初回では、マルウェア全般について脅威と変遷過程を解説した。今回は、ウイルス/ワームの生態について解説する。
ウイルス/ワームの定義
経済産業省の「コンピュータウイルス対策基準」では、以下に示す自己伝染機能、潜伏機能、発病機能のうち、少なくとも一つ以上の機能を持っているプログラムをウイルスとしている。
- 自己伝染機能:自らの機能によって他のプログラムに自らをコピーし、またはシステム機能を悪用して自らを他のシステムにコピーすることにより、他のシステムに伝染する機能
- 潜伏機能:発病するための特定時刻、一定時間、処理回数等の条件を記憶させて、発病するまで症状を出さない機能
- 発病機能:プログラム、データ等のファイルの破壊を行ったり、設計者の意図しない動作をする等の機能
ウイルスとワームは、ファイルに寄生するか否かによって区別できる。ウイルスは、実行ファイルや画像/動画ファイル、WordやExcelなどのデータファイルを隠れ蓑としているのである。しかし、初回で述べたように、ウイルスとワームを明確に区分することが、段々難しくなってきている。ファイルに寄生する点を除けば、どちらも同様な機能をもち、同様な動作の特徴を備えている。そこで、本記事では、ウイルスとワームの生態をまとめて解説する。
ウイルス/ワームの侵入
ウイルス/ワームは、主に図1に示す4つの経路を用いてPCに侵入する。
- 電子メール:ユーザーが、ウイルス/ワームの感染ファイルが添付された電子メールを受信し、添付ファイルをPC上で保存、または実行する
- 可搬記録媒体:ユーザーが、FD、CD-ROM、USBメモリなどの記録媒体経由で感染ファイルをPC上にコピーし、実行する。または、記録媒体からの自動起動やCD-ROMのオートラン機能などによって、ブートセクタウイルスやワームが自動実行される
- ブラウザ:ウェブページに仕込まれたウイルス/ワームが自動的にダウンロードされ、実行される
- その他のネットワーク通信:セキュリティホールを悪用して、ワーム本体が自動的に送り込まれ、実行される。OSのセキュリティホールだけでなく、ファイル交換プログラムやメッセンジャープログラム、ネットワーク共有フォルダ機能が悪用されることもある。特に、上記のような方法を用いてネットワーク経由で感染するウイルス/ワームは、「ネットワーク感染型」のウイルス/ワームと呼ばれる
ウイルス/ワームの発病
ウイルス/ワームは、特定の日時や条件下において、生存活動、内部攻撃、外部攻撃、外部コントロールなどの活動(図2)を開始する。ただし、ウイルス/ワームに感染したファイルがPC上に存在するだけでは、活動を開始できない。初期のウイルス/ワームは、感染ファイルがPC上にダウンロードされても、ユーザーが意図的に実行しなければ、活動を開始できなかった。
その後に出現したファイル拡張子の関連付け機能や、ウェブページのActiveX/JavaScript機能を悪用したウイルス/ワームは、ダウンロードなどのユーザー操作の後、すぐに半自動的に実行されて活動を開始してしまう。セキュリティホールを悪用して、ネットワーク経由で感染するネットワーク感染型のウイルス/ワームは、ユーザーの操作を全く必要とせず、自動的にPC内部に侵入して、活動を開始する。一度活動したウイルス/ワームは、PCやOS、アプリケーションの起動にあわせて、自動/半自動的に活動するようPC内に細工する。
ウイルス/ワームが内部攻撃を発病した場合は、画面が書き換えられたり、ファイルが削除されたりするなどの顕著な症状が現れるため、ユーザーは気がつきやすい。しかし、迷惑メール(スパム)の送信やDoS攻撃などの外部攻撃の発病は、PCの反応速度が遅いと感じる程度であり、ユーザーが気づきにくいという問題がある。
ウイルス/ワームの拡散
ウイルス/ワームは、発病後、自分の子孫を増やすために、他のファイルやPCに対して拡散活動(図3)を行う。ウイルス/ワームの拡散方法は、「ファイル感染」、「メール感染」と、前記の「ネットワーク感染」の3種類がある。特にMS BlasterやSasserなどのセキュリティホールを悪用した、侵入機能、自動起動機能、拡散機能を合わせ持ったウイルス/ワームは、短時間で世界中に蔓延する。SQL Slammerは、拡散のための通信によって、韓国国内においてネットワークの輻輳を引き起こした。
- ファイル感染:PCのメモリ上に常駐し、その後に読み込まれる未感染の対象ファイルに感染する
- メール感染:ウイルス/ワームが自分自身をメールに添付して送信する。NetskyやMydoomなど
- ネットワーク感染:セキュリティホールを悪用して感染する。OSのセキュリティホールだけでなく、ファイル交換プログラムやメッセンジャープログラム、ネットワーク共有フォルダ機能も悪用する。MSBlasterやSasserなど
次回は、これらのウイルス/ワームから身を守るための対策を紹介する。