マルウェアとは (マルウェアとは) [単語記事]

マルウェア(Malware)とは、悪意を持って作成されたプログラムの事である。Mal-(悪い)+-ware(ソフトウェア)。日本語では不正ソフトウェアなどと訳される。

概要

昔は、自己顕示欲などといった自らの技術力の誇示を目的としてコンピュータに害を与えることで、ユーザにマルウェアが侵入したことが発覚するようにしていた。怖い画像を表示したり、CPUの処理能力を占有して不安定にしたりデータを破壊するのはその代表例である。
近年、2010年程過ぎたあたりから、サイバー攻撃がビジネス・軍事活動の一つになり、金銭や国や企業の機密情報の奪取を目的とした攻撃が増える。国を狙った攻撃として代表的なものは、St ux netである。St ux netは、アメリカが主導してイランの核施設に向けて行ったと考えられており、産業用コンピュータに感染し、接続されている遠心分離機を破壊するのが目的であった。他にも中国がアメリカや日本などにサイバー攻撃を行っている話は有名である。また、金を狙った攻撃として、ワナクライなどのランサムウェアが挙げられる。ワナクライは、当時としては特に目新しいゼロディ攻撃はなく、ただランサムウェア機能とネットワーク上に接続されているコンピュータに感染するワーム機能がついているというものであったが、影響は非常に大きかった。
また近年、監視カメラなどのIoT機器を狙ったサイバー攻撃が報告されており、IoTがあまり普及していない2016年時点で、Miraiというマルウェアの感染が相次いでいる。現在、MiraiはDDoS攻撃を行うだけだが、今後、2020年からサービスが開始された5G(第5世代移動通信システム)により、IoTの更なる普及が考えられ、重大なサイバー攻撃が行われる可能性がある。(リアル watchdogs)

マルウェアに感染すると、ほとんどの場合、感染するとファイルを書き換えられてしまう、あるいはシステムの設定を変更してシステムに深く食い込んでしまうため、手動で取り除くのはきわめて困難である。このため専用の除去用ソフトが各所から発表されており、複数種の対応と侵入感染検知を行う機能が統合された形で提供されている。これらは時に「ウィルス」に対して「ワクチン」と呼ばれることもある。多くの対策ソフトは既知のマルウェアでなくとも、既知のマルウェアと類似していたり、マルウェアまがいの行動を行うソフトをも検知できるようになっている(ヒューリスティック検知・ビヘイビア検知)が、インフルエンザウィルスに対して型の一致するワクチンを投与しなければ適切な予防効果が得られないのと同様、対策ソフトも「定義ファイル」を適宜更新して新しいマルウェアに対応させなければ完全な予防効果は得られない。ソフトによって検出・対応するものとしないものもあるため、対策ソフトを入れた上でなお「君子危うきに近寄らず」がマルウェア対策の大原則である。

マルウェアの種類

マルウェアの種類は、多くあるが、１つのマルウェアに複数の種類が付くことはよくある。また、ベンダによって、マルウェアの種類の定義やマルウェアそのもの定義は少しずつ異なる。そのため、１つのマルウェアをVirus Totalにかけると、ベンダによってマルウェア種類が違うことや、他のベンダでは、検知されないが、あるベンダではPUA(潜在的に迷惑なソフトウェア)として検知することがある。

以下に示すものは、それらの中でも比較的広範に使用されている分類である。

コンピュータウィルス (Computer Virus): 単にウィルスとも。最も有名なマルウェアの一つ。コンピュータに侵入し様々な(多くは破壊的な)行動を行う。自然界のウィルス同様に他のプログラムコード自体に侵入し自己増殖を行う特性を持つ。
ワーム (Worm): コンピュータシステムに侵入し様々な行動を行う。ウィルスとの違いは、これ自体は単体で完結したアプリケーションであることにある。近年でウィルスと言った場合、ほとんどは狭義ではワームである。
トロイの木馬 (Trojan Horse): コンピュータシステムに侵入した後、他のプログラムの侵入や不正操作などを可能とするための手助けを行うマルウェアの総称。名前の通り「トロイの木馬」の故事にちなむ。
ランサムウェア (Ransomw are): Ransom(身代金)+-ware。コンピュータシステム上のデータを勝手に暗号化するなどして人質に取り、回復手段の提供の見返りに金銭の支払いを要求する。近年においてはインターネットの普及、暗号化技術の進歩、データの蓄積量の大幅な増加、なによりビットコインなどの匿名決済手段が広まりつつあることもあり、被害例が急増している。; なお、言うまでも無いが、実際に金銭を支払った所でデータが復元される保証は一切無い。また仮に復元に成功したとしても、ランサムウェア本体とは別なマルウェアや、ランサムウェア自体の不具合等により、システムが破壊されていることも少なくなく、最終的には再インストールになることが多い。故に、データの適切なバックアップだけが唯一の確実な対策方法と心得るべきである。
スパイウェア (Spyware): 前出の「トロイの木馬」の類型の一つ。コンピュータシステム上のデータを勝手に外部送信し、窃取することを目的としたマルウェア。キーロガー(キーボード入力内容の窃取)などがその代表例であり、パスワードを奪うことによるアカウントの乗っ取りなどが目的であることが多い。
アドウェア (Adware): Ad-(広告)+-ware。広告を目的としたソフトウェアで、広義には体験版ソフトウェアや広告表示つきのフリーソフトなども含む。それ自体は無害であることが多いが、中にはスパイウェアやハイジャッカー的な挙動を行うものもあり問題視されている。
スケアウェア (Scareware): Scare(怖がらせる)+-ware。ウィルスや違法なデータなどが発見されたとのメッセージを表示させ、解決の対価として情報や金銭を要求するマルウェア。特にウィルス対策ソフトを偽装してウィルスが発見されたとの警告を出すソフトが多くローグウェア(Rogueware)と呼ばれており、近年ローグウェア的メッセージを表示する広告が増えたこともあって遭遇率が上昇している。

有名なマルウェア

マルウェアの中でも、特に有名なものや大きな被害をもたらしたものの一例を示す。

カスケイド (Cascade)

1980年代に発見されたマルウェアの古典例。10～12月に発症し、画面上の文字が崩れ落ちていく現象が発生する。日本でも発見例があるが、IBM-PC用DOS向けプログラムであるため、日本で普及していたNEC PC-9800シリーズでは暴走するのみ。

13日の金曜日

正式にはエルサレム(Jerusalem)と言うが、発病日からこのあだ名がついた。最も古典的なウィルスの一つ。コンピュータの処理速度がどんどん遅くなるという現象が発生する。発病日や症状を変更した亜種多数。

チェルノブイリ (Chernobyl)、CIHウィルス

チェルノブイリ事故が発生した4月26日に発症することからこの名前がついたが、正確には作成した人間の誕生日であるとのこと。BIOSを破壊するという非常に危険な破壊活動を行う。アジア各地で甚大な被害をもたらした。発症日の異なる亜種多数。

エイズ (AIDS)、PC Cyborg

1980年代終盤に発見されたマルウェア。ディスク上のファイル名を暗号化した上で、ソフトウェアの使用期限が切れているためライセンス料を支払え、と要求してくる。このマルウェア自体は作者が速やかに逮捕されたこともあってそれほど広まらなかったが、その後似たようなコンセプトのマルウェアとして、ポップミュージックに関するクイズを出し全問正解することで暗号化が解除されるもの、スロットゲームで一定回数以内にジャックポットを出すことで暗号化が解除されるものなどが出現した。

説明を見て判る通り、このタイプのマルウェアがさらに悪質化していったものが、後にランサムウェアと呼ばれるようになる。

メリッサ (Melis sa)

ワームの一種。Microsoft Office シリーズのマクロ機能を使用して伝播する。Outlookを使用している場合、これを使用してウィルスコードの入ったマクロ文章を添付したメールを大量送信する。Office シリーズにマクロセキュリティ機能が導入されることになった切っ掛けの一つ。

ラブレター (LoveLetter)

ワームの一種であり、メールを使用して伝播する。テキストファイルに偽装したVBScript ファイルが添付されており、これを開いてしまうことで、Outlookを使用してこのファイルが添付されたメールを大量送信する。名前の由来は偽装されたファイルのファイル名(名前の通りラブレターを思わせるファイル名になっている)。

コードレッド (Code Red)

ワームの一種。Microsoft Internet Information Server(IIS)の脆弱性を突いて感染、サイト内容を改竄し、さらにそこから他のサーバに対して同じ脆弱性を突いて伝播する行為を自動的に行う。

ニムダ (Nimda)

厳密にはワームであるが、ファイル感染も行う。メールによる伝播、共有フォルダへの移動、上記Code Redが使用したものと同じIISの脆弱性の攻撃と、Code Red II(Code Redの亜種)に感染した場合に残されるバックドアの再利用、さらにWeb サーバに感染した場合はWeb サイトを改竄して伝播用コードを埋め込むという、ありとあらゆる手段を使用しての非常に強力な伝播能力を持つ。

ブラスター (Blaster)

MS Blast、ラブサン(Lov san)とも。WindowsのRPC DCOMシステムの脆弱性を利用して感染、ランダムにIPアドレスを選択して次々と攻撃行動を行なって伝播する。マイクロソフトのサイトへDDoS攻撃を行うようになっていた。感染するとPCが頻繁に再起動するようになるが、これは本来のプログラム動作ではないらしい。当時は対策パッチ(Blaster発見時には既にリリース済みだった)を導入するためにインターネットに接続するとその間に攻撃が来て感染したり、除去しようにもPCが頻繁に再起動するため対策ソフトが導入できない、という凄まじい状態になっており、このため除去ソフトと対策パッチをオフラインで導入できるようCD-ROMの配布が行われた程であった。

ウェルチア (Welchia): ワームの一種で、ブラスターの亜種に当たる(ウィルス対策ソフトメーカーの認識名はBlaster.D/MS Blast.Dなど)。WindowsのRPC DCOMシステムの脆弱性を利用して侵入するのはブラスターと同じであるが、感染すると該当対策パッチを勝手に適用し、ブラスターの実行ファイル(ms blast.exe)も削除しようとするという「アンチ・ブラスター」とも呼べる行動を取る。一見すると有用であるように見えるが、TFTPサーバ機能をインストールするというバックドア作成機能がそのまま残っているなど、やはり有害であることには変わりない。

サッサー (Sasser)

WindowsのLSASSシステムの脆弱性を利用して感染、上記Blasterと同様にランダムにIPアドレスを選択して次々と攻撃行動を行なって伝播する。感染するとPCがシャットダウンされてしまう他、FTPサーバとリモートシェルを提供するバックドアが設置され、外部からPCを乗っ取ることが可能となる。

ガンブラー (Gumb lar)、GENOウィルス

厳密にはマルウェアではなくマルウェアを利用したクラッキングであるが、マルウェアとして広く認知されているため本項で取り上げる。Java プラグインやFlash プラグイン等の脆弱性をつく複数のマルウェアを使用してPCにトロイの木馬を感染させ、FTPのユーザ IDとパスワードを盗み出す。クラッカーはこの情報を使用してサイトの改竄を行い、このマルウェアをさらにWeb サイトに埋め込んで二次伝播を期待する、というものである。名前はこのトロイの木馬が最初配置されていたサイトのアドレスから。日本では大手企業のサイトに感染サイトが続出したことから大きな被害が出た。

人気FTPクライアントソフト「FFFTP」のパスワードを狙って盗み出す亜種が存在することから、FFFTPの脆弱性であると誤認し、FFFTPからの乗り換え、あるいはSFTPクライアントへの移行を促している論調が時折見られるが、原因が別な所にあるため、乗り換えを行なっても根本解決になっていないことは言うまでもない。

のちに、「ドライブバイダウンロード攻撃(DBD攻撃)」と言われる手法となる。

アンティニー (Antinny)

P2P ファイル共有ネットワークを標的とした国産ウィルス。感染することでPC内のファイルや、デスクトップのスクリーンショットをWinnyのアップロードフォルダへコピー、結果としてWinnyでこれらのファイルが拡散される。一般人のみならず、公人や大手企業、さらには公的機関などでの感染例があり、これによる個人情報や機密情報の暴露(ついでに言えばWinnyで違法なファイルの交換を行なっているというスキャンダルの露呈)が大きな問題となった。対象とするファイルの拡充や、周囲にWinnyの使用を暴露する機能の追加などを行った亜種が多数存在する(そのほとんどにネットスラングにちなんだあだ名が付けられているというのも特徴の一つ)。

言うまでもないが、被害に遭わないための最良の手段は「Winnyを使用しない」。

キンタマウィルス (Antinny.G/Antinny.K): 上記Antinnyの亜種。名前はWinny ネットワークで拡散を行う際のファイル名に由来する。Winnyでの検索履歴やkakiko mi.txt(2ch ブラウザの書き込みログ)も対象にするなど、より個人情報の暴露能力を強化している。また、ACCSのWeb サイトへDDoS攻撃を行おうともする(結果としてそのアクセスログから感染者が追跡されることを期待していると思われる)。ウィルスコードのファイルをフォルダに偽装する(ファイル名と本来の拡張子である.exeの間に大量のスペースを挟み込む、アイコンをフォルダアイコンに設定する、等)というソーシャルクラックのテクニックが使用されている。その名前のインパクトも相まって、Antinnyの代名詞になる程の知名度を持つ。
ヌルポース (Nullporce): 上記Antinnyの亜種。Antinnyとしての基本的な動作に加え、デスクトップのファイルを別な場所へ移動する、レジストリを改変してスクリーンセーバーで「Winnyで違法ファイルを集めています」と表示されるようにする等の破壊活動を行うようになっている。圧縮ファイルにおける相対ディレクトリ指定の脆弱性(..￥を使用することで本来のディレクトリより上位のディレクトリに展開できてしまう)を悪用してスタートアップにウィルスコードを転送するようになっている。

山田ウィルス

P2P ファイル共有ネットワークを標的としたマルウェア。いわゆる暴露ウイルスの一種。感染するとWeb サーバとして動作し、一定時間毎にスクリーンショットとHDD内のファイルを掲載、さらに特定のアップローダに転送する挙動を行う。また、2chに自動投稿を行う。UPnP クライアント機能を持ち、さらに感染PC リストの生成機能などが追加された亜種「山田オルタナティブ」を始めとして複数の亜種が存在する(「オルタナティブ」の名前は当時流行しており、当初偽装先として話題になった「マブラヴオルタナティブ」に由来)。

原田ウィルス

P2P ファイル共有ネットワークを標的としたマルウェア。ダウンロード先フォルダ内の動画ファイルを削除する。起動時には男性の写真が画面に表示されるようになっており(作者の知人とのことであり、写真は無断使用)、これがウィルス名の由来になっている。Program Filesフォルダ内も削除対象にする、あるいは全域に渡ってファイルをイカやタコの画像ファイルに置換する(イカタコウイルス)、と言ったより破壊性の高い亜種が存在するが、作者は同一人物。

カレログ

正規のソフトウェアであるが、しばしばマルウェアとして扱われるため本項で取り上げる。Android端末用ソフトウェアであり、メール送受信内容や通話履歴、GPS位置などを外部から取得可能になるというバックドア動作を行う。彼氏のスマートフォンにインストールして不審な行動を感知することを第一目的としているとは提供元の弁であるが、あまりにも問題の多いその内容から、とうとうマカフィーに認識名Android/LOG KAREとしてマルウェア認定を受けるに至った。マカフィーの「信用のおけない人間に端末を貸さないのが対策」というコメントは皮肉である。

なお、カレログという名前に対して認識名がLOG KARE(ログカレ)と逆転しているが、こういったウィルスやマルウェアの命名においては、作者が期待していると思われる名前から敢えて改変した認識名を付けることが多々あるとのこと(後述するアイシスにおいても、英語綴りiesysに対してトレンドマイクロの認識名はSYS IEと逆転して付けられている)。

アイシス (iesys)

国産と考えられるマルウェアの一つ。いわゆるトロイの木馬(バックドア作成を目的としたマルウェア)。感染することで外部からスクリーンショットの取得やファイル一覧の取得、ファイルのアップ・ダウンロードや任意の実行ファイルの起動、さらには2ちゃんねるへの投稿が可能となる。自己増殖機能はないが、この機能を利用し、ユーザに成り済まして犯行予告を行われた人間が警察に誤認逮捕される事件が発生したことで話題を呼んだ。2012年 10月11日現在でトレンドマイクロなど大手ウィルス対策ソフトメーカーが対応を始めており(トレンドマイクロ認識名は「BKDR_SYS IE.A」)、今後はウィルス対策ソフトで検知・除去が可能になると思われる。

Sys internals Bluescreen

ウィルスではなくジョークソフトであるが、ウィルスとして扱われることがあるため本項で取り上げる。WindowsのBSoD(BlueScreen Of Death=ブルースクリーン)を再現するスクリーンセーバーであり、Windows関連の管理ソフトウェアを多く提供している旧Sys internals社によって開発された。サーバ等にこっそりインストールされることで管理者を驚かせる悪戯が多く発生したことから、現在では一部のウィルス対策ソフトが除去対象として検出するようになっている。

尚、Sys internalsはその後マイクロソフトに吸収合併されたため、現在はマイクロソフトの公式サイトで配布されているというシュールな事態になっている。更にバージョンアップされており、動作しているOSに合わせて演出が変化する、ニセのHDD アクセスを発生させる等、芸の細かい挙動を行う。

対策

以下のような心構え・行動は、マルウェアからコンピュータを守るものとしてよく知られている。

ウィルス対策ソフトを導入し、適宜更新を行って、侵入検知を的確に行う。
OS、及び導入している各ソフトの不具合修正ソフトは常に最新のものを導入する。
近年ではブラウザプラグインのセキュリティホールが悪用される事例が増えているため、ブラウザプラグイン類(Flash、Adobe Reader、Silverlight、Java Runt imeや、各種ブラウザツールバーなど)の更新を怠らないこと。
Windows2000(2010年 7月まで)、XP(2014年 4月まで)など、メーカーサポートが終了したOSはなるべく早いうちに新しいOSに入れ替えるべきである。
上記の延長線上として、使用しないソフトはアンインストールしてしまうことも有効である。特にJava Runt imeはJavaScriptの実行環境と勘違いしてインストールされているケースがある。これはセキュリティのみならず、PCの動作性能の改善にも役立つ。
出所のわからないソフト、素性の不明なWeb サイトなどの利用は極力控える。「君子危うきに近寄らず」である。近年ではURL短縮サイトを使用して偽装されていることもあるため、目的の不明な短縮URLにアクセスしないことも大事である。