コンピューターテクノロジーやネットワークソリューションの発達に伴い、ユーザーに害をもたらす様々な悪意のあるプロ グラム(マルウェア)が益々広く拡散されるようになっています。その発達はコンピューターサイエンスの誕生と同時に始 まり、それらに対抗するための保護テクノロジーもまた並行する形で進化を遂げてきました。しかしながら、そのような プログラムの進化が予測できない性質のものであること、また適応される技術が常に改良され続けていることから、
起こりうる全ての脅威に対する統一された分類は未だ存在しません。
マルウェアはインターネット、ローカルネットワーク、電子メール、リムーバブルメディアを介して拡散されます。それらの 中にはユーザーの不注意や経験のなさを悪用するよう設計され、完全に自動モードで動作することができるものも あります。その他にはハッカーによって操作されるツールがあり、それらは最もセキュリティの高いシステムにさえ危害を 与えることができます。
本章では、最も一般的かつ広く拡散されているマルウェアのタイプについて説明します。Doctor Web 製品はそれら のマルウェアに対する保護を提供します。
16.1. コンピューター脅威の分類
本マニュアルにおける 「脅威」 とは、コンピューターやネットワークに対して潜在的または直接的にダメージを与え る、あるいはユーザーの情報や権利を危険にさらす可能性のある、あらゆるソフトウェア(すなわち悪意のある、また はその他の不審なプログラム)を意味します。ただし、一般的に「脅威」という言葉は、コンピューターやネットワークセ キュリティに対するあらゆる潜在的な危険(すなわち、攻撃に悪用される可能性のある脆弱性)を指して使用され る場合があります。
下記に記載するプログラムは全て、ユーザーのデータや機密性を脅かす機能を持っています。自身の存在をユーザ ーから隠さないプログラム(スパムを送信するソフトウェアやトラフィックアナライザなど)は状況によっては脅威と成り得 ますが、通常はコンピューター脅威としては見なされません。
Doctor Web のマニュアルおよび製品では、脅威はその危険度に応じて2つのカテゴリーに分類されます。
· 重大な脅威 は、システム内でそれ自体が破壊的または違法な動作を実行(重要なデータを削除したり盗んだ りする、ネットワークをクラッシュさせる、など)する従来からあるコンピューター脅威です。この種類のコンピューター 脅威には、一般的に「悪意のある」と表現されるプログラム(ウイルス、ワーム、トロイの木馬)が含まれます。
· 軽微な脅威 は重大な脅威に比べて危険度の低いものですが、悪意のある活動を行う第三者によって利用さ れる可能性があります。また、システム内に軽微な脅威が存在するということ自体が、保護レベルの低さを示して います。この種類の脅威は情報セキュリティスペシャリストによって「グレイウェア」または不審なプログラムと呼ばれ ることがあります。このカテゴリーにはアドウェア、ダイアラー、ジョークプログラム、リスクウェア、ハッキングツールが含ま れます。
重大な脅威
コンピューターウイルス
この種類の悪意のあるプログラムは、他のプログラム内にそのコードを挿入する(これを感染と呼びます)ことができる という特徴を持っています。多くの場合、感染したファイルはそれ自体がウイルスのキャリアとなり、また挿入されたコー ドは必ずしもオリジナルのものと一致するとは限りません。ほとんどのウイルスは、システム内のデータを破損させる、ま たは破壊する目的を持っています。
Doctor Webでは、コンピューターウイルスは感染させるオブジェクトに応じて次のカテゴリーに分類されます。
· ファイルウイルス―OSファイルを感染させ(通常、実行ファイルとダイナミックライブラリ)、それらが実行されると同時 に起動します。
· マクロウイルス―Microsoft® Office、またはマクロコマンド(通常、Visual Basicで記述されている)に対応して いるその他のプログラムで使用されるドキュメントを感染させるウイルスです。マクロコマンドは、完全なプログラミン グ言語で書かれた埋め込み型のプログラム(マクロ)で、特定の状況下で起動されます(例えばMicrosoft Word では、ドキュメントを開く、閉じる、または保存すると自動的にマクロが開始されます)。
· スクリプトウイルス―スクリプト言語を使用して作成され、多くの場合、別のスクリプト(OSサービスファイルなど)
を感染させます。Webアプリケーション内の脆弱なスクリプトを悪用することで、スクリプトの実行に対応しているそ の他の種類のファイルを感染させることもできます。
· ブートウイルス―ディスクのブートセクター、ハードディスクのパーティションやマスターブートレコードを感染させま す。メモリをほとんど消費せず、システムがロールアウト、再起動、またはシャットダウンするまで、そのタスクを続行 することができます。
多くのウイルスは自身を検出から保護するための特別なメカニズムを持ち、これらのメカニズムは常時改良され続け ています。しかしそれと同時に、それらに対抗するための技術も進化しています。使用する保護手法に応じて、ウイ ルスは次の2つのグループに分類することができます。
· 暗号化ウイルス―ファイル、ブートセクター、メモリ内で検出されるのを防ぐため、感染の度に自身のコードを暗 号化します。このウイルスのサンプルは全て、ウイルス署名として使用可能な共通のコードフラグメント(復号化プ ロシージャ)のみを含んでいます。
· ポリモーフィック型ウイルス―コード暗号化の他に特別な復号化プロシージャを用います。このプロシージャは各 コピーごとに異なっています。つまり、この種類のウイルスはバイトシグネチャを持ちません。
ウイルスは記述された言語(多くの場合アセンブラ、高級プログラミング言語、スクリプト言語など)や感染させるOS に応じて分類することもできます。
コンピューターワーム
ワームは、ウイルスやその他の悪意のあるプログラムよりも広く拡散されるようになってきています。ウイルス同様、自 身を複製することができ、ネットワークからコンピューターに侵入し(通常、Eメールの添付ファイルとして)、ネットワーク 内にある他のコンピューターに自身のコピーを拡散します。拡散はユーザーのアクションに応じて、または自動的に開 始されます。
ワームは1つのファイル(ワームのボディ)から成っているとは限りません。多くのワームが、メインメモリ(RAM)内にロー ドされる、いわゆる感染部分(シェルコード)を持っています。その後、シェルコードによって、ワームのボディがネットワ ーク経由で実行ファイルとしてダウンロードされます。シェルコードがシステム内に存在するだけであれば、システムを 再起動することで(RAMが削除されリセットされます)ワームを削除することができますが、ワームのボディがコンピュー ターに侵入してしまった場合はアンチウイルスプログラムでなければ対処できません。
ワームはその拡散速度によって、例えペイロードを持っていない(システムに直接的な被害を与えない)場合であって も、ネットワーク全体の機能を損なう能力を持っています。
Doctor Webでは、拡散手法に応じてワームを以下のように分類します。
· ネットワークワーム―様々なネットワークおよびファイル共有プロトコル経由で拡散されます。
· メールワーム―メールプロトコル(POP3、SMTPなど)経由で拡散されます。
付録 B. コンピューター脅威と駆除手法 121
トロイの木馬
このタイプの悪意のあるプログラムは自身を複製しませんが、それ自体で悪意のある動作を実行することができます
(データを破損または削除、機密情報を送信するなど)。また、犯罪者が許可を得ずにコンピューターにアクセス(例 えば第三者に損害を与えるために)することを可能にします。
ウイルス同様、トロイの木馬もまた様々な悪意のある動作を実行し、ユーザーから自身の存在を隠すほか、それ自 体がウイルスのコンポーネントとなることも可能です。ただし、多くのトロイの木馬は、ユーザーまたは特定のシステム プロセスによって起動される個別の実行ファイルとして拡散されます(ファイル交換サーバー、リムーバブルストレー ジ、メール添付ファイルなどを介して)。
Doctor Web ではトロイの木馬を以下の種類に分類しています。
· バックドア―犯罪者が保護メカニズムをすり抜けてシステムにアクセスすることを可能にするトロイの木馬です。
バックドアはファイルを感染させることはなく、レジストリキーを改変することで自身をレジストリ内に登録します。
· ドロッパー―ボディ内に悪意のあるプログラムを含んだファイルキャリアです。起動されると、ユーザーの承諾なしに 悪意のあるファイルをハードディスクにコピーし、それらを起動させます。
· キーロガー―ユーザーがキーボードを使用して入力したデータを記録します。これらの悪意のあるプログラムは 様々な機密情報(ネットワークパスワード、ログイン、バンクカードデータなど)を盗むことができます。
· クリッカー―Webサイトのトラフィックを増加させる、またはDos攻撃を実行するためにユーザーを特定のインター ネットリソースへリダレクトします。
· プロキシサーバー型トロイの木馬―サイバー犯罪者に対し、被害者のコンピューターを経由した匿名でのインタ ーネットアクセスを提供します。
· ルートキット―自身の存在を隠す目的でOSのシステム機能を妨害するように設計された悪意のあるプログラム です。また、その他のプログラムのプロセスやレジストリキー、フォルダ、ファイルを隠すことができます。個別のプログ ラムとして、または他の悪意のあるアプリケーションのコンポーネントとして拡散されます。ルートキットはその動作モ ードによって2つのグループに分けられます。ユーザーモードで動作するユーザーモードルートキット(UMR)と、カー ネルモードで動作するカーネルモードルートキット(KMR)です。UMRはユーザーモードライブラリ機能を妨害し、
一方、KMRはシステムのカーネルレベルで機能を妨害し、その検出を困難にします。
トロイの木馬は上記以外の悪意のある動作を実行することも可能です。例えば、ブラウザのホームページを変更し たり、特定のファイルを削除することができます。ただし、それらの動作はその他の種類の脅威(ウイルスまたはワー ム)によっても実行されることがあります。
軽微な脅威
ハッキングツール
ハッキングツールは、侵入者によるハッキングを可能にするプログラムです。最も一般的なものは、ファイアーウォール またはコンピューター保護システムのその他のコンポーネントにおける脆弱性を検出するポートスキャナです。それらの ツールはハッカーだけではなく、管理者がネットワークのセキュリティを検査するためにも用いられます。ハッキングにも 使用することのできる一般的なソフトウェアや、ソーシャルエンジニアリングテクニックを使用する様々なプログラムも ハッキングツールに分類されることがあります。
アドウェア
アドウェアは通常、ユーザーの画面に強制的に広告を表示させるフリーウェアプログラム内に組み込まれたプログラム