行為などを目的とするものが多くなっています。



1.7 ウィルス感染が疑われる症状・事象

 以前は、いたずら目的のものが大半でしたが、現在は、経済的利得、犯罪、スパイなどを目的としていますので、できるだけ利用者、管理者に気づかれないように工夫されています。しかし、気づかれないように作っているといっても、ウィルスが何かの悪さをしていると、その兆候が表れることもあります。例えば、CPUやネットワークに過剰な負荷を掛けているとか、何かのボタンを押させているとかいう場合には兆候が表れるはずです。

1.7.1 ウィルス感染に感染した可能性がある場合の事象 

 ウィルスが外のネットワークと通信している可能性があります。その結果CPUを消費するかも知れませんし、ネットワークの帯域を消費するかもしれません。

 ウィルスは自己増殖し、インターネットやLANを使って、他のコンピュータに感染しますので、CPUが過負荷に落ちっていたり、ネットワークが過負荷になっている恐れがあります。

 感染を広げるために勝手にインターネット接続をしようとするかもしれません。

 CPUが過負荷状態に陥れば動作が遅くなります。WindowsならばタスクマネージャでCPUの使用率を確認することができます。

 ネットワークが過負荷になっている可能性も高くなります。例えば、メールのアドレス帳にあるメールアドレスに宛ててウィルスをばらまくなどのものであれネットワークは過負荷状態になっているかも知れません。ネットワークの帯域が大量に消費されている場合は、回線が遅くなります。いつも見ているページの表示速度が遅くなったという場合は、ウィルスチェックをしてみて下さい。

 意図しないメールの送信が行われていないかもチェックして下さい。

 ウィルスがこっそりと目に見えないところで動いている可能性もあります。その結果、インターネットの接続を妨げているという場合もあります。あるいはアドウェアが利用者の目に見えない形で動作しているような場合もあります。例えば、Webページへの来訪や広告をクリックすることで収益を得るためのアドウェアなどの場合は、ユーザがWebページに接続する度にクリック音がするかもしれません。

 今まであったファイルがなくなっているとか、見知らぬファイルができていたということがないかも注意して下さい。

 ウィルスチェッカが働くと気づかれてしまいますので、ウィルスチェッカの機能を妨げる働きをする可能性もあります。Windows Updateができなくなったり、ウィルスソフト会社のWebページに接続できなくなったり、定義ファイルが更新できなくなったり、あるいはウィルス対策ソフトのユーザ登録ができなくなっている可能性もあります。あるいは今まで動作していたウィルス対策ソフトが動かなくなってしまったりということがあるかも知れません。

1.7.2 ウィルス感染による個人情報の漏えい 

 個人情報が漏えいしている場合は様々な影響が出てくると思います。アカウント(ID、パスワード)、メールアドレス、クレジットカードの番号、Cookieなどを摂取された場合は様々な問題が引き起こされます。
 ID、パスワードが盗まれてしまった場合、あるいはCookieを盗まれてしまった場合は、オンラインショッピングやオンラインゲームで不正利用される可能性があります。クレジットカード番号が盗まれると、不正に利用され、購入していないものの代金を請求される可能性があります。
 ウィルスによってIDとパスワードを盗まれた場合は、Webページの更新に使うFTPのアカウントを悪用され、Webページを書き換えられてしまう可能性もあります。そのWebページはアクセスしただけで、ウィルスに感染してしまう「危険なWebページに」改ざんされてしまうかもしれません。

 メールアドレスが漏えいしてしまった場合は、盗まれたメールアドレスが送信元として使われる場合があります。送信元としてスパムメールが送信されてしまう可能性もあります。この場合は、スパムに対する返信が送信元にどっさりと届くかもしれません。メールアドレスの漏えいは、アドレス帳のようなデータベース単位で発生する可能性もあります。このような場合は、盗まれたアドレスを宛先とした大量のスパムメールが発信される恐れもあります。


1.8 ウィルス対策

1.8.1 ウィルス対策ソフト

 ウィルス対策には何といってもウィルス対策ソフト(ワクチンソフト)が有効です。ウィルス対策ソフトは、定義ファイルを使用します。定義ファイルでは、ウィルスを型で定義して、その型にマッチしたものをウィルスと判断しています。定義ファイルに該当する型が定義されていないものは実際にウィルスでもウィルスとはみなされません。従って、定義ファイルは常に最新のものにしておく必要があります。

 ウィルス対策ソフトの会社は、ハニーポットと呼ばれるシステムにウィルスをおびき寄せて、型の分析をしています。ウィルスは毎日毎日新しいもの、あるいは従来のものの亜種が作成されていますので、ウィルス対策ソフトの会社は日々、定義ファイルを更新しています。従って、ウィルス対策ソフトを導入したらそれでおしまいというわけではなく、常に最新の定義ファイルをダウンロードできるように設定しておかなくてはなりません。

 パソコン購入時には試用版のウィルス対策ソフトがインストールされていますが、これは一定期間を過ぎると、利用できなくなったり、定義ファイルが更新できなかったりしますので、注意して下さい。

 ウィルス対策ソフトに会社は、カスペルスキー、マカフィー、ノートン、ソースネクスト、シマンテック、トレンドマイクロなどが有名です。

http://www.kaspersky.co.jp/
http://www.mcafee.com/japan/
http://jp.norton.co./
http://www.sourcenext.com/
http://www.symantec.com/ja/jp/
http://jp.trendmicro.com/jp/home/

 ウィルス対策ソフトにはフリーのものもあります。フリーで有名なものとしては、Avira、AVG、Bitdefender、panda、KINGSOFT、アバストなどがあります。最近のフリーのアンチウィルスはかなり優秀なようですが機能的には制限されています。有料のものはアンチウィルス以外に、ファイアウォール機能、フィッシング対策機能、スパムメール対策機能、個人情報漏えい防止機能、有害サイトブロック機能などが一緒になっている、いわゆる「セキュリティスイート」(セキュリティ関係のソフトが全部入っている)というタイプが多いのですが、フリーのアンチウィルスは大抵ウィルスをブロックする機能しかついていません。

 それから、有料のものは子供を有害サイトから守るための保護者管理機能がついているものが多いのですが、フリーのものにはついていません。また、フリーのものは殆ど、広告表示機能がついていますので予め承知しておいて下さい。



1.8.2 メールの添付ファイルはウィルスチェック

 ウィルスの感染経路として最も多いのはWebですが、それに次いで多いのがメールの添付ファイルです。メールの添付ファイルにはウィルスが潜んでいる可能性が高いので、ウィルスチェックをしてから開くようにして下さい。
 知らない人からのメールは特に危険です。知っている人同士でメールの交換をする場合でも、注意しなくてはなりません。知っている人にメールする場合でも、添付ファイルを付ける場合は、本文でその旨を書くべきです。できれば内容についても言及したほうがいいかもしれません。

 添付ファイスの拡張子には特に注意して下さい。拡張子が、exe、pif、scr、bat、comというファイルの場合は開いたとたんに動き出しますので、ウィルスが入っていればすぐにウィルスが動作を始めます。

 Windowsのフォルダのオプションには拡張子を表示させないというチェック項目がありますが、チェックを外して下さい。
 ファイルのアイコンは勝手に変えることができますので、アイコンを信用しすぎないようにして下さい。



1.8.3 ダウンロードしたファイルはまず第一にウィルスチェック

 インターネットからは画像ファイル、音楽ファイル、映像ファイルなどの様々なファイルがダウンロードできますが、これらのファイルにはウィルスがついている可能性があります。インタネットからダウンロードしたファイルは最初に必ずウィルスチェックしてから使用するようにして下さい。

 インターネットからダウンロードするときは信頼できるサイトからするようにして下さい。スパムメールで指示されたサイトからダウンロードすることは絶対に避けて下さい。また、怪しげなサイトからダウンロードすることも避けて下さい。

 ファイル交換ソフトを使ってのファイル交換はできるだけしないようにして下さい。どうしても必要だという場合はウィルスチェックをしてから利用して下さい。また、ファイル交換ソフトを使用する場合には著作権侵害にも十分に気を使って下さい。

1.8.4 アプリケーションはセキュリティ機能を活用

 ブラウザやメールソフト、Office製品などは独自にセキュリティ設定ができるようになっています。例えばIEの設定でセキュリティレベルを上げるとか、WordやExcelのマクロ機能を使わないように設定するなどの方法があります。各自検討してみて下さい。

1.8.5 セキュリティパッチを当てる

 最近のウィルスはOSやアプリケーションの脆弱性(セキュリティホール)を狙ったものが多くあります。セキュリティホールが見つかると、その穴をふさぐためのセキュリティパッチが公開されますので、セキュリティパッチが公開されたら必ず、即時にあてて下さい。

 Microsoft社は同社のOS製品、Office製品のサポート期間を次のように決めています。XPは2014年4月8日、Vistaは2017年4月11日、7は2020年1月14日、8は2023年1月10日まで、Office 2003は2014年4月8日まで、Office 2007は2017年10月10日まで、Office 2010は2020年10月13日、Office 2013は2023年4月11日までです。この期間を過ぎたものについては、仮にセキュリティホールが見つかったとしても、セキュリティパッチは発表されませんので、注意して下さい。サポート期限が過ぎた後は自己責任でお使い下さいと言いたいところですが、これはおやめ下さい。自分、あるいは自社だけで責任を負いきれるものではありません。

1.8.6 ウィルスの兆候を見逃さない

 ウィルスに感染してしまった場合はその兆候が表れることがあります。ウィルス感染の兆候については既に説明しましたので、そちらを参考にして下さい。ウィルス感染の疑いがあると思ったら、即座にそのコンピュータをネットワークから切り離し、ウィルス検査をして下さい。

1.8.7 バックアップの必要性

 ウィルスに破壊されたデータは、ウィルス対策ソフトでは復旧することはできません。ウィルス感染した場合に完全復旧できるように日ごろからデータのバックアップの習慣をつけておきましょう。

1.8.8 ウィルス感染してしまった場合の処置

 ウィルス感染が疑われる場合は、まず第一にコンピュータをネットワークから切り離して、ウィルス対策ソフトを使って検査をして下さい。定義ファイルは最新版にしなくてはなりません。ウィルス名が特定できたら、ウィルス対策ソフトの会社のWebサイトに行き、検出されたウィルスの情報を探し出して、そこに記述された方法にしたがって対策して下さい。

 ウィルス対策ソフトをインストールしていなかったという人は、インターネットで無償のウィルス対策ソフトをダウンロードして下さい。このときウィルス感染をしたパソコンを使うことはできませんので、会社等であれば、他の部署の人や、ネットワーク管理の専門部署の人の力を借りて下さい。個人であれば、友人等に頼んでダウンロードしてもらったものを利用して下さい。

 ウィルス対策ソフトの会社でも、無償のスキャンツールを提供していますので、調べてみて下さい。



2 ボット

 ボットという言葉はいろいろの意味で使われます。もともとはロボットから来ています。インターネット上で自動化されたタスクを実行するアプリケーションで、Webページの情報を自動で集めてきて、その内容を分析するプログラムが代表的なものです。このようなプログラムはクローラとも呼ばれます。ここで問題にしているのはクローラとは違います。

2.1 ボットとは何か

 マルウェアという文脈で使われるボットは、ウィルスの一種です。ボットの特徴は、ウィルスに感染した複数のパソコンを遠隔で操作して、標的に対して一斉に攻撃等を仕掛けるというものです。

 ボットは、IM(インスタントメッセンジャー)プロトコルの一種であるIRC(Internet Relay Chat、インターネット・リレー・チャット)の仕組みを利用しています。IRCはIRCサーバを介して、クライアント同士が会話をする仕組みです。ボットではIRCサーバはC&C(Command & Control)サーバと呼ばれることがあります。

 ボットに感染したパソコンはゾンビパソコンなどと呼ばれることがあります。ボットでは、インターネット上のたくさんのパソコンをボットウィルスに感染させます。ボットに感染したゾンビパソコンはボットネットワークに参加します。攻撃者もこのボットネットワークに参加して、IRCを使って、ゾンビを遠隔から操作することが可能となります。

 ユーザに気づかせないために、感染しても表面的な変化は殆ど現れません。また、ボットはC&Cサーバとの通信の中で、自身のアップデートを行います。これによって攻撃に必要な機能を追加したり、ウィルス対策ソフトの検出を免れたりすることができます。また、IRCサーバを変更して、気づかれにくくするなどの手法がとられる場合もあります。

2.2 ボットの被害

 攻撃者はC&Cサーバを介して、ゾンビパソコンを操ります。ゾンビパソコンは感染の結果、バックドアを開けられています。このバックドアを経由して、攻撃者からIRCによる命令を受け取ってしまいます。

 攻撃方法としては、いろいろのものが考えられます。① ゾンビパソコンを操って、特定の目標に対してDDoS攻撃を仕掛ける。 ② ゾンビパソコンを操って大量のスパムメールを送信する。 ③ 感染パソコンから、あるいは感染パソコンの属するLAN内に保持されている各種アカウント情報、アドレス帳、文書ファイルなどを窃取する。 ④ ボットネットを拡大するために、感染パソコンを足場にして、LAN内に感染を広げる、などのことが考えられます。スパムメールの送信や、DDoS攻撃が行われる場合は、感染パソコンも加害者となってしまいます。

2.3 ボット対策

 対策についてはウィルスの項をご覧ください。

 ボットに関しては、インスタントメッセンジャ(IM)を使っていて感染する場合もありますので、注意して下さい。




3 スパイウェアとアドウェア

3.1 スパイウェア/アドウェアとは何か?

 スパイウェア/アドウェアはコンピュータウィルスのように知らないうちにパソコンにインストールされ、個人情報を盗み出したりユーザの操作に反してパソコンを動作させるプログラムです。

 Webサイトを見ようとしてブラウザを立ち上げると、「知らないページが勝手に表示される」ということはないでしょうか?あるいはパソコンの動作が極端に遅くなったとか、裏で何かが動いているように感じたことはありませんか?こんな場合は、スパイウェア/アドウェアかも知れません?

 スパイウェア/アドウェアはユーザの行動や、個人情報を収集したり、CPUの空き時間を利用して何かの計算をしたりするソフトウェアで、得られたデータはマーケティング会社などの、スパイウェア/アドウェアの作成元に送信されてしまいます。

3.2 スパイウェア/アドウェアはどんな症状を起こすか?

 スパイウェアにより、主にセキュリティ侵害とパフォーマンス低下という弊害をもたらします。

■ ユーザの個人情報の収集
 ユーザが訪れたWebページの履歴を集めたりします。パスワードやクレジットカード番号などを盗み出すといった悪質な行為をするものまであります。

■ 強制的に特定サイトへ誘導
 起動時にアクセスするWebサイトを強制的に書き換えられます。そして、変更しようとしても変更できません。また、このサイトから他のサイトに移動することもできません。

■ 不要なポップアップによる操作性の低下
 ポップアップウィンドウによって広告を表示します。これを消そうとしても、これを契機にして次のポップアップ広告が立ち上がり、何時まで経ってもポップアップ広告を消すことができません。

■ ブラウザセキュリティ設定の変更
 セキュリティ設定を変更して特定サイトを勝手に「信頼済みサイト」に追加し、以後その特定サイト経由だと、どんなプログラムも警告なしでインストールさせられてしまいます。

■ システムの不安定化
 バックグラウンドでスパイウェアが動くと、リソースを使い切ってしまい、パソコンの動作が極端に遅くなることがあります。


3.3 スパイウェア/アドウェアはどうやって潜入するのか?

 スパイウェア/アドウェアはウィルスとはみなされていません。機能はよく似ているのですが、スパイウェア/アドウェアは形式的にはユーザがダウンロードを了解しているからです。

 無償の音楽再生プログラムなどをダウンロードするときは、多くの場合、他のソフトウェアのダウンロードについても同意を求められています。しかし、たいていの人は英語で読んでも分からないとか、読むのが厄介だからとかいう理由で、いい加減に「Yes」ボタンを押しているかも知れません。日本語の場合でも、長々と意味不明の説明が続いて最後まで読むのが大変です。苦労して読んでも、曖昧で何が書いてあるのか分からないということで、同意のボタンを押してしまいます。しかし、長い説明書きには「使用許諾契約書」といわれる文書が入っているはずです。ここには、ユーザの情報を収集することを許可して下さいという意味のことが書かれているはずです。これをユーザの皆さんは意味もわかわずに「同意」してしまっているのです。

 場合によっては同意しないと次に進めないこともあります。同意を求めるポップアップを消去しても、また出てきます。何度消しても、同じことで、まったく先に進めません。それで仕方なしに、同意ボタンを押してしまったという方も多いのではないでしょうか?

 ユーザが利用したいと思っているソフトウェアにセットとして配布されるようになっているものもあります。この場合は、スパイウェア/アドウェアのインストールに同意しない限り、目的のソフトウェアもダウンロードできません。

※もちろん皆さんは情報の収集についての許諾契約書を読み納得したうえで同意したのではありませんので、法律的には契約は成立していないはずです。しかし、形式的には契約は成立してしまっています。このような場合には、契約が成立していないことを証明するのは皆さんの責任になってしまうと思います。なんとも厄介なことです。



3.4 スパイウェアとアドウェアの違い

 スパイウェアはパソコン内の個人情報などをインターネット経由で流出させてしまうソフトウェアの総称です。一部の企業がユーザの意識やニーズをつかむためにスパイウェアを利用しています。
 アドウェアはWeb上に広告を表示させ、この広告を選別させる目的で情報収集を行っている場合が多いいようですが、アドウェアもかなりの割合でスパイウェアの機能を持っています。

3.5 スパイウェア/アドウェアとウィルスの違い

 スパイウェアはパソコン内の情報を外に流すという点ではウィルスと似ていますが、利用に際して許諾の同意を求めたり、他のソフトの利用条件になっているなど、正当なプログラムとしての一面も持っています。また、ウィルスが単に悪さをすることを目的としているのに対して、スパイウェアは商用目的を持っているなどの違いがあります。

 ウィルスがスパイウェアと全く同じ働きをすることがあります。スパイウェアと全く同じ機能を持ったコードが、不正なコードが埋め込まれたWebページを閲覧することで感染したり、スパムメールに示されたリンクをクリックすることで不正なサイトに導かれて感染したり、メールの添付ファイルから感染したり、ファイル交換ソフトを利用することで感染してしまったということがあります。しかし、機能が全くスパイウェアと同じであったとしても、これをスパイウェアとみなすことはできません。

3.6 スパイウェア/アドウェアの対策

 対策についてはウィルス対策を参照して下さい。

 最近のウィルス対策ソフトは、スパイウェア/アドウェアを検知することができるものが増えています。導入する場合はよく確認して下さい。利用者が意図的にスパイウェア/アドウェアを導入したときは、検知を除外するように設定して下さい。






参考資料
http://www.ipa.go.jp/security/antivirus/shiori.html

更新履歴

2016/08/06       作成