フェーズ1 感染
結局はプログラムにくっつく

 具体的な感染のしくみの解説に入る前に,まずは感染経路を確認しておこう。そもそもどうやってウイルスがパソコンに入ってくるのかを知らなければ,話が始まらない。

図3 ウイルスの感染経路は大きく三つある

9割以上が電子メール経由

 ウイルスの侵入経路は主に,(1)電子メール,(2)外部媒体,(3)ダウンロード――の三つがある(図3[拡大表示])。

 (1)の電子メールは,ワームやトロイの木馬そのものや,ウイルスに感染したファイルが電子メールの添付ファイルなどとして送られてくるというもの。ウイルス入りメールを送ってくるのは,添付ファイルがウイルスに感染していることを知らない一般ユーザーの場合もあるし,ワームによって自動的にメールが送られてくる場合もある。トロイの木馬の場合なら,悪意のある第三者(クラッカ)が送りつけてくる。

 なお,ウイルスが入っているのは,添付ファイルだけとは限らない。例えばWindowsに付属するOutlook Express(アウトルック エクスプレス)など最近の電子メール・ソフトは,Webブラウザの機能を利用して,メール本文に記述されたHTMLコードを解釈して表示するものも多い。こうしたHTMLメール部分にウイルスのスクリプトが埋め込まれている場合がある。

 (2)の外部媒体は,ウイルスが入ったフロッピ・ディスクやCD-ROMなどをだれかからもらって,そこから自分のパソコンにウイルスが入り込んでしまうケースである。人からもらったフロッピ・ディスクなどにウイルスが入っていて感染してしまうことが多いが,それだけとは限らない。市販ソフトなどにウイルスが紛れ込んでいたというケースも過去に何件も起こっている。

 また,外部媒体経由の感染は,フロッピ・ディスクやハードディスク内にあるファイルによって感染するとは限らない。詳しくはこのあと説明するが,ウイルスの中には,フロッピ・ディスクやハードディスクの起動領域に潜むタイプもある。こうしたウイルス入りの外部媒体でパソコンを起動してしまうと,そこからウイルスが感染する。

 (3)のダウンロードは,WebサイトやFTPサーバーなどから,トロイの木馬やウイルスに感染したファイルをダウンロードするケースだ。社内LAN上のファイル・サーバーやパソコン同士のファイル共有が原因になることもある。

 さらに(3)に関しては,少々特殊なケースも存在する。例えば,99年に大騒ぎになった「Worm.ExploreZip(ワームエクスプロアジップ)」というウイルスは,LAN上にあるほかのパソコンがOSの起動ドライブをまるまる共有するように設定していた場合,勝手に自分を送り込んで感染させようとする。つまり,そのパソコンのユーザーがダウンロードしなくても,自動的にウイルスをダウンロードして実行したことになってしまう。

 三つの侵入経路のうち,最も多いのが(1)の電子メール経由である。国内で起こったウイルスによる被害状況をまとめている情報処理振興事業協会(IPA)によれば,最近は9割以上が電子メール経由での感染となっている(図1-3参照)。つい数年前までは外部媒体経由による感染の方が多かったので,いかに電子メールの普及がウイルスの感染に影響を与えたかがわかる。ウイルスと電子メールはもはや切っても切れない関係にあるのだ。

感染ターゲットは三つ

 さて,上記三つの経路でウイルスが入ってきたとしても,このままではなにも起こらない。感染は,ユーザーが誤って電子メールの添付ファイルを開くなどして,ウイルス・プログラムを実行した瞬間から始まるのだ。ここはとても重要なので,ぜひ覚えておこう。

 ユーザーが誤ってウイルスを起動してしまうと,感染が始まる。ここで,ウイルスが感染するターゲットによって,ウイルスを以下の三つに分類できる。

  • ブート・セクター感染型:
    ハードディスクやフロッピ・ディスクの起動用プログラムを収める領域に感染する
  • 実行ファイル感染型:
    .comや.exeなどのプログラム(実行ファイル)に感染する
  • スクリプト感染型:
    米マイクロソフトのオフィス製品(Wordなど)の文書ファイルや,HTMLファイルなどに感染する

これらを順番に見ていこう。

図4 ブート・セクター感染型ウイルスの感染

パソコン起動と同時に動き出す

 まずはブート・セクター感染型ウイルスである(図4[拡大表示])。これは,フロッピ・ディスクやハードディスクのブート・セクター(起動領域)に感染するタイプのウイルスである。

 ブート・セクターとは,パソコンが起動する初期状態にアクセスされる特殊な領域で,ここにはパソコンを起動するのに必要な小さなプログラムが収められている。ハードディスクの場合はマスター・ブート・レコード(MBR)と呼ばれる。ブート・セクター感染型ウイルスはこのプログラムに感染するのだ。ウイルスがブート・セクターに感染すると,OSが起動する前にメモリーに読み込まれてCPUが実行する。この状態でパソコンにほかのフロッピ・ディスクなどが挿入されれば,そのフロッピ・ディスクへも次々と感染していく。