ウイルス/ワームの生態

大谷尚通(NTTデータ) 2005年12月22日 10時00分

  • このエントリーをはてなブックマークに追加

 初回では、マルウェア全般について脅威と変遷過程を解説した。今回は、ウイルス/ワームの生態について解説する。

ウイルス/ワームの定義

 経済産業省の「コンピュータウイルス対策基準」では、以下に示す自己伝染機能、潜伏機能、発病機能のうち、少なくとも一つ以上の機能を持っているプログラムをウイルスとしている。

  • 自己伝染機能:自らの機能によって他のプログラムに自らをコピーし、またはシステム機能を悪用して自らを他のシステムにコピーすることにより、他のシステムに伝染する機能
  • 潜伏機能:発病するための特定時刻、一定時間、処理回数等の条件を記憶させて、発病するまで症状を出さない機能
  • 発病機能:プログラム、データ等のファイルの破壊を行ったり、設計者の意図しない動作をする等の機能

 ウイルスとワームは、ファイルに寄生するか否かによって区別できる。ウイルスは、実行ファイルや画像/動画ファイル、WordやExcelなどのデータファイルを隠れ蓑としているのである。しかし、初回で述べたように、ウイルスとワームを明確に区分することが、段々難しくなってきている。ファイルに寄生する点を除けば、どちらも同様な機能をもち、同様な動作の特徴を備えている。そこで、本記事では、ウイルスとワームの生態をまとめて解説する。

ウイルス/ワームの侵入

 ウイルス/ワームは、主に図1に示す4つの経路を用いてPCに侵入する。

  • 電子メール:ユーザーが、ウイルス/ワームの感染ファイルが添付された電子メールを受信し、添付ファイルをPC上で保存、または実行する
  • 可搬記録媒体:ユーザーが、FD、CD-ROM、USBメモリなどの記録媒体経由で感染ファイルをPC上にコピーし、実行する。または、記録媒体からの自動起動やCD-ROMのオートラン機能などによって、ブートセクタウイルスやワームが自動実行される
  • ブラウザ:ウェブページに仕込まれたウイルス/ワームが自動的にダウンロードされ、実行される
  • その他のネットワーク通信:セキュリティホールを悪用して、ワーム本体が自動的に送り込まれ、実行される。OSのセキュリティホールだけでなく、ファイル交換プログラムやメッセンジャープログラム、ネットワーク共有フォルダ機能が悪用されることもある。特に、上記のような方法を用いてネットワーク経由で感染するウイルス/ワームは、「ネットワーク感染型」のウイルス/ワームと呼ばれる

図1 ウイルス/ワームの侵入経路

ウイルス/ワームの発病

 ウイルス/ワームは、特定の日時や条件下において、生存活動、内部攻撃、外部攻撃、外部コントロールなどの活動(図2)を開始する。ただし、ウイルス/ワームに感染したファイルがPC上に存在するだけでは、活動を開始できない。初期のウイルス/ワームは、感染ファイルがPC上にダウンロードされても、ユーザーが意図的に実行しなければ、活動を開始できなかった。

 その後に出現したファイル拡張子の関連付け機能や、ウェブページのActiveX/JavaScript機能を悪用したウイルス/ワームは、ダウンロードなどのユーザー操作の後、すぐに半自動的に実行されて活動を開始してしまう。セキュリティホールを悪用して、ネットワーク経由で感染するネットワーク感染型のウイルス/ワームは、ユーザーの操作を全く必要とせず、自動的にPC内部に侵入して、活動を開始する。一度活動したウイルス/ワームは、PCやOS、アプリケーションの起動にあわせて、自動/半自動的に活動するようPC内に細工する。

 ウイルス/ワームが内部攻撃を発病した場合は、画面が書き換えられたり、ファイルが削除されたりするなどの顕著な症状が現れるため、ユーザーは気がつきやすい。しかし、迷惑メール(スパム)の送信やDoS攻撃などの外部攻撃の発病は、PCの反応速度が遅いと感じる程度であり、ユーザーが気づきにくいという問題がある。

図2 マルウェアの“機能”

ウイルス/ワームの拡散

 ウイルス/ワームは、発病後、自分の子孫を増やすために、他のファイルやPCに対して拡散活動(図3)を行う。ウイルス/ワームの拡散方法は、「ファイル感染」、「メール感染」と、前記の「ネットワーク感染」の3種類がある。特にMS BlasterやSasserなどのセキュリティホールを悪用した、侵入機能、自動起動機能、拡散機能を合わせ持ったウイルス/ワームは、短時間で世界中に蔓延する。SQL Slammerは、拡散のための通信によって、韓国国内においてネットワークの輻輳を引き起こした。

  • ファイル感染:PCのメモリ上に常駐し、その後に読み込まれる未感染の対象ファイルに感染する
  • メール感染:ウイルス/ワームが自分自身をメールに添付して送信する。NetskyやMydoomなど
  • ネットワーク感染:セキュリティホールを悪用して感染する。OSのセキュリティホールだけでなく、ファイル交換プログラムやメッセンジャープログラム、ネットワーク共有フォルダ機能も悪用する。MSBlasterやSasserなど

図3 ウイルス/ワームの拡散

 次回は、これらのウイルス/ワームから身を守るための対策を紹介する。

  • このエントリーをはてなブックマークに追加
関連キーワード
セキュリティ

関連ホワイトペーパー

SpecialPR

  • デジタル変革か?ゲームセットか?

    デジタルを駆使する破壊的なプレーヤーの出現、既存のビジネスモデルで競争力を持つ
    プレイヤーはデジタル活用による変革が迫られている。これを読めばデジタル変革の全体像がわかる!

  • 【3/31まで早期割引受付中!】「IBM Watson Summit 2017」開催

    日本IBMが主催する最大の国内総合イベント。テクノロジー・リーダーの疑問を紐解く「企業IT、セキュリティー、モバイル、データ解析などの進化を探る」詳細はこちらから!

連載

CIO
研究現場から見たAI
ITは「ひみつ道具」の夢を見る
内製化とユーザー体験の関係
米ZDNet編集長Larryの独り言
今週の明言
「プロジェクトマネジメント」の解き方
田中克己「2020年のIT企業」
松岡功「一言もの申す」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
Fintechの正体
内山悟志「IT部門はどこに向かうのか」
情報通信技術の新しい使い方
三国大洋のスクラップブック
大河原克行のエンプラ徒然
コミュニケーション
情報系システム最適化
モバイル
通信のゆくえを追う
セキュリティ
セキュリティの論点
ネットワークセキュリティ
スペシャル
座談会@ZDNet
Dr.津田のクラウドトップガン対談
CSIRT座談会--バンダイナムコや大成建設、DeNAに聞く
創造的破壊を--次世代SIer座談会
企業決算を追う
「SD-WAN」の現在
展望2017
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
PTC LiveWorx
古賀政純「Dockerがもたらすビジネス変革」
さとうなおきの「週刊Azureなう」
誰もが開発者になる時代 ~業務システム開発の現場を行く~
中国ビジネス四方山話
より賢く活用するためのOSS最新動向
「Windows 10」法人導入の手引き
Windows Server 2003サポート終了へ秒読み
米株式動向
実践ビッグデータ
日本株展望
ベトナムでビジネス
アジアのIT
10の事情
エンタープライズトレンド
クラウドと仮想化