今回の調査結果は、ドイツのセキュリティ調査機関であるAV-Testに本誌が独自に依頼したものだ。こういったテストでは世界の2つ以上の国/地域で感染報告のあったマルウェアのリスト「WildList」に含まれるサンプルを使用することが多いが、ここでは過去6か月以内にアジア圏を中心に発見された、合計93万種類以上におよぶマルウェアのサンプルを使用して検出率を調べている。テストの実行環境はWindows 7で、総合セキュリティソフトではなく単体のアンチウイルスソフトを使用している。アンチウイルスソフトの設定はデフォルトのまま変更していない。
コンピュータに被害を与える不正なプログラムは、大まかにウイルス/マルウェアなどと呼ばれることが多いが、今回の調査では動作の内容によって5種類に区分されている。はじめに不正プログラムの区分について確認しておこう。
バックドアとは、通常の認証を回避してリモートからのアクセスを可能にする機能で、ここでは感染したコンピュータを外部から操作可能にする不正プログラムを示す。ある意味リモート管理ソフトウェアもバックドアの一種であり、正しく使用すれば有益なプログラムとなることもあるので、不正プログラムとの線引きは難しい。
バックドア自体は感染を広げる機能を搭載しておらず、Webサイトなどでユーザーが自主的にインストールするように誘導するものが多い。また、システムやアプリケーションのぜい弱性を利用して実行されるものもある。バックドアの実行により、攻撃者は対象コンピュータから情報を盗み出すことや、ほかのコンピュータへの攻撃を実行することなどが可能となる。なお、トロイの木馬にバックドア機能が組み込まれていることもあるが、ここでは単独でバックドアとして機能する不正プログラムのみをバックドアとして区分している。
ボットとは、インターネット上でさまざまな操作を自動で実行するプログラムのことだが、ここでは感染したコンピュータを乗っ取ってさまざまな攻撃を行う不正プログラムを指す。感染したコンピュータ同士を連携して動作させることが可能で、ボットネットと呼ばれる。攻撃者はボットネットを利用してスパムメールの送信やDDoS攻撃などを行うほか、感染したコンピュータがフィッシングサイトをホストすることもある。
主な感染源はネットワークで、システムのぜい弱性を利用して侵入、実行される。特にルーターを使用しないでインターネットに接続している場合は感染する可能性が高くなる。コンピュータの所有者に気付かれることなく不正な操作を実行することから、感染したコンピュータは「ゾンビ」とも呼ばれる。
トロイの木馬とは、通常のプログラムに見せかけてユーザーに実行/インストールさせるタイプの不正プログラムだ。自分自身を増殖させて感染を広げる機能は搭載されていない。ほかの不正プログラムをダウンロードして実行する、コンピュータの設定を変更してバックドアを仕掛ける、情報を外部に送信するなど、さまざまな攻撃の足掛かりとして使われることが多い。ほとんどの場合は不正な機能が隠されており、ユーザーに気付かれずに攻撃を実行する。
「ウイルス」は不正プログラムの代名詞的に使われることもあるが、ここでは不正なコードをほかのファイルに組み込むことで感染を広げていくプログラムを示す。ほかのファイルに感染するという点がウイルスの最大の特徴だ。感染したファイルを開くたびに不正なコードが実行され、さらにほかのファイルに広がっていく。具体的な攻撃や破壊活動を行わないものもあるが、感染によりファイルが破損して開けなくなることや、システムやアプリケーションが起動できなくなることもある。
ワームとは、ネットワークを通じて自分自身のコピーをほかのコンピュータに送りつけることで、感染を広げていく不正プログラムだ。自動再生機能を利用してUSBメモリなどのリムーバブルドライブから感染を広げるタイプのワームもある。ワーム自体は単純にコンピュータにファイルをコピーするだけのものがほとんどで、ほかのファイルに不正なコードを組み込んだり、ファイルを破壊したりすることは少ない。
ワームはプログラムのぜい弱性を利用して実行されるため、最新のセキュリティパッチを適用することで防ぐことができる。ただし、最近ではセキュリティパッチが公開されるまでにゼロデイ攻撃が実行されることもある。ボットと同様、ルーターなしでインターネットに接続していると侵入される危険性が高くなる。
Copyright © ITmedia, Inc. All Rights Reserved.