『Windowsワームの大量発生--ボットネットの拡大を狙った縄張り争いか 』、『Mozillaブラウザを狙う初めてのスパイウェアが出現 』――。 IT関連のメールニュース、ニュースサイトの見出しには、コンピュータ・セキュリティ、不正アクセスに関連する見出しが、毎日のように掲載されている。その脅威も、ウイルスからワームへ、さらにスパイウェア、ボットが加わり、多様化と巧妙化が進んでいる。連載「マルウェアの生態学」の初回では、これらの悪意のあるソフトウェア「マルウェア(malware)」について、脅威と変遷過程を解説する。
多様化と複合化
「ウイルス」「ワーム」「スパイウェア」「ボット」・・・、次々と脅威が現れるたびに、セキュリティベンダーやセキュリティ関係者はその脅威を警告し、さまざまな対策を打ち出してきた。
ウイルス、ワームなどの悪意のあるソフトウェアは、総称して「マルウェア(malicous softwareの略)」と呼ばれている。ここ数年の間に、マルウェアはさまざまな感染手法を取り入れ、さらにワームがスパイウェアの機能を持ち始めたり、ワームの感染力とバックドアによる制御機能を備えたボットが出現したりと、脅威の多様化と複合化が進んでいる。
これに従ってワーム、ボットなどを明確に区分することが難しくなるとともに、それぞれの区分に対する画一的な対策だけでは、それらの脅威へ十分に対応できなくなってきた。例えば、メールゲートウェイ型のウイルス/ワーム対策ソフトでは、PtoPソフトウェアを媒介として感染し、情報を漏洩するワームの活動を防ぐことができない。
昔から脅威と対策はいたちごっこであり、最新の脅威に対してセキュリティ対策ソフトに頼るだけの対策では、いささか心許ない。読者の方々には、マルウェアの仕組みを理解することで、事前に危険を回避したり、マルウェアに応じた適切な対策を選択できるようになって欲しい。
マルウェアの分析
さまざまなマルウェアについて、どのように活動し、どのような脅威を備えているのかを分析することで、的確な回避策や対処策が見えてくる。ウイルス、ワーム、スパイウェア等の定義は、セキュリティ組織やセキュリティベンダーのホームページに公開されているが、当記事ではマルウェアが備えている「侵入」「潜伏」「実行」「機能」の4要素をもとに、独自に作成した表1の13項目に基づいて、これまでに発生した15種類のマルウェアを分析してみる(表2)。
- コンピュータウイルスの定義:経済産業省 コンピュータウイルス対策基準
- ワームの定義:RFC1135 (日本語訳:IPA)
- スパイウェアの定義:JNSA スパイウェア対策啓発WG
1996年に発生したLarouxは、Excelファイルにマクロとして感染するのみで、画面上に発現したり、表2の“機能”にあるようなユーザに影響を与える動作を行わない、つまり“発病”しないため、危険性の低いマルウェアであった。その後、ウイルスは、ファイル感染機能に加えてデータを破壊する機能を備えたChernobylや、感染したファイルをメール送信する機能を備えたMelissaへと進化し、次第にその危険性が高まっていった。
悪意のあるコードを既存のファイルの一部分に収めて“寄生”するウイルスではなく、Happy99のような単独の実行ファイルとして存在するワームが出現することによって、その機能は急速に多様化し、それに伴い脅威も増大し始めた。ワームは、当初、自動感染、自動起動、外部拡散といった自己増殖を主な目的としており、被害の発生はそれに伴うリソース消費(CPU負荷、ネットワーク輻輳等)などによる副次的な結果であった。
その後、ファイル破壊やDoS攻撃など、被害を引き起こすこと自体を明確な目的とした機能追加が行われるようになった。CodeRedは、ホワイトハウスのウェブサイトをDDoS攻撃することを目的としていたことで有名である。一方、PC上から情報を盗むことに特化したスパイウェアの出現は、特定の機密情報が漏洩する脅威を拡大させた。
ワームを使ってバックドアを設置したPCからDDoS攻撃を仕掛けるリモートコントロールの手法は、IRC(Internet Relay Chat)の自動応答プログラムの技術を応用することによって、複合的な脅威を持ったボットへと変化した。ボットは、迷惑メール(スパム)の送信、スパイ活動、DoS攻撃の送信といった複数の脅威を持っており、現在最も対策が求められているマルウェアである。
マルウェアの作成目的の変化
ここ数年におけるマルウェアの作者の意図の変化も、マルウェアの活動と機能の変化に大きく関連している。当初、マルウェアは一部の人々が技術を競ったり、いたずらや興味本位といった自己満足、愉快目的として作成されていた。なかには、宗教・思想目的から作成された場合もあるが、どちらもその存在を誇示することが目的であった。
しかしその後、マルウェアの作成目的が営利目的へと大きく変化することによって、個人情報の搾取を狙ったスパイウェアや商業目的のスパム送信用踏み台PC群(ボットネット)などが出現した。営利目的のマルウェアは、PC上で長期間に渡って隠れて活動することが求められるため、宿主のPCを攻撃することがなくなり、代わりにセキュリティ対策ソフトを攻撃して検知や駆除を回避したり、自分自身のバージョンアップや機能拡張を行うダウンロード機能などを持つようになった。
このような多様で巧妙なマルウェアを適切に対策するためには、マルウェアの目的と仕組みを理解することが大切である。次回からは、ウイルス、ワーム、スパイウェア、ボットについて、それぞれの生態とその対策について解説していく。