マルウェアの種類と脅威

大谷尚通(NTTデータ) 2005年12月16日 22時00分

  • このエントリーをはてなブックマークに追加

『Windowsワームの大量発生--ボットネットの拡大を狙った縄張り争いか 』『Mozillaブラウザを狙う初めてのスパイウェアが出現 』――。 IT関連のメールニュース、ニュースサイトの見出しには、コンピュータ・セキュリティ、不正アクセスに関連する見出しが、毎日のように掲載されている。その脅威も、ウイルスからワームへ、さらにスパイウェア、ボットが加わり、多様化と巧妙化が進んでいる。連載「マルウェアの生態学」の初回では、これらの悪意のあるソフトウェア「マルウェア(malware)」について、脅威と変遷過程を解説する。

多様化と複合化

 「ウイルス」「ワーム」「スパイウェア」「ボット」・・・、次々と脅威が現れるたびに、セキュリティベンダーやセキュリティ関係者はその脅威を警告し、さまざまな対策を打ち出してきた。

 ウイルス、ワームなどの悪意のあるソフトウェアは、総称して「マルウェア(malicous softwareの略)」と呼ばれている。ここ数年の間に、マルウェアはさまざまな感染手法を取り入れ、さらにワームがスパイウェアの機能を持ち始めたり、ワームの感染力とバックドアによる制御機能を備えたボットが出現したりと、脅威の多様化と複合化が進んでいる。

 これに従ってワーム、ボットなどを明確に区分することが難しくなるとともに、それぞれの区分に対する画一的な対策だけでは、それらの脅威へ十分に対応できなくなってきた。例えば、メールゲートウェイ型のウイルス/ワーム対策ソフトでは、PtoPソフトウェアを媒介として感染し、情報を漏洩するワームの活動を防ぐことができない。

 昔から脅威と対策はいたちごっこであり、最新の脅威に対してセキュリティ対策ソフトに頼るだけの対策では、いささか心許ない。読者の方々には、マルウェアの仕組みを理解することで、事前に危険を回避したり、マルウェアに応じた適切な対策を選択できるようになって欲しい。

マルウェアの分析

 さまざまなマルウェアについて、どのように活動し、どのような脅威を備えているのかを分析することで、的確な回避策や対処策が見えてくる。ウイルス、ワーム、スパイウェア等の定義は、セキュリティ組織やセキュリティベンダーのホームページに公開されているが、当記事ではマルウェアが備えている「侵入」「潜伏」「実行」「機能」の4要素をもとに、独自に作成した表1の13項目に基づいて、これまでに発生した15種類のマルウェアを分析してみる(表2)。

表1 マルウェアの分析項目

表2 主要なマルウェアの分析結果

 1996年に発生したLarouxは、Excelファイルにマクロとして感染するのみで、画面上に発現したり、表2の“機能”にあるようなユーザに影響を与える動作を行わない、つまり“発病”しないため、危険性の低いマルウェアであった。その後、ウイルスは、ファイル感染機能に加えてデータを破壊する機能を備えたChernobylや、感染したファイルをメール送信する機能を備えたMelissaへと進化し、次第にその危険性が高まっていった。

 悪意のあるコードを既存のファイルの一部分に収めて“寄生”するウイルスではなく、Happy99のような単独の実行ファイルとして存在するワームが出現することによって、その機能は急速に多様化し、それに伴い脅威も増大し始めた。ワームは、当初、自動感染、自動起動、外部拡散といった自己増殖を主な目的としており、被害の発生はそれに伴うリソース消費(CPU負荷、ネットワーク輻輳等)などによる副次的な結果であった。

 その後、ファイル破壊やDoS攻撃など、被害を引き起こすこと自体を明確な目的とした機能追加が行われるようになった。CodeRedは、ホワイトハウスのウェブサイトをDDoS攻撃することを目的としていたことで有名である。一方、PC上から情報を盗むことに特化したスパイウェアの出現は、特定の機密情報が漏洩する脅威を拡大させた。

 ワームを使ってバックドアを設置したPCからDDoS攻撃を仕掛けるリモートコントロールの手法は、IRC(Internet Relay Chat)の自動応答プログラムの技術を応用することによって、複合的な脅威を持ったボットへと変化した。ボットは、迷惑メール(スパム)の送信、スパイ活動、DoS攻撃の送信といった複数の脅威を持っており、現在最も対策が求められているマルウェアである。

マルウェアの作成目的の変化

 ここ数年におけるマルウェアの作者の意図の変化も、マルウェアの活動と機能の変化に大きく関連している。当初、マルウェアは一部の人々が技術を競ったり、いたずらや興味本位といった自己満足、愉快目的として作成されていた。なかには、宗教・思想目的から作成された場合もあるが、どちらもその存在を誇示することが目的であった。

 しかしその後、マルウェアの作成目的が営利目的へと大きく変化することによって、個人情報の搾取を狙ったスパイウェアや商業目的のスパム送信用踏み台PC群(ボットネット)などが出現した。営利目的のマルウェアは、PC上で長期間に渡って隠れて活動することが求められるため、宿主のPCを攻撃することがなくなり、代わりにセキュリティ対策ソフトを攻撃して検知や駆除を回避したり、自分自身のバージョンアップや機能拡張を行うダウンロード機能などを持つようになった。

 このような多様で巧妙なマルウェアを適切に対策するためには、マルウェアの目的と仕組みを理解することが大切である。次回からは、ウイルス、ワーム、スパイウェア、ボットについて、それぞれの生態とその対策について解説していく。

  • このエントリーをはてなブックマークに追加
関連キーワード
セキュリティ

関連ホワイトペーパー

SpecialPR

連載

CIO
ハードから読み解くITトレンド放談
大木豊成「仕事で使うアップルのトリセツ」
研究現場から見たAI
ITは「ひみつ道具」の夢を見る
内製化とユーザー体験の関係
米ZDNet編集長Larryの独り言
今週の明言
「プロジェクトマネジメント」の解き方
田中克己「2020年のIT企業」
松岡功「一言もの申す」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
Fintechの正体
内山悟志「IT部門はどこに向かうのか」
情報通信技術の新しい使い方
三国大洋のスクラップブック
大河原克行のエンプラ徒然
コミュニケーション
情報系システム最適化
モバイル
通信のゆくえを追う
セキュリティ
企業セキュリティの歩き方
サイバーセキュリティ未来考
セキュリティの論点
ネットワークセキュリティ
スペシャル
Gartner Symposium
企業決算
ソフトウェア開発パラダイムの進化
座談会@ZDNet
Dr.津田のクラウドトップガン対談
CSIRT座談会--バンダイナムコや大成建設、DeNAに聞く
創造的破壊を--次世代SIer座談会
「SD-WAN」の現在
展望2017
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
AWS Summit
PTC LiveWorx
古賀政純「Dockerがもたらすビジネス変革」
さとうなおきの「週刊Azureなう」
誰もが開発者になる時代 ~業務システム開発の現場を行く~
中国ビジネス四方山話
より賢く活用するためのOSS最新動向
「Windows 10」法人導入の手引き
Windows Server 2003サポート終了へ秒読み
米株式動向
実践ビッグデータ
日本株展望
ベトナムでビジネス
アジアのIT
10の事情
エンタープライズトレンド
クラウドと仮想化