コンピュータ・ウイルスによる被害とその影響：いまさらというなかれ！　管理者のためのウイルス対策の基礎（1）

本連載では、システム管理者が知っておくべきコンピュータ・ウイルスに関する知識や、行うべきセキュリティ対策にはどのようなものがあるかということを示し、単に技術的な観点からだけではないコンピュータ・ウイルスの知識とその対策について解説します。正確な知識と対策を学ぶことで、コンピュータ・ウイルスから企業を守っていく助けとなれば幸いです。（編集局）

» 2004年01月30日 10時00分公開

[上野宣，＠IT]

　いまやコンピュータ・ウイルスという言葉を知らないコンピュータ・ユーザーはいないといっても過言ではないだろう。それほどコンピュータ・ウイルスの存在は一般的なものとなり、その被害や影響は社会的な問題として認知されている。つまり、企業のシステム管理者にとって、コンピュータ・ウイルスの知識およびその対処方法を知ることは必須であるといえる。

　いまさら、というなかれ！コンピュータ・ウイルスに関する基礎中の基礎をあらためて頭の中に入れておくことは、正しいセキュリティ対策を行うための第1歩なのだから。

知っているつもりの「コンピュータ・ウイルス」だが

　コンピュータ・ウイルスという言葉が初めて登場したのは、1984年、米Sandia National LaboratoryのFrederick B. Cohen氏のウイルスについての論文である。コンピュータ・ウイルスと呼べるものはそれ以前から存在していたが、近年のインターネットの普及に伴ってコンピュータ・ウイルスも進化を遂げている。特に1999年のメールによって感染を広げるマクロウイルス「Melissa」の出現以来、その進化は顕著なものである。

　従来、コンピュータ・ウイルスは「ウイルス」「ワーム」「トロイの木馬」の3つに分類されていた。「分類されていた」と記述が過去形なのは、現在では必ずしもこの分類が適用されるとは限らないからである。それほどまでに、コンピュータ・ウイルスそのものの進化の速度は速く、対策側の研究体制も進歩している。ちなみに、コンピュータ・ウイルスとして認識されていたこれらの3つの種類を図解すると図1のようになる。

　そもそも、コンピュータ・ウイルスは大きく分けて「ファイルに感染する／感染しない」の2つに分類できた。ファイルに感染する不正なプログラムを、狭義の意味でウイルスとして定義していたのである。

図1 従来のコンピュータ・ウイルスの分類

　一方、ファイルに感染しない不正なプログラムは、「自己増殖する／自己増殖しない」の2つに分けられ、自己増殖するものを「ワーム」、しないものを「トロイの木馬」と呼ぶこととした。いずれにしても、これらの不正プログラムをひっくるめて、広い意味で「コンピュータ・ウイルス」、あるいは一般的な略称として「ウイルス」とわれわれは呼んできたのである（今後、ウイルスと書くときはすべてのコンピュータ・ウイルスを指す。念のため）。

　つまり、一口にウイルスといっても、その性質によって、さまざまな種類に分化してきたのである。逆にいえば、ウイルスの性質が複雑になるにつれて、ウイルスという1つの言葉ではその性質を表現し切れなくなってきたといえる。ウイルスに関する言葉の定義の多様化は、対策活動と研究が並行して行われてきたという攻撃対策サイドの苦肉の策でもあったのだ。

　さて、以下、ウイルス、ワーム、トロイの木馬というウイルスの3つの種類について簡単に解説する。

■「ウイルス」とは

　ここでいう「ウイルス」とは、単独のファイルでは動作せず、ほかのファイルに“寄生”することで動作するプログラム（ウイルス）のことである。

　狭い意味でのコンピュータ・ウイルスが持っていた純粋なコンピュータ・ウイルス・プログラムとしての機能を持っているのがこのプログラムである（狭義のウイルスというべきか）。

　この機能のみで単独動作するものは、現在ではほとんど見られない。なお、このプログラムは次のような3段階の行動パターンで被害をもたらす。

感染

ほかのファイルにウイルス自身をコピーし、他システムにウイルスを感染させる。
潜伏

その後、発病のためのトリガー（特定の時刻や特定のコマンドの実行などのある一定の条件がそろうこと）を引くまでの期間、何もせずにシステム内に潜み続ける。
発病

ある一定の潜伏期間を経た後、ファイルを破壊したり、メッセージを表示するなどのウイルス本来の機能を実行する。

【参考】Insider's computer Dictionary「コンピュータ・ウイルス」

■「ワーム」とは

　単独のプログラムで動作し、ネットワーク環境（多くはインターネット）を利用して自分自身をコピーしながら自己増殖を繰り返す。

　狭義のウイルスとは異なり、ほかのコンピュータに感染するためにほかのファイルに寄生する必要がない。

【参考】セキュリティ用語事典「ワーム」

■「トロイの木馬」とは

　単独のプログラムで動作し、通常の有益なプログラムのように見せ掛けて個人情報の奪取や、コンピュータへの不正アクセスのためのバックドアを作成するなどの不利益をもたらす機能を提供する。トロイの木馬自身では、ほかのファイルに感染するといった自己増殖は行わない。

図2 現在のコンピュータ・ウイルスは複数の特徴を持つ

　ここ数年のウイルスは後述の「ワーム型ウイルス」や「トロイの木馬型ワーム」などの複数の特徴を持つものが多くなり、明確に分けることが難しくなってきている。とはいえ、ウイルスは広く「ユーザーの意思にかかわらず不利益をもたらす不正なプログラム」を指していることに変わりはない。

【参考】セキュリティ用語事典「トロイの木馬」

ウイルスのメカニズム――感染タイプを知る

　ウイルスを明確に分類することは難しいが、そのメカニズムを知っておくために、感染タイプ別に紹介しておく。

ブートセクタ感染型ウイルス
ファイル感染型ウイルス
複合感染型ウイルス
インタプリタ型ウイルス
非常駐型ウイルス
メモリ常駐型ウイルス
ワーム型ウイルス
トロイの木馬型ワーム

表1 感染タイプ別ウイルス分類例

ブートセクタ感染型ウイルス

OSの起動より前に読み込まれるブートセクタ（ブートプログラムがあるシステム領域）に感染するタイプのウイルスである。

よく勘違いしている方を見かけるが、ハードディスクやフロッピーディスクなど、どのディスクにもブートセクタは存在している。たとえ実行可能なプログラムが存在しないようなシステムディスクではないディスク（起動可能ではない単なるデータディスク）としても、ブートセクタは存在するのである。
ファイル感染型ウイルス

アプリケーションなどの実行可能なプログラムファイルに感染するタイプのウイルスである。既知ウイルスの品種の数はこのタイプが最多である。
複合感染型ウイルス

ブートセクタ感染型ウイルスとファイル感染型ウイルスの両方の特徴を持つウイルスである。両者の強みを備えているが、複雑な仕組みのため広範囲に感染した例がない。
インタプリタ型ウイルス

主にMicrosoft OfficeのWordやExcelのマクロ機能を利用して感染するタイプの「マクロウイルス」と、VBAスクリプトなどのスクリプトを利用して感染するタイプの「スクリプトウイルス」がこのタイプのウイルスである。実行可能なプログラムファイル以外に感染するところに特徴がある。

　ウイルスの感染タイプ別の分類以外に、メモリ上に常駐するかしないかといった分類もある。

非常駐型ウイルス

単発型ウイルスとも呼ばれ、プログラムの実行時のみウイルスが活動するタイプの単純なウイルスである。
メモリ常駐型ウイルス

ウイルスに感染したプログラムが実行されると活動を開始し、コンピュータの電源が切られるか再起動されるまで活動し続けるタイプのウイルスである。

　そのほかにはワームやトロイの木馬の特徴を持ったウイルスがある。近年はこの複合タイプのウイルスが主流である。

ワーム型ウイルス

ワームの特徴である自己増殖を行い、ウイルスの特徴であるほかファイルへの感染を行うといった両者の特徴を持ったタイプのウイルスである。ネットワークやメールを使って送られてくるウイルスはこのタイプが多い。
トロイの木馬型ワーム

トロイの木馬の特徴である通常のプログラムに見せ掛けた悪質な機能を備え、ワームの特徴である自己増殖を行って感染を広げるといった両者の特徴を持ったウイルスである。

　またこれらの分類以外に、ほかのプログラムに感染する機能を備え、単独のプログラムでいかにも役に立ちそうなプログラムに見せ掛けてメールを使ってほかのコンピュータに自らを送信するような、ウイルスとワームとトロイの木馬すべての特徴を持ったウイルスも存在する。

　以下に参考として、近年のウイルス年表を記す（表2）。


	年	月	ウイルス名称（通称）	特徴
	1983		Elk Cloner	最初のコンピュータ・ウイルスといわれている。AppleDOS3.3下のみで活動する。
	1986		Brain	PC（IBM PC互換機）上の最初のウイルスといわれている。ブートセクタ感染型
	1988	11	Morris Worm	初めて大きな被害をもたらしたワームで、インターネットを介してUNIXベースのシステムのおよそ10％に感染したといわれている。
	1991	2	Michelangelo	破壊的なブートセクタ感染型ウイルス。3月6日のミケランジェロの誕生日に発病するように仕掛けられていた。翌年の発病日の1992年3月6日には、何千というシステムがダウンした。参考：情報処理推進機構セキュリティセンター「「Michelangelo」に関する情報」
	1995		Wm.Concept	最初のマクロウイルス。ファイル感染するマクロウイルスは1996年のMicrosoft Excelファイルに感染する「Laroux」が最初である。参考：情報処理推進機構セキュリティセンター「「Wm.Concept」に関する情報」
	1999	1	Happy99（Ska）	メール機能を利用するして感染を広げるウイルスの先駆け的な存在。発病すると画面に花火と“A Happy New Year 1999”というメッセージが表示される。参考：情報処理推進機構セキュリティセンター「「Happy99（Ska）」に関する情報」
		3	Melissa	ワーム型ウイルス（ハイブリッド型マクロウイルス）で、現在のウイルスの原型ともいえる。Microsoft Outlookの機能を利用しアドレス帳のアドレスあてにウイルスメールを送信する。数時間ほどで世界中にまん延するほどの猛威を振るった。参考：情報処理推進機構セキュリティセンター「「Melissa」に関する情報」
		11	BubbleBoy	最初のスクリプトウイルス。HTMLメールの本文に仕込まれ、添付ファイルを実行せずともメールの本文を読むだけで感染する。参考：情報処理推進機構セキュリティセンター「「BubbleBoy」に関する情報」
	2000	5	LoveLetter	「LOVELETTER.TXT.vbs」というVBScriptファイルをメールによって送りつける。拡張子はデフォルト設定では見えないため、「LOVELETTER.TXT」というテキストファイルのラブレターが送られてきたように見せかける。また、メールのタイトルや本文の内容で騙すソーシャルエンジニアリング的手法を利用したウイルスの先駆け的な存在。参考：情報処理推進機構セキュリティセンター「「LoveLetter」に関する情報」
	2000	9	Hybris	ウイルスメールの送信者を偽り、送信者（ウイルス感染者）を特定できないようにするウイルスの先駆け的な存在。また、Webサイトやニュースグループからプラグインをダウンロードして、自らの機能を追加する。参考：情報処理推進機構セキュリティセンター「「W32/Hybris」に関する情報」
	2001	7	Sircam	コンピュータ内の文書や画像ファイルをランダムに選択してウイルスを作成し、勝手にメール送信する。個人情報や社外秘文章なども漏えいすることもあり、コンピュータ上以外に被害を及ぼすことになったウイルスの先駆け的な存在。参考：情報処理推進機構セキュリティセンター「「Sircam」に関する情報」
		7	CodeRed	MicrosoftのWebサーバ（IIS）の脆弱性を利用して感染するワーム。Webページが改変され、米ホワイトハウスのWebサイト（whitehouse.gov）にDoS攻撃を仕掛ける機能を備える。出現してから1週間足らずで何十万台ものサーバが感染した。参考：情報処理推進機構セキュリティセンター「「CodeRed」に関する情報」
		9	Nimda	複数の感染手段を使い、サーバ・クライアントの区別なくすべてのWindowsマシンへ感染するワーム型ウイルス。IISの脆弱性や、メール、ファイル共有、Webページの閲覧などさまざまな方法で感染を広げていった。200万台以上のコンピュータが感染したといわれている。参考：情報処理推進機構セキュリティセンター「「Nimda」に関する情報」
		11	BadTrans.B	Internet Explorerの脆弱性を利用し、メールで感染を広げる。感染するとキーロガーが仕込まれ、特定のアドレスあてにキーボード入力の履歴ファイルがメールで送信される。参考：情報処理推進機構セキュリティセンター「「BadTrans.B」に関する情報」
	2002	1	Klez	2002年、2003年を通してIPA/ISECに届出件数が最も多かったウイルスである。メールによる感染やIEの脆弱性などを利用して感染を広げる。多くの亜種があり、ファイルの破壊や送信者名の偽装などを行う。参考：情報処理推進機構セキュリティセンター「「Klez」に関する情報」
	2002	9	Bugbear	メールやIEの脆弱性などを利用して感染を広げる。キーロガーと36794番ポートにバックドアを仕掛ける。また、稼働中のウイルス対策ソフトやパーソナルファイアウォールのプロセスを停止させる機能を持つ。参考：情報処理推進機構セキュリティセンター「「Bugbear」に関する情報」
	2003	1	SQL Slammer	Microsoft SQL Server 2000およびMicrosoft Desktop Engine（MSDE）2000の脆弱性を利用して感染するワーム。1秒間におよそ2700の相手に自らを送り続けて膨大なトラフィックを生み出す。これによって世界的な通信障害が発生した。参考：情報処理推進機構セキュリティセンター「「SQL Slammer」に関する情報」
	2003	8	Blaster	Windowsの脆弱性を利用して感染するワーム。TCP135番ポートを利用して感染を広げる。セキュリティホールの公開後1カ月で出現し、2003年8月16日以降に起動するとMicrosoftの「Windows Update」サイト（windowsupdate.com）に対してDoS攻撃を仕掛ける。同サイトは事前にURLの名前解決をできなくしたために被害を免れることができた。参考：情報処理推進機構セキュリティセンター「「Blaster」に関する情報」
表2 近年のウイルス年表

ここが肝心――ウイルスによる被害を知る

　ウイルスにはさまざまな種類があり、ユーザーに与える被害も多種多様である。もっとも、ウイルス自身はプログラムであり、（一般的な意味での）プログラムが行う動作を実現できる。例えば、ファイルの削除や上書き、ディスクのフォーマット、システムの停止、セキュリティ対策プログラムの停止、ソフトウェアの改ざんなどなど。被害を挙げていくと切りがない。

　ところで、多くの場合、ウイルスは2段階を踏んでシステムに被害をもたらす。コンピュータが直接に被害を受ける「1次被害」と、1次被害の後に起こる「2次被害」であるが、以下にそれぞれの簡単な解説を行う。

■ウイルスによる1次被害

　1次被害というのは、ウイルスの感染や潜伏期間、発病（発症）時によって引き起こされるコンピュータへの直接的な被害である。これには、ウイルス自身の本来の機能によって引き起こされる被害と、本来の機能とは関係なく引き起こされる被害がある。

　ウイルス本来の機能と関係ない被害とは、ウイルスがコンピュータ内に存在しているだけで起こる被害である。つまり、ウイルスが存在することで、メモリを消費し、パフォーマンス低下を引き起こす原因となるのである。メモリ消費以外にも、ディスク領域の消費や、CPU処理の遅延といった被害がある。

　ウイルス本来の機能による被害は、「セキュリティの3要素」で考えると分類しやすい。3要素とは、すなわち、「機密性（Confidentiality）」「完全性（Integrity）」「可用性（Availability）」である（この3要素をC.I.A.と呼ぶこともある）。


【機密性】	権限のないものに情報が漏れないようにすること
【完全性】	不正や改ざんによって情報が破壊されず、常に完全な状態で安全性が保持されていること
【可用性】	必要なときに許可された利用者が情報にアクセスできること

　ウイルスの攻撃をこの3要素に分けて考えると次のような被害が挙げられる。

機密性に対する攻撃
- パスワードやクレジットカード番号など、個人情報が盗まれてWeb上の掲示板に書き込まれる
- 個人のデータファイルなどをメールによって転送される
完全性に対する攻撃
- Web上のHTMLファイルが変更されるといったデータ改ざん一般
- システムファイルやシステム領域の破壊
- アプリケーションやデータファイルの損傷
可用性に対する攻撃
- ファイルやフォルダの削除
- ファイルやシステム領域の暗号化
- ほかのソフトウェア（FORMATやFDISK、そのほかのアプリケーションなど）の不正なコール

■ウイルスによる2次被害

　ウイルスに感染したコンピュータが、ほかのコンピュータへウイルスを伝染させる、あるいは、あるウイルスによって作られたバックドアから不正アクセスを受けるなど、ウイルスによる1次被害の際に適切に対処できなかった場合、その被害が土台となって、さらなる被害をうける可能性がある。このような2次被害には次のようなものが挙げられる。