第6回 ウイルス・ワーム対策の常識(前編):知ってるつもり?「セキュリティの常識」を再確認(2/3 ページ)
不正プログラムは、大きく2種類に分けられる。ほかのコンピュータへの感染活動を行なうものと、行なわないものである。前者は、さらにその存在形態によって「ウイルス」と「ワーム」の2種類に分けられる。ちなみに、ウイルスとワームを含めて感染活動を行なう不正なプログラムを広義の意味でウイルスと呼ぶ場合もあるが、ここでは「ウイルス=狭義のウイルス」とし、ワームと明確に分けて呼ぶこととする。後者にはさまざまな種類があり、分類もまちまちで正確な定義がなされていないが、ここでは総称して「スパイウェア」と呼んでおく。それでは、ウイルス・ワームとスパイウェアについて、詳しく見てみよう。
1.ウイルス・ワーム
生物学上のウイルスは、単体では増殖したり病原体として機能することはできず、ほかの細胞(宿主)に感染することで増殖し、宿主に影響を及ぼして病原体として振舞う。そこから、ほかのプログラム(宿主)に寄生し、そのプログラムが実行されることで感染活動や破壊活動を行なう不正プログラムのことを「コンピュータウイルス」と呼ぶようになった。
このウイルスには、ほかの実行プログラムに感染する「ファイル感染型」や、フロッピーディスクやハードディクスのブートセクターに感染する「ブート感染型」、そしてWordやExcelのマクロ機能を利用して作成され、それらアプリケーションのデータファイルに感染する「マクロウイルス」の3種類に分けることができる。
有名なウイルスとしては、Excelファイルに寄生するマクロウイルス「Laroux(ラルー)」や、Wordファイルに感染し、メールによる感染活動を行なうマクロウイルスの「Melissa(メリッサ)」がある。MS-DOS時代の初期のウイルスのほとんどはブート感染型かファイル感染型であったが、現在ではこれらタイプのウイルスはほとんど存在していない。
それに代わって現在猛威を振るっているのは、ワームである。ワームは、ほかのプログラムに寄生するウイルスと異なり、プログラム単体で感染活動や破壊活動を行なう不正プログラムである。ワームはネットワークを経由してほかのコンピュータへの感染を行なうが、その感染経路や起動のされかたによって、いくつかの種類に分類することができる。
- メール感染型
電子メールに自分自身のコピーを添付して、ほかのユーザーのコンピュータへ送信するワームで、ここに分類されるワームが最も多い。メールの送信先は、アドレス帳やディスク上のファイルを検索して収集する。最近では、ワーム自身がメール送信機能を持っており、送信元を別のユーザーのメールアドレスで詐称している。これにより、ワームの感染経路の特定を困難にするものが増えている。
活動を開始するためには、メールに添付されたワームをユーザーが起動する必要がある。つまり、基本的に添付ファイルを開かなければ感染することはない。そこで、さまざまなテクニックを用いてユーザーをだまし、添付ファイルを実行させようとする。昨年大流行した「Netsky(ネットスカイ)」や「Bagle(バグル)」なども、この種類のワームである。
- メールスクリプト型
メール感染型と同じく電子メールを利用して感染するが、HTMLメールに不正なスクリプトを埋め込み、「Internet Explorer」(IE)や「Outlook Express」の脆弱性を利用する。そのため、脆弱性が残されていれば、メールをプレビューまたは開いただけで感染する。メールスクリプト型ワームには、「Bugbear(バグベアー)」や「Klez(クレズ)」などが存在する。
- ネットワーク型
ネットワークアプリケーションなどの脆弱性を利用して、ネットワーク上のコンピュータに対し、ワームを含む不正なパケットを送信して感染するワームである。メモリ上にのみ存在するため、ウイルス対策ソフトでは検知ができない場合もある。この種類のワームは、脆弱性のあるコンピュータをインターネットに接続しているだけで感染する。非常に感染力が強く、急速に感染を拡大するのが特徴である。
例えば、SQL Serverの脆弱性を利用する「SQL Slammer(エスキューエルスラマー)」は、活動開始から10分間で、感染可能なコンピュータの90%に当たる7万5000台に感染したといわれる。韓国では、ネットワーク遅延が発生して数時間にわたってインターネットが利用できない状況に陥った。
- P2P型
P2P型のファイル交換ソフトウェアを利用して、自分自身のコピーを公開することで、ほかのコンピュータへの感染を行なう。日本でも、P2Pソフト「Winny」を利用して感染を広げる「Antinny(アンチニー)」が出現した。
- そのほか
そのほかにも、インターネットリレーチャット(IRC)やインスタントメッセンジャー(IM)、共有フォルダなどを利用して感染を広げるワームがある。また、複数の感染方法を併用して感染を広げる複合型と呼ばれるワームも出現している。例えば、「Nimda(ニムダ)」はメール感染型の機能を持つほか。共有フォルダへのコピーで感染を広げる。さらには、IISの脆弱性を利用してWebサーバへも感染し、感染したWebサーバのコンテンツを改ざんして、そのWebページをブラウザで閲覧したクライアントへも感染を広げる、といった非常に多彩な感染方法を備えている。
2.スパイウェア
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 富士通とNECの最新受注状況から探る 「2024年度国内IT需要の行方」
- 管理職なら年収2000万円超え サイバーセキュリティという困難だが“もうかる仕事”
- Chromeバージョン124がハイブリッド量子暗号化機能をデフォルトで有効化 ただし不具合報告も
- “生成AI依存”が問題になり始めている 活用できないどころか顧客離れになるかも?
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- 英国政府が新法を施行 スマートデバイスで脆弱なデフォルトパスワードを禁止
- VMwareが「ESXi無償版」の提供を終了 移行先の有力候補は?
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 数字6文字は“一瞬”で解読される Hive Systemsがパスワード強度を調査
ITmediaはアイティメディア株式会社の登録商標です。