「コンピュータ・ウイルス」と聞くと,パソコンに侵入して,悪さをするプログラムといった漠然としたイメージを持っている人が多いのではないだろうか。一方,「ワーム」,「トロイの木馬」という用語も,最近では一般的になってきた。まずは,こうした用語の意味を確認することから始めよう。
コンピュータ・ウイルスという用語の起源は,1984年9月にフレデリック・コーヘン博士(当時は米カリフォルニア大学の大学院生)が,米国セキュリティ学会で発表した論文だ。この論文では「ほかのプログラムに自分自身のコピーを含ませるために,感染先プログラムを修正して伝染できるプログラム」と,コンピュータ・ウイルスを定義した。これが,ウイルスの元々の意味である。
一方,テレビや雑誌の報道では,不正プログラム全般をウイルスと呼ぶことが多い。しかし,ウイルスにかかわる専門家の間では,今でもコーヘン博士の定義が尊重されている。そこで,このPart1では,ほかのプログラムに寄生するプログラムをウイルスとし,世間一般で語られるウイルスのことを,「不正プログラム」と呼ぶことにする。そして,狭い意味でのウイルスだけでなく,不正プログラムの生態を探っていこう。
自己増殖するワーム
不正プログラムの挙動を基に分類すると,本来の意味でのウイルスのほか,ワーム,トロイの木馬の三つに分かれる(図1)。
ワームとは,ネットワークを介して自己増殖する機能を持ったプログラムである。例えば,メール・ソフトなどを勝手に利用して,自分自身を添付した電子メールをほかのパソコンに送りつけたりする。
「ウイルスの被害が急増しているのは電子メールが普及したことだ」と言われているが,これは半分しか正しくない。厳密にいうと,「電子メールの普及と,それを利用して増殖するワームが増えたのが原因である」と言える。
正規ソフトを装うトロイの木馬
トロイの木馬は,ゲームやユーティリティなどの正規プログラムを装った不正プログラムのことだ。本来の狭い意味のウイルスとは,まったく性質の異なる存在である。トロイの木馬は,単独で動作する不正プログラムであり,ウイルスのようにほかのプログラムに感染することはない。
なお,不正プログラムによっては,三つの分類にまたがるものが存在する。例えば,「ワームの機能を兼ね備えたウイルス」などである。
4段階に分けて生態観察
ようやく,ウイルス(不正プログラム)の正体を暴く準備が整った。では正体を知るために,不正プログラムの行動パターン(生態)を追いかけていくことにしよう。
典型的な行動パターンは,(1)感染,(2)潜伏,(3)増殖,(4)発病の四つのフェーズに分けられる(図2)。
(1)の感染は,ウイルスがほかのプログラムに自分自身をコピーして増えていくことである。
(2)の潜伏は,ウイルスなどの不正プログラムが,ユーザーやウイルス対策ソフトの監視から逃れるために,自分自身の姿を隠す行為である。
(3)の増殖は,不正プログラムがコンピュータから別のコンピュータへと次々に増えていく状態である。
(4)の発病は,不正プログラムが行うさまざまな悪さである。 では,この四つのフェーズの詳細を順に見ていこう。
フェーズ1 感染
結局はプログラムにくっつく
具体的な感染のしくみの解説に入る前に,まずは感染経路を確認しておこう。そもそもどうやってウイルスがパソコンに入ってくるのかを知らなければ,話が始まらない。
9割以上が電子メール経由
ウイルスの侵入経路は主に,(1)電子メール,(2)外部媒体,(3)ダウンロード――の三つがある(図3)。
(1)の電子メールは,ワームやトロイの木馬そのものや,ウイルスに感染したファイルが電子メールの添付ファイルなどとして送られてくるというもの。ウイルス入りメールを送ってくるのは,添付ファイルがウイルスに感染していることを知らない一般ユーザーの場合もあるし,ワームによって自動的にメールが送られてくる場合もある。トロイの木馬の場合なら,悪意のある第三者(クラッカ)が送りつけてくる。
なお,ウイルスが入っているのは,添付ファイルだけとは限らない。例えばWindowsに付属するOutlook Express(アウトルック・エクスプレス)など電子メール・ソフトは,Webブラウザの機能を利用して,メール本文に記述されたHTMLコードを解釈して表示するものも多い。こうしたHTMLメール部分にウイルスのスクリプトが埋め込まれている場合がある。
(2)の外部媒体は,ウイルスが入ったフロッピ・ディスクやCD-ROMなどをだれかからもらって,そこから自分のパソコンにウイルスが入り込んでしまうケースである。人からもらったフロッピ・ディスクなどにウイルスが入っていて感染してしまうことが多いが,それだけとは限らない。市販ソフトなどにウイルスが紛れ込んでいたというケースも過去に何件も起こっている。
また,外部媒体経由の感染は,フロッピ・ディスクやハードディスク内にあるファイルによって感染するとは限らない。詳しくはこのあと説明するが,ウイルスの中には,フロッピ・ディスクやハードディスクの起動領域に潜むタイプもある。こうしたウイルス入りの外部媒体でパソコンを起動してしまうと,そこからウイルスが感染する。