コンピュータウイルスとは、所有者の許可なくコンピュータにアクセスするために意図的に書かれたマルウェア・プログラムのことです。この種のプログラムは、主にコンピュータのデータを盗んだり破壊したりするために書かれています。
ほとんどのシステムは、プログラムのバグ、オペレーティング・システムの脆弱性、不十分なセキュリティ慣行が原因でウイルスに感染します。ウイルス対策ソフトやセキュリティ・スイート・ソフトウェアを分析・評価する独立機関であるAV-Testによると、毎日約56万個の新しいマルウェアが検出されているそうです。
コンピュータウイルスには様々な種類があり、その起源、拡散能力、保存場所、感染するファイル、破壊的性質によって分類することができます。これらのウイルスが実際にどのように機能するのか、さらに掘り下げて見てみましょう。
1. ブートセクタ感染型ウイルス
例:Form、Disk Killer、Stone virus、Polyboot.B
影響を受ける可能性:メインメモリに侵入した後のあらゆるファイル
ブートセクタ感染型ウイルスは、ストレージ・デバイスのマスターブートレコード(MBR)【ハードディスクなどのストレージ(外部記憶装置)の最も先頭にある、起動に必要なプログラムや情報を記録した小さな領域】に感染します。ブート可能かどうかにかかわらず、あらゆるメディアがこのウイルスを誘発する可能性があります。これらのウイルスは、ハードディスクのパーティションテーブルにコードを注入します。その後、コンピュータが再起動するとメインメモリに侵入します。
感染した後に発生する可能性のある一般的な問題には、起動の問題、不安定なシステム・パフォーマンス、ハードディスクの場所を特定できないこと、などがあります。
ブートセクタ感染型ウイルスはブートセクタを暗号化するため、除去が困難な場合があります。ほとんどの場合、ユーザーはウイルス対策プログラムでシステムをスキャンするまで、ウイルスに感染していることに気づきません。
しかし、フロッピーディスクが減少して以来、この種のウイルスは稀になっています。最近のオペレーティング・システムには、MBRを見つけることを困難にするブート・セクタ・セーフガードが組み込まれています。
対策:使用するディスクが書き込み保護されていることを確認してください。不明な外付けディスクを接続したままコンピュータを起動/再起動しないでください。
2. ダイレクトアクション型ウイルス
例:VCL.428(Virus Construction Laboratory作成)
影響を受ける可能性:すべての .exeおよび .comのファイル拡張子
ダイレクトアクション型ウイルスは、メインメモリに素早く侵入し、Autoexec.bat パスで定義されたすべてのプログラム/ファイル/フォルダに感染した後、自身を削除します。また、コンピュータに接続されたハードディスクやUSB内のデータを破壊することもあります。
通常、Autoexec.batは、そのファイルが実行されたときに拡散します。ファイルを実行したり開いたりしない限り、デバイスの他の部分やネットワークに広がることはありません。
これらのウイルスはハードディスクのルート・ディレクトリに存在しますが、実行のたびに場所を変えることができます。多くの場合、システム・ファイルを削除することはありませんが、システム全体のパフォーマンスを低下させます。
対策:アンチウイルス・スキャナーを使用しましょう。ダイレクトアクション型ウイルスは簡単に検出でき、感染したファイルはすべて完全に復元できます。
3. 上書き感染型ウイルス
例:Grog.377、Grog.202/456、Way、Loveletter
影響を受ける可能性:あらゆるファイル
上書き感染型ウイルスは非常に危険です。Windows、DOS、Macintosh、Linuxなど、幅広いオペレーティング・システムに影響を及ぼしています。単純にデータを(部分的または完全に)削除し、元のコードを独自のコードに置き換えます。
ファイルのサイズを変えることなく、ファイルの内容を置き換えます。そして、一度感染したファイルは復元することができず、すべてのデータを失うことになります。
さらに、この種のウイルスはアプリケーションを動作不能にするだけでなく、実行時にデータを暗号化して盗み出すこともできるのです。
非常に効果的ではあったものの、攻撃者は上書き感染型ウイルスを使わなくなりました。彼らは、トロイの木馬でユーザーを誘惑したり、電子メールで悪意のあるコードを配布したりすることに重点を置く傾向があります。
対策:このウイルスを駆除する唯一の方法は、感染したファイルをすべて削除することです。そのため、特にWindowsを使用している場合は、ウイルス対策プログラムを常にアップデートしておくことをお勧めします。
4. スクリプト型ウイルス
例:DDoS、JS.fornight
影響を受ける可能性:ヘッダー、フッター、ルートアクセスファイルに隠されたコードを注入することで、あらゆるWebページに影響を与える
スクリプト型ウイルスは、Webブラウザのセキュリティを破り、攻撃者がWebページにクライアント側スクリプティングを注入できるようにします。このウイルスは、他の従来のウイルスよりも非常に速く伝播します。
Webブラウザのセキュリティを破ると、悪意のあるコードを注入して設定を変更し、ブラウザを乗っ取ります。通常、Webページにポップアップ表示される感染した広告の助けを借りて拡散します。
スクリプト型ウイルスは、主にソーシャル・ネットワーキング・サイトを標的としています。中には、スパムメールを送信したり、DDoS攻撃のような危険な攻撃を仕掛けてサーバーを応答不能にしたり、とんでもなく遅くしたりする強力なものもあります。
これらは、さらに2つのグループに分類することができます。
・永続的スクリプト型ウイルス:ユーザーになりすまし、多大な被害をもたらす。
・非永続的スクリプト型ウイルス:ユーザーに気づかれずに攻撃する。これはバックグラウンドで動作し、ユーザーに対して永久に隠されたままになる。
対策:Windowsの悪意のあるソフトウェア除去ツールを使用する、スクリプトを無効にする、クッキーセキュリティを使用する、Webブラウザにリアルタイム保護ソフトウェアをインストールする、などがあります。
5. ディレクトリ・ウイルス
例:Dir-2
影響を受ける可能性:ディレクトリ内のプログラム全体
ディレクトリ・ウイルス(別名クラスタ・ウイルス)は、DOSディレクトリ情報を変更することによってファイルに感染します。元のプログラムを指すのではなく、ウイルスコードを指すようにDOSを変更します。
より具体的には、このウイルスは悪意のあるコードをクラスタに注入し、FAT(file allocation tableの略【ファイル割当て表】)に割り当てられたものとしてマークします。そして最初のクラスタを保存し、次に感染させたいファイルに関連する他のクラスタをターゲットにするために使用します。
プログラムを実行すると、DOSは実際のプログラムコードを実行する前にウイルスコードをロードして実行します。つまり、知らないうちにウイルスプログラムを実行し、その間に元のプログラムはウイルスによって移動されてしまうのです。感染後、元のファイルを見つけるのは非常に難しくなります。
対策:アンチウイルスをインストールして、置き忘れたファイルを再配置します。
6. ポリモーフィック型ウイルス
例:Whale、Simile、SMEGエンジン、UPolyX
影響を受ける可能性:あらゆるファイル
ポリモーフィック型ウイルスは、プログラムに感染したり、自分自身のコピーを作成したりするたびに、異なる暗号化キーを使用して自分自身をエンコードします。暗号化キーが異なるため、ウイルス対策ソフトウェアがウイルスを発見することは非常に困難です。
このタイプのウイルスは、デバイスに感染するたびに復号化ルーチンを変更する変異エンジンに依存しています。何十億もの復号化ルーチンを生成する複雑な変異エンジンを使用するため、検出はさらに難しくなります。
つまり、スキャナによる検出を避けるように設計された自己暗号化ウイルスなのです。
最初に知られたポリモーフィック型ウィルス(「1260」と命名)は、1990年にMark Washburnによって作成されました。実行時にカレントディレクトリまたはPATHディレクトリの.comファイルに感染するものです。
対策:脅威を検出するために、最新のセキュリティ技術(機械学習アルゴリズムや行動ベースの分析など)を搭載した高度なウイルス対策ツールをインストールします。
7. メモリ常駐型ウイルス
例:Randex、Meve、CMJ
影響を受ける可能性:PC上で実行中のファイル、およびコピー中または名前変更中のファイル
メモリ常駐型ウイルスはプライマリメモリ(RAM)に常駐し、コンピュータの電源を入れると起動します。デスクトップ上で実行中のすべてのファイルに影響を及ぼします。
このウイルスは複製モジュールをメインメモリにロードするため、実行されることなくファイルに感染します。オペレーティング・システムがロードされたり、特定の機能を実行したりすると、自動的に活性化されます。
メモリ常駐型ウイルスには、次の2種類があります。
・感染速度が速いもの:可能な限り多くのファイルを素早く破壊するように作られています。悪影響があるため、非常に気づきやすいものです。
・感染速度が遅いもの:徐々にコンピュータのパフォーマンスを低下させます。検出されない時間が長いため、より広範囲に拡散します。
対策:強力なウイルス対策ツールは、メモリからこのウイルスを除去することができます。これらのツールは、OSのパッチや既存のウイルス対策ソフトウェアのアップデートという形で提供されます。
運が良ければ、お使いのウイルス対策ソフトに、USBフラッシュ・ドライブにダウンロードして実行することでメモリからウイルスを除去する拡張機能やプラグインが備わっているかもしれません。そうでない場合は、マシンを再フォーマットし、利用可能なバックアップからできる限りのものを復元する必要があるでしょう。
8. マクロウイルス
例:Bablas、Concept、Melissaウイルス
影響を受ける可能性: .mdb、.PPS、.Doc、.XLsファイル
これらのウイルスは、Microsoft ExcelやWordなどの一般的なソフトウェア・プログラムで使用されているものと同じマクロ言語で書かれています。スプレッドシートや文書、その他のデータファイルに関連付けられたマクロに悪意のあるコードを挿入し、文書を開くとすぐに感染したプログラムが実行されるようにします。
マクロウイルスは、データの破損、単語や画像の挿入、テキストの移動、ファイルの送信、ハードドライブのフォーマット、あるいはさらに破壊的な種類のマルウェアを配信するように設計されています。これらのウイルスは、フィッシング・メールを通じて感染します。また、主にMS Excel、Word、PowerPointのファイルを標的とします。
この種のウイルスは(オペレーティング・システムではなく)アプリケーションが中心であるため、LinuxやmacOSを実行しているコンピュータであっても、あらゆるオペレーティング・システムを実行しているコンピュータに感染する可能性があります。
対策:マクロを無効にし、不明な送信元からのメールを開かないようにします。また、マクロウイルスを簡単に検出できる最新のウイルス対策ソフトウェアをインストールすることもできます。
9. コンパニオンウイルス
例:Stator、Terrax.1096
影響を受ける可能性:すべての.exeファイル
コンパニオンウイルスは、MS-DOS時代に流行しました。従来のウイルスとは異なり、既存のファイルを変更することはありません。その代わりに、別の拡張子(.comなど)を持つファイルのコピーを作成し、実際のプログラムと並行して実行します。
例えば、abc.exeという名前のファイルがある場合、このウイルスはabc.comという名前の別の隠しファイルを作成します。そして、システムがファイル「abc」を呼び出すと、.exe拡張子よりも先に.com(優先順位の高い拡張子)が実行されます。これは、元のファイルを削除するなどの悪意のある手順を実行することができます。
ほとんどの場合、コンパニオンウイルスはマシンをさらに感染させるために人間の介入を必要とします。MS-DOSインターフェースをあまり使わなくなったWindows XPの登場後、このようなウイルスが自己増殖する方法は少なくなりました。
しかし、ユーザーが意図せずにファイルを開いた場合、特に「ファイル拡張子を表示する」オプションが無効になっている場合、このウイルスは最近のバージョンのWindowsオペレーティング・システムでもまだ機能します。
対策:このウイルスは、追加の .comファイルが存在するため、簡単に検出することができます。信頼できるウイルス対策ソフトウェアをインストールし、迷惑メールの添付ファイルをダウンロードしないようにしてください。
10. ハイブリッド型ウイルス
例:Ghostball、Invader
影響を受ける可能性:ファイルおよびブートセクタ
ハイブリッド型ウイルスは、オペレーティング・システムによって複数の方法で感染し、拡散します。通常はメモリ内に留まり、ハードディスクに感染します。
ブートセクタまたはプログラム・ファイルに影響を与える他のウイルスとは異なり、ハイブリッド型ウイルスはブートセクタと実行可能ファイルの両方を同時に攻撃するため、被害が拡大します。
一旦システムに侵入すると、アプリケーションのコンテンツを変更することで全てのドライブに感染します。すぐにパフォーマンスの遅れや、ユーザー・アプリケーションで使用可能な仮想メモリの少なさに気づき始めることになります。
最初に報告されたハイブリッド型ウイルスは「Ghostball」です。インターネットがまだ初期段階にあった1989年に検出されました。当時はまだ多くのユーザーには浸透していなかったものの、その後状況は大きく変わりました。世界中で46億6,000万人以上のアクティブ・インターネット・ユーザーがいる現在、ハイブリッド型ウイルスは企業や消費者にとって深刻な脅威となっています。
対策:新しいデータを保存する前に、ブートセクタとディスク全体をクリーンにしてください。信頼できないインターネット・ソースからの添付ファイルは開かず、正規の信頼できるウイルス対策ツールをインストールしましょう。
11. FATウイルス
例:リンクウイルス
影響を受ける可能性:あらゆるファイル
FATは、すべてのファイルの場所、総ストレージ容量、使用可能なスペース、使用済みスペースなどの情報を保存するために使用されるストレージ・ディスクのセクションです。
FATウイルスはインデックスを変更し、コンピュータがファイルを割り当てられないようにします。ディスク全体を強制的にフォーマットさせるほど強力です。
言い換えれば、このウイルスはホスト・ファイルを変更しません。その代わりに、オペレーティング・システムにFATファイル・システムの特定のフィールドを変更する悪意のあるコードを実行させます。これによりコンピュータは、重要なファイルが置かれているハードディスク上の特定のセクションにアクセスできなくなるのです。
このウイルスが感染を広げると、いくつかのファイルやディレクトリ全体が上書きされ、永久に失われる可能性があります。
対策:信頼できない情報源、特にブラウザや検索エンジンで「攻撃/安全でないサイト」として認識されている情報源からファイルをダウンロードしないようにしましょう。強固なウイルス対策ソフトウェアを使用します。
ウイルスではないが同様に危険なその他のマルウェア
12. トロイの木馬
例:ProRat、ZeroAccess、Beast、Netbus、Zeus
トロイの木馬は、合法的に見える複製不可能なマルウェアの一種です。通常、騙されたユーザーによりシステム上にロードされ、実行されます。トロイの木馬は、すべてのファイルを破壊・変更したり、レジストリを変更したり、コンピュータをクラッシュさせたりします。実際、ハッカーにPCへのリモートアクセスを与えることもあります。
一般的に、トロイの木馬は様々なソーシャルエンジニアリング【コンピュータ犯罪の手法】によって拡散されます。例えば、ユーザーを騙して偽の広告をクリックさせたり、本物であるかのように偽装された電子メールの添付ファイルを開かせたりします。
対策:電子メールに添付された未知のファイル(特に .exe、.bat、.vbsなどの拡張子を持つファイル)を開かないようにしましょう。信頼できるハイエンドのウイルス対策ソフトウェアを使用し、定期的に更新します。
13. ワーム
Blasterワームの16進ダンプ、当時のマイクロソフトCEOビル・ゲイツに宛てたメッセージが表示されている。
例:Code red、ILOVEYOU、Morris、Nimda、Sober、WANK
ワームは、他のコンピュータに拡散するために自身を複製する、スタンドアロンのマルウェア・プログラムです。ネットワーク(主に電子メール)とセキュリティホールを利用して、あるシステムから別のシステムへと移動します。ウイルスとは異なり、複製や大量のデータ送信(帯域幅の使い過ぎ)によってネットワークに過負荷をかけ、ホストにサーバーのシャットダウンを強いるものです。
ワームは人の手を借りずに自己複製することができます。損害を与えるためにアプリケーションを添付する必要すらありません。
ほとんどのワームは、コンテンツを変更したり、ファイルを削除したり、システム・リソースを枯渇させたり、悪意のあるコードをコンピュータに追加注入したりするように設計されています。また、データを盗んだり、バックドアを設置したりして、攻撃者がマシンとそのシステム設定を簡単にコントロールできるようにします。
対策:オペレーティング・システムを常にアップデートし、強力なセキュリティ・ソフトウェア・ソリューションを使用していることを確認してください。
14. 論理爆弾
論理爆弾はウイルスではありませんが、ワームやウイルスのように本質的に悪意のあるものです。ソフトウェア・プログラムに意図的に挿入(隠蔽)されたコードの一部であり、このコードは、特定の条件が満たされたときに実行されます。
例えば、クラッカーはWebブラウザの拡張機能の中にキーロガーのコードを挿入することができます。ログインページにアクセスするたびに、このコードが起動します。そして、ユーザー名とパスワードを盗むために、すべてのキー入力をキャプチャします。
論理爆弾は、既存のソフトウェアや、ワーム、ウイルス、トロイの木馬などの他の形態のマルウェアに挿入することができます。そして、トリガーが発生するまで休眠状態となり、何年もの間発見されない可能性があります。
対策:圧縮ファイルを含むすべてのファイルを定期的にスキャンし、ウイルス対策ソフトを常に最新の状態に保ちましょう。
よくある質問
最初のコンピュータウイルスはいつ作られたのか?
史上初のコンピュータウイルス(Creeperと命名)は、1971年にBBNテクノロジーズのボブ・トーマスによって作成されました。Creeperは実験的な自己複製プログラムで、悪意はなく、単純なメッセージを表示するだけでした:「私はクリーパーです。できることなら私を捕まえてください!」
誰が最初のPCウイルスを作ったのか?
1986年、Amjad Farooq AlviとBasit Farooq Alviの兄弟は、自分たちが作成したソフトウェアの不正コピーを阻止するために、「Brain」と名付けたブートセクタ・ウイルスを作成しました。「Brain」は、IBMのPCおよび互換機用の最初のコンピュータウイルスと考えられています。
Microsoft Windowsを特に標的にした最初のウイルスは「WinVir」です。これは1992年に発見されました。このウイルスにはWindowsのAPIコールは含まれておらず、その代わりにDOS APIに依存していました。
史上最も高額なサイバー攻撃とは?
現在までに最も破壊的なマルウェアはMyDoomです。2004年1月に初めて発見され、史上最速で拡散した電子メールワームとなりました。MyDoomは、攻撃者が感染したマシンにアクセスできるよう、ネットワークに隙を作りました。
2004年には、全メールの約4分の1がMyDoomに感染していたのです。このウイルスの被害額は推定380億ドルを超えました。
おすすめ新着記事
おすすめタグ