プレイバックPart.I:ウイルスのかたち、脅威のかたち:セキュリティ対策の「ある視点」(12)(1/4 ページ)
振り返ることで初めて見える脅威もあります。あなたの知らないコンピュータウイルスの進化の歴史を2回に分けて解説します。
※ご注意
本記事に掲載した行為を自身の管理下にないネットワーク・コンピュータに行った場合は、攻撃行為と判断される場合があり、最悪の場合、法的措置を取られる可能性もあります。また、今回紹介するツールの中には、攻撃行為に利用されるという観点から、ウイルス対策ソフトにウイルスとして検出されるものも存在します。このような調査を行う場合は、くれぐれも許可を取ったうえで、自身の管理下にあるネットワークやサーバに対してのみ行ってください。
また、本記事を利用した行為による問題に関しましては、筆者およびアイティメディア株式会社は一切責任を負いかねます。ご了承ください。
第11回「ハニーポットによるウイルス捕獲から見えてくるもの」では、夏休みの自由研究と称して、ハニーポットを用いた昆虫採集ならぬ、コンピュータウイルス採集の方法を紹介した。今回はその続きとして、コンピュータウイルスとは何かを考えていきたい。コンピュータウイルスは現在に至るまでの過程でどのような進化をしてきたのか、その変遷を見ていきたいと思う。ペネトレーションテストを行う者の視点を通して、攻撃者の視点の変化を垣間見ていただこう。
そもそも、コンピュータウイルスって?
コンピュータウイルスはコンピュータを使っていれば日常的に耳にする言葉だが、そもそもコンピュータウイルスとは、何だろうか? まずは言葉の定義として、経済産業省が告示している「コンピュータウイルス対策基準」を見てみよう。
第三者のプログラムやデータベースに対して意図的に何らかの被害を及ぼすように作られたプログラムであり、 次の機能を1つ以上有するもの。
(1)自己伝染機能
自らの機能によってほかのプログラムに自らをコピーしまたはシステム機能を利用して自らをほかのシステムにコピーすることにより、 ほかのシステムに伝染する機能
(2)潜伏機能
発病するための特定時刻、一定時間、処理回数などの条件を記憶させて、発病するまで症状を出さない機能
(3)発病機能
プログラム、データなどのファイルの破壊を行ったり、設計者の意図しない動作をするなどの機能
つまるところ、かなり広義ではあるが第三者によって仕掛けられた動作により、何らかの被害を与えるプログラムは、すべてコンピュータウイルスであると考えていいだろう。
現在のウイルス対策ソフトの中には、人を驚かせるために作成された、いわゆる、ジョークプログラムもコンピュータウイルスとして検出されるものがある。また、Webブラウザのホームページ(起動の際に表示されるページ)や検索ページをユーザーの承諾なく変更するハイジャッカーなどはスパイウェアと分類される場合が多いが、こちらもウイルス対策ソフトで検出される。
このようなことを考慮すると、コンピュータウイルスという言葉自体が、時代の流れ、コンピュータウイルス(と呼べるプログラム)の進化・多様化に合致しなくなってきているのではないだろうか。
筆者個人としては、広義のコンピュータウイルスという言葉ではなく、「悪意のあるプログラム(Malicious ProgramまたはMalware)」もしくは「悪性プログラム」と呼称した方がいいのではないかと考えている。
コンピュータウイルスの分類
さまざまな進化の結果、多様化が進むコンピュータウイルスだが、その分類について紹介しよう。分類方法の中で最も一般的である感染方法による分類を紹介しよう。
感染方法による分類では以下の3点が挙げられる。
ウイルス
「狭義のウイルス」と呼ばれることもあり、比較的古典的なものであるといえる。感染方法としては、システム内の既存のファイル、プログラムに自分自身の複製を組み込むものを指し、記述されている言語は問わない。
ワーム
ワームとは、ほかのプログラムに寄生することなく単体で動作することができ、自己増殖を繰り返していくものを指す。
トロイの木馬
トロイの木馬とは、自己増殖することはなく、何らかのプログラムを装い、バックグラウンドで隠密にシステム内部からの情報の窃取、改変などを行うものを指す。ちなみに、トロイの木馬という言葉は、ホメロスの叙情詩「イリアス」に由来する。
前述したとおり、この分類方法では、現在、存在しているコンピュータウイルスすべてを分類することは不可能に近い。分類する方法として、感染方法以外には、発症内容や拡散方法などで分類されることもある。すべてを紹介することは現実的ではないため、一部の紹介だけにとどめさせていただきたい。以下は、確固たる定義があるわけではないが、筆者なりに分かりやすいと思われる名前を付けた。
メール拡散型
感染したシステム内のアドレス帳やWebブラウザのキャッシュなどからメールアドレスを収集し、自身の複製をメール送信により拡散を図るタイプのもの。
攻撃拡散型
脆弱(ぜいじゃく)性の利用、脆弱なパスワードをクラッキングすることにより拡散を図るタイプのもの。多くのワームはこのようなタイプの機能を有することが多い。
バックドア発症型
感染したシステムに対して、正規のログイン経路以外の経路を提供するタイプの発症パターンを持つもの。ログイン後、リモートからさまざまな操作を行うことが可能である。
情報漏えい発症型
感染したシステム内から、クレジットカード情報、閲覧したサイトなどのユーザーの行動、個人情報などを外部に送信するタイプの発症パターンを持つもの。スパイウェアと呼称されることもある。
これらの分類方法が現在存在するコンピュータウイルスに合致していないということを述べたが、その背景には1つのコンピュータウイルスが1つの機能のみを有しているという時代ではなくなってきていることがある。そのようなコンピュータウイルスはしばしば複合型などと呼称されるのだが、1つのコンピュータウイルスが複数の機能を有し、さまざまな拡散方法、発症内容を実現しているのである。従って、現在存在するコンピュータウイルスは、複数の分類の型をまたぐものがほとんどなのである。
それでは、そのコンピュータウイルスがどのような経緯を経て進化してきたのかを知るために、コンピュータウイルスの歴史をかいつまんで見ていこう。
Copyright © ITmedia, Inc. All Rights Reserved.