コンピュータウイルス

提供: Yourpedia
移動: 案内検索

コンピュータウイルス(computer virus)とは、広義ではコンピュータに被害をもたらす不正なプログラムの一種である。日本工業規格(JIS X0008「情報処理用語-セキュリティ」)では単に「ウイルス」(virus)と定義され、一般に医学生物学上の原義のウイルスと混同する恐れがない場合は「ウイルス」と呼ぶことが多い(なお、英語ではヴァイラスと発音する)。

コンピュータウイルスの感染を阻止したり、感染したウイルスを検出したりする技術をアンチウイルス (anti-virus) と呼び、それらを支援するソフトウェアをアンチウイルスソフトウェアや、ウイルス対策ソフトワクチンなどと呼ぶ。

一般的な定義とその概要

日本では通商産業省(現経済産業省)が次のような性質をひとつ以上有するものと定義している。

  1. 自己伝染機能 - 自己を複製し他のコンピュータに感染を広げる機能
  2. 潜伏機能 - 特定の条件がそろうまで、活動を待機する機能
  3. 発病機能 - データの破壊、システムを不安定にする、バックドアを作成するなどの機能

(詳しくは通産省の告示[1]を参照のこと)

具体的には感染先のファイル(「宿主」と呼ぶ)の一部を書き変えて自分のコピーを追加し (感染)、感染した宿主のプログラムが実行された時に自分自身をコピーするコードを実行させることによって増殖していくというものである。

ウイルスが含まれたファイルは、ウイルスに感染しているという。感染したファイルを(多くの場合、感染していることを知らずに)複製することによりウイルスが広がっていくさまが、生物であるウイルスが増殖していくさまに似ていることからこの名前がついた。

日本でコンピュータウイルスを感染させる行為をした場合電子計算機損壊等業務妨害罪偽計業務妨害罪器物損壊罪電磁的記録毀棄罪信用毀損罪業務妨害罪等の規定が適用される可能性がある。電子計算機損壊等業務妨害罪が適用された場合、5年以下の懲役又は100万以下の罰金に処せられる。ウイルスに感染した被害者から損害賠償を請求された場合は、作成者はさらに多額の賠償をしなければならなくなる。自分のコンピュータがウイルスに感染したが対策をとらず、他のコンピュータに感染を広げてしまった場合も賠償の責任を負う可能性がある。

2003年3月、法務省は、ウイルスの作成・所持を犯罪構成要件とする「ウイルス作成罪」を新設する方針を発表した。2004年2月、「ウイルス作成罪」(法案上は、不正指令電磁的記録作成等)を盛り込んだ刑法改正案を国会提出したが、同一法案に盛り込まれた「共謀罪」規定を巡って議論が紛糾し、2006年10月現在も成立には至っていない。

アメリカ合衆国などではウイルスの作成者の情報に多額な懸賞金がかけられ、作成者が逮捕されることも多い。米マイクロソフトはMSBlastワームとSoBigウイルスの作成者逮捕につながる情報に、25万ドルずつの報奨金を懸けている。2004年5月、ドイツの警察Sasserを作成したとして18歳の少年を逮捕した。

企業がウイルス対策を怠って、取引先にウイルス付きのメールを送ってしまった場合、信用問題、訴訟問題に発展する可能性がある。

ユーザーを驚かせるために作られた、感染能力、破壊能力のないジョークプログラムはコンピュータウイルスに含まれない。ウイルス対策ソフトも駆除しないが一部のジョークプログラムはウイルス対策ソフトで駆除される場合もある。

大まかな区分

ウイルス

もともと「ウイルス」の定義は、生物学的なウイルスと同様に「他のプログラムに寄生して自分自身の複製をつくることのできるコンピュータプログラム」のことであった。現在では前述の定義に加え「ユーザの意図と無関係に自己複製を行い、多くの場合不利益をもたらす」プログラムのことをさす。

感染すると以前から存在していたファイルのサイズが少し増えたようにしか見えないので、ウイルス対策ソフトがないと発見は難しい。狭義の「ウイルス」はこの種のプログラムを指す。

あるシステムからあるシステムに感染しようとする時に宿主となるファイルが必要なため、FD等のリムーバブルメディアや、電子メールの添付ファイルを経由して感染する事が多い。

なお、計算機科学上は、自己複製するプログラムは自己増殖オートマトンと言い、その概念はジョン・フォン・ノイマンによって考案された。

ワーム

コンピュータに単独で侵入、感染し、活動を行う不正プログラム。

あるシステムからあるシステムに感染しようとする時に宿主となるファイルを必要としない。ネットワークを介して、攻撃先のシステムのセキュリティホールを悪用して侵入する事が多い。

もっとも、あるシステムに感染して定住しようとする場合は、システム内に宿主となるファイル類が必要なため、「ワームウイルス」と呼ばれる事もある。この場合は、狭義のアンチウイルスソフトウェア(ファイル感染検索)で対策が可能である。

トロイの木馬

一見有用なアプリケーションであるが、その一部にコンピュータのデータを盗み出す等他の不正な動作をさせる機能を備えたもの。ユーザが自らの意思でインストールしてしまうことになるが、利用規約にコンピュータの情報を集めてベンダに送信することを示しているソフトウェアもあり、どこまでがトロイの木馬なのか明確な基準はない。破壊目的ではなく、情報を集めることが目的のトロイの木馬は「スパイウェア」とも呼ばれウイルスと区別されることもある。

2005年日本国内でも、不正ソフトウェアを仕込んだCD-Rを、正当な送り主(銀行)を偽装してネットバンキングサービスのユーザに送りつけ、不正送金を実行させた事件が発生した。なお、一部マスメディアではスパイウェアだとして報道されているが、有用なソフトウェアであるかのように見せ掛けてインストールした事からトロイの木馬が近い。

また2005年11月、ソニーの関連会社Sony BMGが、音楽CDの一種コピーコントロールCDに高度なルートキットを仕込んだとして問題になった。

これらの対策については、OSの設定で、CD挿入時の自動再生を無効にする必要がある。

ロジックボム(爆弾)

メールの添付ファイルの閲覧、およびWeb上のプログラムのダウンロードを介して、コンピュータに侵入するプログラム。指定時刻の到来など、システム上における条件が満たされると自動的に動作を開始し、データの破壊、盗用などを行った後、最終的に自分を消滅させる。また、自滅の際に、あらかじめ搭載された不正プログラムを拡散させる種もある。

コンセプトウイルス

ある種のセキュリティホールの問題を提起するため、技術的な実証実験に用いられるコンピュータウイルス。ハードディスクの内容を変更したり、データを消したりといった、危険な挙動はしないが、コンピュータに存在するセキュリティホールを利用して感染拡大する。技術的な問題点を知らしめるために、匿名の技術者が故意に漏洩させたり、一部のコンピュータウイルス製作者が、蔓延するかどうかを試す際にインターネット上で無差別に撒き散らされたりする事もあるが、稀に技術試験的な意味合いで製作された物が、予期せずインターネット上に流布されてしまう事がある。危険な挙動はしないとはいっても、リバースエンジニアリングによって、後から他のクラッカーなどにより、危険な機能を追加されて再配布される事もあり、これらコンセプトウイルスに感染し得るコンピュータは、更に悪質なウイルスに感染し易いといえる。

ボット

2005年に入って新しく強調されているキーワードのようではあるが、実際の所は、次のような複合的な特徴を持つウイルス。

  • ソースコードが公開されており、改変した亜種の作成が容易である。
  • メールや不正アクセス(ワーム)等の手段により広範囲に感染拡大する。
  • バックドア等により悪意を持った者がパソコンを不正に制御できる。
  • パソコンに侵入して感染拡大などの不正動作を、所有者が気づかないうちに実行する。
  • 広範囲に感染拡大させたパソコンから、ネットワーク上の特定のサイトを一斉に攻撃する。(DDoS攻撃

これらはいずれも不正ソフトウェアの既知の行動パターンであり、これらの機能を高度に統合したものを特にボットと呼ぶようである。また、このボットにより形成された不正行動のためのネットワークをボットネットと呼ぶ。

ボットは「ロボット」にちなんで命名されたもの。「ボット」と言う言葉自体は、コンピュータ関連における他の方面でも良く使われる言葉であり、使用には留意が必要である(検索エンジンのサーチボットMMORPGでのボット等)。

これまで(2005年1月29日発表)の時点で、警察庁が確認したところではボットに感染したネットワークを20種類程度確認し、1種類で3万台以上がそれに感染しているという。この内の25000台相当は日本国内のコンピュータと推測。イギリスでは賭博サイトで金銭を要求する恐喝事件が発生した事例がある[1]。日本でも2006年春ごろ指令を受け取ったボットが大手電子掲示板サイト2ちゃんねる内のスレッドに集中投稿するという事例が確認されている[2]

ウイルスの歴史

ウイルスの発生にも諸説がある。米ニューヘブン大学教授Fred Cohenは、1984年に発表した研究論文の中で「ウイルス」という用語を使い、これが学術的にはじめて「ウイルス」の語が使われたと言われている。空想上の概念としては1972年デイヴィッド・ジェロルドによるSF小説「H・A・R・L・I・E(en:When_H.A.R.L.I.E._Was_One)」において「ウイルス」プログラムが登場している(またそれに対抗するプログラムは「ワクチン」と呼ばれている)。単なるメッセージを表示するだけの害の少ないものは1970年代から見つかっている。本格的に破壊活動を行うウイルスが現れだしたのは1980年代パキスタンでコンピュータショップを経営していたアムジャット兄弟は、コンピュータの不正利用を妨害する目的でウイルスを作成した。現在では数万種のウイルスが存在していると言われている。日本では1988年パソコン通信を介してウイルスに感染したものが最初とされている。

ウイルスの目的

くだらないメッセージを表示して世間を騒がせて目立つという、愉快犯的な目的で作られたと思われるものは多い。ハードディスクフォーマットしたり、BIOSを書き換えたりされてコンピュータが起動しなくなることもあるが、データのバックアップを取っていれば修復は可能である。しかし、中にはコンピュータに侵入してパスワードやデータを盗み出したり、バックドアを作成してコンピュータの制御を奪ったりしてしまうような悪質な目的のものが存在する。派手に騒ぎ立てるようなウイルスは発見が早いが、こっそりと活動し微妙な改変を加えるようなものは発見が難しく対処が遅れることもある。ウイルスの作成自体は高度な技術がなくても可能である(それの感染が拡大するかは別であるが)。スクリプトで作成したウイルスは改変が容易で、またオープンソースのもの(SourceForge内でも平然と開発されている。確かにそれを禁止するような規約等は見つからないが・・・)や多くのプラットフォームで動作可能のため、多くの亜種が登場する。特定のメーカーのソフトウェアを標的にして、そのソフトウェアの信用を失墜させようとしていると思われるウイルスもある。

また近年では、別の目的のための手段としての利用がみられる。一種のP2P用ネットワーク(ボットネット)を形成する事で、感染したコンピュータの情報を盗んだり、DoS攻撃迷惑メールの発信プラットフォームとする物を製作・流布させたりするグループも幾つか確認されている。金銭目的の犯罪の道具として使われる点で、同じ目的のスパイウェアマルウェアとの垣根も低くなってきている。

最近の例では有益なツールとされるもの(主にP2Pネットワークを媒介とし、感染者のパソコンをサーバ化しHDD内のデータやスクリーンショットしてアップロードするウィルスの感染者を探し出すためのツール)にウィルスが含まれていたことがある。ウィルスの亜種がインターネット掲示板にホスト名を公開しながら犯罪予告をする等の動作を行うため、一部で話題になった(山田オルタナティブ)。

ウイルスの種類

  • ファイル感染 - 特定のファイルに感染する。狭義のウイルスとしては一般的。
  • ブートセクタ感染型 - ブートセクタに感染する。現在ではあまり見かけない。
  • マクロ型 - テキストファイルで書かれたスクリプト。作成、改変が容易な上に、異なるプラットフォームでも活動できる場合もある。

ウイルスの感染経路

ネットワーク普及以前は、フロッピーディスクなどで感染が広がった。書籍雑誌の付録として付いていたフロッピーディスクにウイルスが含まれていた事例もある。現在ではネットワークソフトウェアのセキュリティーホールを使って感染するもの、電子メールの添付ファイルを使って感染するものなどがある。簡単に自身の複製をばら撒けるため、現在では電子メールによる感染がほとんどである。LANケーブルを抜くなど、ネットワークから物理的に隔離してしまえば感染が広がるのを確実に防ぐことができる。

一般的な対策

本項目では一般的説明をするに留まるため、自らのシステムに関してはセキュリティ等の専門技術者に相談すること。

対策法

コンピュータウイルスの感染を防ぐには、ウイルス対策ソフト(アンチウイルスソフトウェア)の導入がもっとも効果的かつ手軽である。ウイルス検出の方法にもよるが、ウイルス対策ソフトはウイルス検知用のデータがないと十分に機能しないので、頻繁にウイルス対策ソフトをアップデートしなければ役に立たない。自動アップデート機能がついていれば、自動的にウイルス対策ソフトの開発元のサーバーからウイルス定義ファイルをダウンロードし更新してくれるので、オンにしておくほうが良い。できるならウイルス検出がウェブサイトで検査し、定期的にハードディスク全体をスキャンすると良い。

また、インターネットサービスプロバイダが、個人・小規模ユーザ向けに、メールゲートウェイ型のウイルスチェックサービスを提供している。(メールの送受信時に、添付ファイル等のウイルスチェックを行う。)

また、ルーターに、ウイルスや不正アクセスの検出・遮断機能を持たせるようなサービスもある。

なおこれらの対策法は、それぞれサービスによって得手・不得手が異なり、1つの対策法で全ての種類のウイルスや不正アクセス等に対応ができるわけではないため、可能ならば複数の対策法を組み合わせて利用した方が良い(対策法の詳細な技術的検討も必要である)。また、これらの対策法を導入しただけでは不十分であり、併せて次項のユーザの注意すべき点を遵守する事もまた肝要である。

基本的なセキュリティ

2007年現在、サポートが継続されているオペレーティングシステムの全てが、アクセス権アクセス制御リストをサポートしている。また、マルチユーザー機能を備え、複数のユーザーが利用する事が出来る。これは、コンピューターウイルス対策において大変重要な対策を提供してくれる。

  • 通常利用するユーザーは、特権ユーザー(root,administrator)ではないユーザーを使用する。 UNIX系ではデフォルトがこの様になっている。Windowsではユーザーを追加する事で実現できる。
  • 通常利用するユーザーには、システムファイルを含む実行ファイルへの書き込み権限を削除する。 ほぼ全てのOSはシステムファイルへの書き込み権限が通常ユーザーでは行えない様になっている。
  • カレントディレクトリ・データディレクトリからプログラム実行権限を削除する。pathにカレントディレクトリを示す"."があれば削除し、chmodやcaclsコマンドでディレクトリから実行権限を削除する。テンポラリディレクトリも同様に削除する。Windowsはユーザー毎にテンポラリディレクトリを持てるので、管理者以外のテンポラリディレクトリ全部から削除する必要がある。

これはUNIXとUNIXから派生したMacOSX等では通常標準的なソリューションとして実装されている。Windows NT系OSでは名称は異なれど全く同じ機能を利用することができる(Windows9x系にはこの機能は無い。またもはやサポートを受ける事も出来ないので、早期に放棄して、現行世代のOSに移行する事が望ましい)。

このオペレーティングシステムが提供するセキュリティ機能を利用する手段は、アンチウイルスソフトウエアほど強力なソリューションではないが、逆にアンチウイルスソフトが検出できなかったウイルスの活動を抑制する防波堤としては十分に機能する。

ユーザの注意すべき点

現在の多くのウイルスはEメール経由で感染するため、Eメールの添付ファイルは安易に開いてはならない。知らない相手から届いた添付ファイルは即削除するのはもちろん、よく知った相手でも本文にファイルを添付した旨が書かれていない場合、その添付ファイルは非常に危険である。どちらにせよ、不審なファイルにはウイルスチェックを十分に行うことが必要である。メーラー(Eメール受信ソフト)でHTMLメールを自動的に表示させると、次に述べるWebブラウザのセキュリティホールを突かれる場合もあるので、できればそのような機能はオフにした方が良い。

Webブラウザセキュリティホールを突いて感染するウイルスもある。この場合サイトを閲覧しただけでウイルスに感染してしまう事もある。不審なサイトを閲覧する場合や閲覧に必要のない場合は、ActiveXJavaJavaScriptなどの機能は無効にしておいたほうがより安全である。また、マイナーなブラウザのほうが利用者が少ないため、一般的には狙われにくい。ただしInternet Explorer(IE)コンポーネントを利用したブラウザ(Outlook Expressを含む)ではIEと同様のセキュリティホールを持つので、安心できない。もちろんそもそも不審なサイトにはアクセスしない方が良いし、敢えてするならばマイナーなブラウザ等の最新版で上記機能をできるだけオフにしたものを利用する、果てはそれ専用のOSHDD)をセットアップするなど、注意深い対処が必要である。

(ただ、「不審なサイトを訪問しない」と言うポリシーのユーザが通常にアクセスするようなサイト(ポータルサイトなど)が、クラックされて不正ソフトウェア類を仕込まれた場合もある。)

他にも、オペレーティングシステム(OS)のセキュリティホールを塞ぐパッチ(修正プログラム)がリリースされた場合はすぐにインストールすること、OSに限らずなるべくソフトウェアのバージョンを最新に保つこと、出所不明なあやしいソフトウェアは使わないこと、ウイルスに感染していないことが明確でないファイルは、ウイルス対策ソフトで感染していないかスキャンすることなどが挙げられる。不要なアプリケーションやサービスをアンインストールや停止したりすること、パーソナルファイアウォールを導入することなども被害拡大を防ぐ上で効果がある。

(なお、セキュリティホールを塞ぐパッチが出てすぐにインストールするのは良いが、そのパッチが原因で他の障害等を引き起こしてしまうこともままあるため、パッチの適用にも細心の注意が必要である。)

たびたび特定のサーバやプロバイダからウイルスメールが送られてくる場合は、そのサーバー管理者やそのプロバイダの利用者がウイルス対策を怠っている可能性があるので、連絡を取ってウイルスを駆除するように要請した方が良い。個人レベルではウイルス対策ソフトのみでもかなり対処できるが、企業のネットワークでは被害に遭ったときの被害が甚大であり、セキュリティの知識がある管理者が求められる。

もし感染してしまった場合は、感染の拡大を防ぐためすぐさま物理的にネットワークと切り離す。その後必要なファイルを適切な媒体に移して別のパソコンでウイルススキャンを行ってウイルスを取り除く。それでもウイルスが駆除できないようなら、専門家に依頼してハードディスク・フラッシュメモリ、その他記録可能な部分から全て検査し、ウイルスを取り除いてもらう。 最終手段としては、パソコンの(ハードディスク、フラッシュメモリなどの記憶領域の)内部のデータを完全に消去しOSを再インストールすること、またはハードディスクなどを換装し(メーカー製のパソコンの場合、保証対象外となるおそれがある)OSをインストールすることが挙げられる。

ステルス技術

ウイルス対策ソフトに駆除されないよう、ウイルス側(ウイルス作成者)もいろいろと巧妙な手段を使っている。ステルス技術はウイルス対策ソフトに見つからないようにする技術である。

  • ポリモーフィック - ウイルス自身を感染のたびに暗号化する。毎回そのウイルスのデータが変化する。ただし暗号化の動作が記述されている部分は同一のため、検出が可能である。
  • メタモーフィック - プログラムを分割して順番を入れ替える。これだけでも単純なパターンマッチングでは検出できない。ウイルス対策ソフトでは、仮想的な環境に閉じ込めて動作させてみることで、それがウイルスかどうか判別する。
  • rootkit型 - OSのカーネルに侵入し、マルウェア(不正プログラム)自体のファイルやプロセスに、アンチウイルスソフトウェアなどの他のプロセスがアクセスできないように隠蔽する。

アンチウイルス技術

  • パターンマッチング手法 - ウイルスの特徴的な部分をパターンとしてリストし、そのパターンに合致したものをウイルスとして検出する。ただし、定義ファイルにない未知のウイルスを検知することは出来ない。
  • ジェネリック手法
  • ヒューリスティック手法 - ウイルスと思われる挙動を認識して定義ファイルにない未知のウイルスを検知することができる。
  • ルールベース手法
  • チェックサム手法

誤解

コンピュータに関する知識が乏しい者は生物学的なウイルスとの違いが分からず、コンピュータから人間に対して病原体が感染すると勘違いすることがある。実際、2007年4月にはパキスタンならびにアフガニスタン携帯電話から致死性ウイルスが感染するという噂が広まり、沈静化のための声明を政府が発表する事態となった[3]

参考文献


関連項目

外部リンク


Wikipedia-logo.svg このページはウィキペディア日本語版のコンテンツ・コンピュータウイルスを利用して作成されています。変更履歴はこちらです。