ウイルスの名称や種類に加えてその動きについても知っておけば、ウイルスの感染防止対策や感染時の対応を理解しやすくなる。そこで今回は、ウイルスの動きを押さえよう。
まずはウイルスの「感染」について見ていく。
ウイルス対策ソフトをインストールしたパソコンでは、パソコン内でウイルスを見つけると「ウイルスに感染した恐れがあります」などと警告する。この感染は、感染する場所によって大きく三つのタイプに分類できる。(タイプ1)既存のファイルへの埋め込み、(タイプ2)新しいファイルとしての追加、(タイプ3)メモリー空間への追加、の三つだ。
タイプ1は、既存のファイルを上書きしたり、一部を書き換えたりすることで感染する。既存のファイルとは、ユーザーが普段利用するプログラムファイルだったり、Officeなどオフィススイートの文書ファイルだったりする。
プログラムファイルに感染した場合は、ユーザーが起動したり、OSの起動シーケンス中に実行されたりすることで、ウイルスが活動を開始する。
一方、オフィススイートの文書ファイルの場合は、マクロと呼ばれる機能によって、文書ファイルを開いたときにウイルスが活動を開始する。
前者をファイル感染型、後者をマクロ感染型と呼び、マクロ感染型のウイルスをマクロウイルスと呼ぶこともある。
従来は、ファイル感染型だけをウイルスと呼んでいた。生物学的なウイルスと同様に、宿主となるファイルがないと感染しないからだ。宿主を必要としない後述するタイプ2を、トロイの木馬と呼ぶこともあるが、現在ではこれらを含めて悪質なソフトウエア全般をウイルスと呼ぶ。
タイプ2は、パソコンに全く新しいファイルとして入り込むウイルスだ。有益なソフトウエアに見せかけて、ユーザー自身にインストールさせることが多い。
タイプ3は、メモリー空間に存在するタイプだ。基本的には、コンピュータを再起動すれば消えてしまう。だが、シャットダウン時にレジストリーなどOSのシステムファイルに書き込まれて、再起動時に再びメモリー空間に置かれるタイプもある。ディスクにファイルを保存しないため、どのタイプよりもウイルス対策ソフトで検知されにくい。「ファイルレスウイルス」と呼ぶことがある。
感染経路は5種類
コンピュータがウイルスに感染する経路をまとめると、「メール(添付ファイル)」「Webアクセス」「ファイルのダウンロード」「LAN」「USBメモリー」の5種類に分けられる。
ウイルスの感染対策を考えるうえで、この感染経路を把握しておくことが最も重要だ。
次に感染経路の中で、どの経路で最も多くウイルスが検知されているかを見ていこう。情報処理推進機構(IPA)は四半期ごとにウイルスが見つかった届出件数を公表している。直近5四半期分の推移を見ると、感染経路として最も多いのはメールであることがわかる。
ただし例外がある。2017年の第2四半期である。このときは、ネットワーク経由が最も多かった。これは、この四半期にLAN経由で感染するランサムウエア、WannaCryが大流行したためだと考えられる。
なおIPAの調査では、WebアクセスとLANによる感染経路は、「ネットワーク」という一つの項目にまとめられている。また、メールによる感染が添付ファイルによるものか、メール本文に埋め込まれたURLからのWebアクセスによるものか区別されていない。