ウイルスの分類

現在、コンピュータにかかわる「ウイルス」はかなり広い意味を持っています。ここでは、ごく簡単に、よく登場するウイルスの分類名称について説明します。

1. ウイルスの一般的な分類

 通商産業省では、1995年に次のように「ウイルス」の定義を行っています。

「第三者のプログラムやデータベースに対して意図的に何らかの被害を及ぼすようにつくられたプログラム」(通商産業省告示第429号、1995年より)

また、この定義には続きがあり、「次の機能を一つ以上有するもの」とされています。 つまり、

  1. 自己伝染機能
  2. 潜伏機能
  3. 発病機能

 

この三機能を基本にしてウイルスを説明するのが、一般的となっています。 実際、これにしたがってウイルスは、次のように三つに大別されています。

 

ウイルスの三大分類

  1. (狭義の)ウイルス
  2. ワーム
  3. トロイの木馬

 

●ウイルス(Virus)

(狭義の)ウイルスは、他のプログラムに寄生しつつ他のコンピュータに感染するものを指します。

 

●ワーム(Worm)

ワームは、寄生することなく独自に活動し他のコンピュータに感染するものです。

 

●トロイの木馬(Trojan Horse または略してTrojan)

トロイの木馬は、侵入するとそのコンピュータで活動はするものの他のコンピュータには感染しないものです。

昨今のウイルスは、圧倒的にトロイの木馬型が多く発生しています。 ワームや(狭義の)ウイルスはごくわずかにすぎません。 そこで今度は、トロイの木馬を機能別にいくつかに分類するようになりました。

 

(狭義での)トロイの木馬

  1. バックドア
  2. スパイウェア
  3. ダウンローダー/ドロッパー

 

●トロイの木馬(Trojan Horseまたは略してTrojan)

(狭義での)トロイの木馬は、一見すると無害もしくは有益なプログラムとして実行しているにもかかわらず、実は不正なプログラムを立ち上げるものです。

 

●バックドア(Backdoor)

バックドアは、外部との連絡や外部からの侵入ができるようにするものです。

 

●スパイウェア(Spyware)

スパイウェアは、コンピュータにある情報を盗み出すプログラムです。

 

●ダウンローダー(Downloader)

ダウンローダーは、外部から不正なソフトを招き寄せるプログラムです。

 

●ドロッパー(Dropper)

ドロッパーは、本来活動するプログラムを内包しており侵入した後にはじめてそのプログラムを引き出して使用するものです。

 

このように、古典的な三大分類の、狭義のウイルス、ワーム、そしてトロイの木馬を細分化した、(狭義の)トロイの木馬、バックドア、スパイウェア、ダウンローダー/ドロッパーといった四分類、さらにそれに、アドウェアとルートキット、その他の三分類を加えて、合計九項目でウイルスを分類することができます。

 

●アドウェア(Adware)

アドウェアとは、文字通り広告をポップアップなどで表示させます。

 

●ルートキット(Rootkit)

ルートキットとは、ログオンやその他プロセスなどにおける不正な動きを隠蔽する仕組みを持ったものです。

 

●その他

その他、過去に流行し今はあまり使用されなくなったダイヤル回線を勝手に変更するダイヤラー(Dialer)、脆弱性を攻撃するエクスプロイト(Exploit)などがあります。

 

2. 種別でみたウイルス

 ウイルスには、ワームやトロイの木馬といった分類のための名称がある一方で、さらに、ネットスカイやラブレター、サーカムといった、より細分化された名称があります。前者はグループ名であり、後者は、使用されたプログラムコードの機能と特性に基づいて命名されたものです。

 後者の種別でみたウイルス名は、1990年代には、流行するたびにマスコミにもよくとりあげられ、少しは聞いたことのある名称もありました。しかし今では、次々と新種が発生しているため、ほとんどこれらの名称は次から次へと現れては消えてゆきます。

 ウイルス名は現在、ほとんど専門化してしまってはいますが、どのようなウイルスが活発化しているかをみるうえでは、重要な指標であることには変わりありません。

 以下では、ウイルスの小分類による名称、つまり種別でみたウイルス名について、いくつかとりあげておきましょう。これらの名称は、長期的に発生するものもあれば、短期的なものもあります。

 

トロイの木馬型

●ゲノム(Genome)

ダウンローダー、キーロガー、ファイル暗号化の機能が統合されたものです。

 

●スカー(Scar)

ダウンローダー、スパイウェア、ボットなど、マルウェアの更なるダウンロードを開始するのに使用されるテキストファイルをロードします。

 

●ブザス(Buzus)

個人情報(クレジットカード、オンラインバンキング、EメールおよびFTPアカウント)を探し出し攻撃者にデータを転送します。そのうえ、より容易に犠牲者のコンピュータを攻撃できるようにコンピュータのセキュリティ設定を下げようと試みます。

 

●マガニア(Magania)

台湾のガマニア社のオンラインゲームのパスワードを盗むために用いられ、何度も圧縮したRAR形式のメールの添付ファイルに紛れて侵入を試みます。画像を表示し注意を逸らしているあいだにバックグラウンドで別のファイルをシステムにロードします。また同時に、インターネット・エクスプローラーにDLLを登録し、攻撃者がいつでもネット利用をモニタリングできるようにします。

 

●サスフィス(Sasfis)

コンピュータ上にファイルをインストールし、インターネットから新たなマルウェアをダウンロードするのを試みます。亜種はメール添付として送られてきます。

 

●リフレッソ(Refroso)

バックドアの機能を用い、ネットワークで他のコンピュータを攻撃します。

 

●モンダー(Monder)

感染したシステム上のセキュリティ設定を操作し侵入しやすくします。亜種が無数に発生しており、求められてもいない広告を表示するアドウェアを併用するものや、ウイルススキャンを偽装し、感染したとみせかけて完全版の購入を促し、クレジットカードで支払うよう誘導し、個人情報を盗み出すものがあります。また、別のウイルスをダウンロードし、ユーザーに知られずにネット閲覧の履歴を攻撃者に転送するものもあります。

 

●オンラインゲームズ (OnlineGames)

オンラインゲームのアクセスデータを盗み出します。ピークは2007年から2008年でしたが、オンラインゲームは依然としてデータ窃盗の標的となっています。ゲームのキャラクターやアイテムなどのデータは多くのフォーラムにてRMT(リアルマネートレード)で取引されています。これがネット犯罪者たちをひきつけている理由です。

 

●マガニア (Magania)

台湾のガマニア社のオンラインゲームのパスワードを盗むために用いられます。メールの添付ファイル(.rar)に紛れて侵入し感染させ、バックドアを仕掛けると同時にインターネットエクスプローラーにDLLを登録し攻撃者がいつでもネット利用をモニタリングできるようにします。

 

●インジェクト (Inject)

実行プロセスを操作するタイプのものであり、多数の亜種があります。攻撃者が自由に、しかも、被害者に知られずに、プロセスを統御できるようにするものです。

 

●リプラ―(Lipler)

ウェブサイトから追加マルウェアをダウンロードできるダウンローダーを含みます。またブラウザのスタートページを変えます。

 

●フラウドロード (Fraudload)

セキュリティソフトやシステムツールを偽装するスケアウェアを使ったもので、製品を購入させようと特設サイトに誘導しクレジットカード情報を入力させ盗み出します。一般に、OSのセキュリティホールにパッチをあてていない場合や、アプリケーション・ソフトに脆弱性があることで、感染が起こります。このフラウドロードは、アダルトや最新ニュース、ゴシップといった多くの人が関心を持ちそうなテーマの動画を用意し、その動画を再生するためにビデオコーデックをダウンロードしなければならない、と思わせて感染させるという手法をとっています。

 

バックドア型

●ピーシークライアント(PcClient)

コンピュータを遠隔操作してデータを盗み出すのに使用されます。ファイルと登録エントリーを隠すためにルートキット技術を使用しています。

 

●フピゴン(Hupigon)

攻撃者はコンピュータを遠隔操作します。キーボード入力の記録や、ファイルシステムへのアクセス、ウェブカメラへのアクセスを可能にします。

 

●ビフローズ (Bifrose)

感染したPCにアクセスし、IRCサーバーに接続できるようにします。

 

●ポイズン (Poison)

認証されていなくともリモートでアクセスできるようになり、たとえば回線速度を遅くさせるなどのDDos攻撃に用いられます。

 

ワーム

●バスン(Basun)

現在のユーザーか管理者の名でPCに侵入します。ローカルネットワークで他のコンピュータを攻撃し、感染を広げます。

 

3. プラットフォーム別で見たウイルス発生状況

「コンピュータ」のウイルスについて、これまで概観してきましたが、あくまでもウィンドウズのウイルスについて述べてきました。それは、ウィンドウズのウイルスが圧倒的に多いからです。ウイルス作者は、攻撃先をユーザー数の多いウィンドウズに絞っているのです。その他、狙われているのは、以下のプラットフォームです(ウイルス発生数の多い順)

 

●ウィンドウズ(Win32)

発生しているウイルスの99%以上を占めています。

 

●ウェブスクリプト(WebScript)

ジャバ・スクリプト、HTML、フラッシュ/ショックウェーブ、PHPまたはASPに基づいているマルウェアを指します。通常はブラウザ経由で脆弱性を突くマルウェアを意味します。

 

●スクリプト(Script)

VBS、パール(Perl)、パイソン(Python)またはルビー(Ruby)といったスクリプト言語に書かれているバッチ、シェルスクリプトまたはプログラムです。

 

●MSIL

ドットネット(.NET)言語で書かれたプログラムをコンパイル変換したもので、プラットフォームやプログラミング言語に依存しないフォーマットです。マルウェア作成者もまた、まさしくこのドットネット環境を悪用する機会が増えています。ドットネットアプリケーションの大部分は、ウィンドウズでホストされているのです。

 

●NSIS

ウィンアンプ(Winamp)によって使用されるインストールプラットフォームです。これまで目立たなかったのですが、2009年には少し増加が見られました。

 

●モバイル(Mobile)

J2ME、シンビアン(Symbian)、およびウィンドウズCEのためにマルウェアを含みます。

 

その他、ユニックス(Unix)やアップル(Apple)のウイルスもごくわずかでありますが発生しています。 アップルのマックOSの新しいマルウェアプログラムは、わずか3つ発見されたにとどまりました。

ニュースなどではマックのウイルスが登場すると大きく話題としてとりあげられますが、ウィンドウズの大量のマルウェア数と比べるならば、その割合は、きわめて少ないと言えます。いずれにせよ、今後も相変わらずウィンドウズが最も狙われることは間違いありません。そしてウイルスの数も大きく減ることはなく、あふれ続けることは確かです。

ただし、ウィンドウズ以外のプラットフォームへの攻撃もまた、油断できません。今は実験段階にあり、今後は攻撃が現実化するおそれがあります。特にアップル、ユニックス、携帯機器関連の数は増加する可能性が高いと思われます。大規模な攻撃が起こることはないものの、特定の組織やユーザーを狙った攻撃など、それぞれのプラットフォームの特性に合わせた攻撃が起こりうるので、それに会わせた事前の対策をすべきでしょう。