今週のSecurity Check(第166回)

 「ウイルス」「ワーム」「スパイウエア」「ボットネット」「フィッシング」---。現在,インターネットにはさまざまな悪質なプログラムや攻撃,脅威が出回っている。総称して「マルウエア(Malware malicious software:有害プログラム,悪意のあるソフトウエア)」などと呼ばれるこれらのプログラム/脅威は,インターネット・セキュリティにある程度詳しい方でも,それぞれの違いや特徴を述べることは難しい。

 そこで本稿では,マルウエアの代表的な分類(カテゴリ)を紹介するとともに,最近話題になっているマルウエアや脅威を解説する。加えて,マルウエア/脅威に関する新たな分類方法を提唱したい。マルウエアの理解や対策のために役立てていただければ幸いである。

 なお,本稿で紹介する分類などは,筆者がマルウエア対策を進める上で独自にまとめたものであり,特に権威付けされたものではないことをお断りしておく。また,マルウエアの歴史/手法/分類については,筆者が共同執筆した「有害プログラム--その分類・メカニズム・対策(共立出版)」で詳述しているので,興味のある方はそちらを参照していただきたい。

従来のカテゴリ

 マルウエアは,大きく分けると表1のようなカテゴリに分類できるだろう。

表1 マルウエアの種類
ウイルス記憶媒体やメールを介して自己感染を繰り返すプログラム
ネットワーク・ワーム(ワーム)ネットワーク経由で自己増殖するプログラム
受動的攻撃受動的攻撃[注1]によって攻撃を仕掛ける,あるいは感染するプログラム
トロイの木馬有用なプログラムなどを装って侵入するプログラム
バックドアPCを外部から操作できるようにするプログラム
スパイウエアPCの情報を盗み取るプログラム[注2]
アドウエア広告などを勝手に表示するプログラム
フラッダ(Flooder)DoS/DDoS攻撃を行うためのプログラム
ドロッパ(Dropper)他のマルウエアをダウンロードするプログラム

注1 「『受動的攻撃』に気をつけろ~その実態と対策~」
注2 ユーザーのキー入力などを記録して盗む「キーロガー」は,スパイウエアに分類される。

 表1にあるように,マルウエアの種類(カテゴリ)には,「感染活動に基づくカテゴリ」と「感染後の活動に基づくカテゴリ」が存在する。

 例えば,ウイルス,ネットワーク・ワーム,受動的攻撃は,感染活動に基づく名称である。一方,バックドア,スパイウエア,アドウエア,フラッダ,ドロッパは,感染後の活動に基づいた名称である。

 トロイの木馬については,いずれの意味でも使われる場合がある。(1)「ユーザーをだまして実行させる(ソーシャル・エンジニアリングを使う)」といった感染活動をするマルウエアを指す場合と,(2)「ユーザーが意図しない動作(活動)をする」マルウエアを指す場合である。いずれの使い方でも誤りではないが,本稿では(1)のようなマルウエアをトロイの木馬と呼ぶ。

 多くのマルウエアには,複数の感染活動/活動が実装されている。このため,どれか一つのカテゴリに分類することが難しくなっている。例えば「Nimda」は,ウイルス,ワーム,受動的攻撃を使って感染を広げる(図1)。


図1 Nimdaの活動 [画像のクリックで拡大表示]

 「Sobig」は,感染するとキーロガーなどのバックドアとして動作するほか,オープン・プロキシの機能を持つ。このためSobigに感染したパソコンは,スパム・メールの踏み台として悪用された(図2)。


図2 Sobig.Aの活動 [画像のクリックで拡大表示]