 |
連載:いまさらというなかれ!
管理者のためのウイルス対策の基礎
第1回 コンピュータ・ウイルスによる被害とその影響
2004/1/30
| 本連載では、システム管理者が知っておくべきコンピュータ・ウイルスに関する知識や、行うべきセキュリティ対策にはどのようなものがあるかということを示し、単に技術的な観点からだけではないコンピュータ・ウイルスの知識とその対策について解説します。正確な知識と対策を学ぶことで、コンピュータ・ウイルスから企業を守っていく助けとなれば幸いです。 (編集局) |
いまやコンピュータ・ウイルスという言葉を知らないコンピュータ・ユーザーはいないといっても過言ではないだろう。それほどコンピュータ・ウイルスの存在は一般的なものとなり、その被害や影響は社会的な問題として認知されている。つまり、企業のシステム管理者にとって、コンピュータ・ウイルスの知識およびその対処方法を知ることは必須であるといえる。
いまさら、というなかれ! コンピュータ・ウイルスに関する基礎中の基礎をあらためて頭の中に入れておくことは、正しいセキュリティ対策を行うための第1歩なのだから。
 |
知っているつもりの「コンピュータ・ウイルス」だが |
コンピュータ・ウイルスという言葉が初めて登場したのは、1984年、米Sandia National LaboratoryのFrederick B. Cohen氏のウイルスについての論文である。コンピュータ・ウイルスと呼べるものはそれ以前から存在していたが、近年のインターネットの普及に伴ってコンピュータ・ウイルスも進化を遂げている。特に1999年のメールによって感染を広げるマクロウイルス「Melissa」の出現以来、その進化は顕著なものである。
従来、コンピュータ・ウイルスは「ウイルス」「ワーム」「トロイの木馬」の3つに分類されていた。「分類されていた」と記述が過去形なのは、現在では必ずしもこの分類が適用されるとは限らないからである。それほどまでに、コンピュータ・ウイルスそのものの進化の速度は速く、対策側の研究体制も進歩している。ちなみに、コンピュータ・ウイルスとして認識されていたこれらの3つの種類を図解すると図1のようになる。
そもそも、コンピュータ・ウイルスは大きく分けて「ファイルに感染する/感染しない」の2つに分類できた。ファイルに感染する不正なプログラムを、狭義の意味でウイルスとして定義していたのである。
 |
| 図1 従来のコンピュータ・ウイルスの分類 |
一方、ファイルに感染しない不正なプログラムは、「自己増殖する/自己増殖しない」の2つに分けられ、自己増殖するものを「ワーム」、しないものを「トロイの木馬」と呼ぶこととした。いずれにしても、これらの不正プログラムをひっくるめて、広い意味で「コンピュータ・ウイルス」、あるいは一般的な略称として「ウイルス」とわれわれは呼んできたのである(今後、ウイルスと書くときはすべてのコンピュータ・ウイルスを指す。念のため)。
つまり、一口にウイルスといっても、その性質によって、さまざまな種類に分化してきたのである。逆にいえば、ウイルスの性質が複雑になるにつれて、ウイルスという1つの言葉ではその性質を表現し切れなくなってきたといえる。ウイルスに関する言葉の定義の多様化は、対策活動と研究が並行して行われてきたという攻撃対策サイドの苦肉の策でもあったのだ。
さて、以下、ウイルス、ワーム、トロイの木馬というウイルスの3つの種類について簡単に解説する。
| 「ウイルス」とは |
 |
ここでいう「ウイルス」とは、単独のファイルでは動作せず、ほかのファイルに“寄生”することで動作するプログラム(ウイルス)のことである。
狭い意味でのコンピュータ・ウイルスが持っていた純粋なコンピュータ・ウイルス・プログラムとしての機能を持っているのがこのプログラムである(狭義のウイルスというべきか)。
この機能のみで単独動作するものは、現在ではほとんど見られない。なお、このプログラムは次のような3段階の行動パターンで被害をもたらす。
| (1)感染 |
| ほかのファイルにウイルス自身をコピーし、他システムにウイルスを感染させる。 |
| (2)潜伏 |
| その後、発病のためのトリガー(特定の時刻や特定のコマンドの実行などのある一定の条件がそろうこと)を引くまでの期間、何もせずにシステム内に潜み続ける。 |
| (3)発病 |
| ある一定の潜伏期間を経た後、ファイルを破壊したり、メッセージを表示するなどのウイルス本来の機能を実行する。 |
| 【参考】Insider's computer Dictionary「コンピュータ・ウイルス」 |
| 「ワーム」とは |
単独のプログラムで動作し、ネットワーク環境(多くはインターネット)を利用して自分自身をコピーしながら自己増殖を繰り返す。
狭義のウイルスとは異なり、ほかのコンピュータに感染するためにほかのファイルに寄生する必要がない。
| 【参考】セキュリティ用語事典「ワーム」 |
| 「トロイの木馬」とは |
単独のプログラムで動作し、通常の有益なプログラムのように見せ掛けて個人情報の奪取や、コンピュータへの不正アクセスのためのバックドアを作成するなどの不利益をもたらす機能を提供する。トロイの木馬自身では、ほかのファイルに感染するといった自己増殖は行わない。
 |
| 図2 現在のコンピュータ・ウイルスは複数の特徴を持つ |
ここ数年のウイルスは後述の「ワーム型ウイルス」や「トロイの木馬型ワーム」などの複数の特徴を持つものが多くなり、明確に分けることが難しくなってきている。とはいえ、ウイルスは広く「ユーザーの意思にかかわらず不利益をもたらす不正なプログラム」を指していることに変わりはない。
| 【参考】セキュリティ用語事典「トロイの木馬」 |
|
ウイルスのメカニズム――感染タイプを知る |
ウイルスを明確に分類することは難しいが、そのメカニズムを知っておくために、感染タイプ別に紹介しておく。
|
||||||||
| 表1 感染タイプ別ウイルス分類例 |
- ブートセクタ感染型ウイルス
OSの起動より前に読み込まれるブートセクタ(ブートプログラムがあるシステム領域)に感染するタイプのウイルスである。
よく勘違いしている方を見かけるが、ハードディスクやフロッピーディスクなど、どのディスクにもブートセクタは存在している。たとえ実行可能なプログラムが存在しないようなシステムディスクではないディスク(起動可能ではない単なるデータディスク)としても、ブートセクタは存在するのである。
- ファイル感染型ウイルス
アプリケーションなどの実行可能なプログラムファイルに感染するタイプのウイルスである。既知ウイルスの品種の数はこのタイプが最多である。
- 複合感染型ウイルス
ブートセクタ感染型ウイルスとファイル感染型ウイルスの両方の特徴を持つウイルスである。両者の強みを備えているが、複雑な仕組みのため広範囲に感染した例がない。
- インタプリタ型ウイルス
主にMicrosoft OfficeのWordやExcelのマクロ機能を利用して感染するタイプの「マクロウイルス」と、VBAスクリプトなどのスクリプトを利用して感染するタイプの「スクリプトウイルス」がこのタイプのウイルスである。実行可能なプログラムファイル以外に感染するところに特徴がある。
- 非常駐型ウイルス
単発型ウイルスとも呼ばれ、プログラムの実行時のみウイルスが活動するタイプの単純なウイルスである。
- メモリ常駐型ウイルス
ウイルスに感染したプログラムが実行されると活動を開始し、コンピュータの電源が切られるか再起動されるまで活動し続けるタイプのウイルスである。
そのほかにはワームやトロイの木馬の特徴を持ったウイルスがある。近年はこの複合タイプのウイルスが主流である。
- ワーム型ウイルス
ワームの特徴である自己増殖を行い、ウイルスの特徴であるほかファイルへの感染を行うといった両者の特徴を持ったタイプのウイルスである。ネットワークやメールを使って送られてくるウイルスはこのタイプが多い。
- トロイの木馬型ワーム
トロイの木馬の特徴である通常のプログラムに見せ掛けた悪質な機能を備え、ワームの特徴である自己増殖を行って感染を広げるといった両者の特徴を持ったウイルスである。
またこれらの分類以外に、ほかのプログラムに感染する機能を備え、単独のプログラムでいかにも役に立ちそうなプログラムに見せ掛けてメールを使ってほかのコンピュータに自らを送信するような、ウイルスとワームとトロイの木馬すべての特徴を持ったウイルスも存在する。
以下に参考として、近年のウイルス年表を記す(表2)。
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 表2 近年のウイルス年表 |
|
ここが肝心――ウイルスによる被害を知る |
ウイルスにはさまざまな種類があり、ユーザーに与える被害も多種多様である。もっとも、ウイルス自身はプログラムであり、(一般的な意味での)プログラムが行う動作を実現できる。例えば、ファイルの削除や上書き、ディスクのフォーマット、システムの停止、セキュリティ対策プログラムの停止、ソフトウェアの改ざんなどなど。被害を挙げていくと切りがない。
ところで、多くの場合、ウイルスは2段階を踏んでシステムに被害をもたらす。コンピュータが直接に被害を受ける「1次被害」と、1次被害の後に起こる「2次被害」であるが、以下にそれぞれの簡単な解説を行う。
| ウイルスによる1次被害 |
1次被害というのは、ウイルスの感染や潜伏期間、発病(発症)時によって引き起こされるコンピュータへの直接的な被害である。これには、ウイルス自身の本来の機能によって引き起こされる被害と、本来の機能とは関係なく引き起こされる被害がある。
ウイルス本来の機能と関係ない被害とは、ウイルスがコンピュータ内に存在しているだけで起こる被害である。つまり、ウイルスが存在することで、メモリを消費し、パフォーマンス低下を引き起こす原因となるのである。メモリ消費以外にも、ディスク領域の消費や、CPU処理の遅延といった被害がある。
ウイルス本来の機能による被害は、「セキュリティの3要素」で考えると分類しやすい。3要素とは、すなわち、「機密性(Confidentiality)」「完全性(Integrity)」「可用性(Availability)」である(この3要素をC.I.A.と呼ぶこともある)。
|
【機密性】
|
権限のないものに情報が漏れないようにすること |
|
【完全性】
|
不正や改ざんによって情報が破壊されず、常に完全な状態で安全性が保持されていること |
|
【可用性】
|
必要なときに許可された利用者が情報にアクセスできること |
ウイルスの攻撃をこの3要素に分けて考えると次のような被害が挙げられる。
- 機密性に対する攻撃
- パスワードやクレジットカード番号など、個人情報が盗まれてWeb上の掲示板に書き込まれる
- 個人のデータファイルなどをメールによって転送される
- パスワードやクレジットカード番号など、個人情報が盗まれてWeb上の掲示板に書き込まれる
- 完全性に対する攻撃
- Web上のHTMLファイルが変更されるといったデータ改ざん一般
- システムファイルやシステム領域の破壊
- アプリケーションやデータファイルの損傷
- Web上のHTMLファイルが変更されるといったデータ改ざん一般
- 可用性に対する攻撃
- ファイルやフォルダの削除
- ファイルやシステム領域の暗号化
- ほかのソフトウェア(FORMATやFDISK、そのほかのアプリケーションなど)の不正なコール
- ファイルやフォルダの削除
| ウイルスによる2次被害 |
ウイルスに感染したコンピュータが、ほかのコンピュータへウイルスを伝染させる、あるいは、あるウイルスによって作られたバックドアから不正アクセスを受けるなど、ウイルスによる1次被害の際に適切に対処できなかった場合、その被害が土台となって、さらなる被害をうける可能性がある。このような2次被害には次のようなものが挙げられる。
- ネットワークや物理的なメディアを通じて、ほかのコンピュータにウイルスが感染してしまい、被害を拡大する。
- コンピュータにバックドアを仕込まれ、不正アクセスが容易なものとされてしまう。その結果、そのコンピュータが不正に利用される。
- 1次被害時の対応の誤りで、例えばファイルを削除してしまったり、不必要にフォーマット作業を行ってしまう。
2次被害については、1次被害後の適切な対処で防ぐことができる場合がほとんどだ。1次被害後の対処を怠ると、ほかのコンピュータへの感染という2次被害の加害者になってしまう可能性がある。
| ウイルスによる社会的な被害とその影響 |
ウイルスによる被害が1つのコンピュータやシステム(あるいは企業)に対する実害だけで済めばいい方である。最悪の場合、社会的な被害にまで及ぶことがあるのだ。社会的な被害には次のようなものが挙げられる。
- 感染者(社)の心理面での圧迫
- (企業の)信頼失墜によるビジネスリスク
- 感染による法的なリスク
- 被害調査や復旧作業にかかるコスト(主に人件費)の発生
- 運用環境の改善を含むシステム全体の改善コストの発生
そのほか、社会的な影響という意味では次のようなものも挙げられる。
- インターネット上にウイルスがまん延することで発生すると予測されるネットワークの遅延
- ウイルス被害の報道によって、コンピュータやインターネットに対する過剰な危機感があおられる
◇
以上、第1回は、ウイルスによる一般的な被害とその影響について簡単にまとめた。第2回は、より具体策に、「企業が受けるウイルスによる被害」として、その直接被害(破壊や復旧作業など)および、間接被害(信頼度の低下など)を解説する。
「第2回」へ |
|
||||||
|
||||||
| Profile |
| 上野 宣(うえの せん) 1975年京都生まれ。情報セキュリティを世に広げるべく、講演や執筆活動とさまざまな方面で活動中。近著に「今夜わかるTCP/IP」と「今夜わかるHTTP」(共に翔泳社から2004年12月発売)がある。 |
|
||||||||
 |
Security&Trust記事一覧 |
ホワイトペーパー(TechTargetジャパン)
- この脆弱性対策エンジンは“永遠に完成しない” (2010/3/9)
パターンファイルに頼らず防御する「要の技術」は、いまも完成にはいたっていない。その理由とは―― - Gumblarがあぶり出す 「空虚なセキュリティ対策」 (2010/3/1)
ガンブラーの脅威は、組織の構造や外部委託問題をあぶり出します。そのセキュリティ対策、建前論になっていませんか? - 決済アプリのセキュリティ基準、PA-DSSとは (2010/2/24)
“ペイメントアプリケーション”のセキュリティ基準を定めたPA-DSS。厳密に定められた14の要件を、PCI DSSと対比させつつ解説します - 「鍵は“J”の中にあるよ」CTF by ダークナイト解答編 (2010/2/22)
ダークナイトからの挑戦状、いかがだっただろうか。WiresharkにNetworkMiner、WinRARを駆使し、“J”に隠された秘密を解き明かせ!
 |
|
|
|
|
スキルアップ/キャリアアップ(JOB@IT)
スポンサーからのお知らせ
- - PR -
 |
「いつかは壊れるサーバ」そんな故障に 迅速で安価に手軽に対応する方法とは? New! |
 |
「特権ユーザー」の事件を防げ! 万能権限を持つユーザーの管理方法とは? New! |
 |
仮想環境の構築とデータ保護の特効薬?! 実績と信頼性の高いパッケージで安心運用 |
 |
仮想環境のバックアップもこれまでどおり 「まるごと取ってまるごと戻す」簡単運用 |
 |
おばかアプリ選手権、第4弾開催中!! ムダにカッコよくてくだらない作品求ム! |
 |
社内ファイルサーバを“クラウド”に統合 VPN直結「クラウド型ストレージ」を紹介 |
 |
その数、なんと400台以上! グループ内 サーバの「統合管理」によるメリットは? |
 |
美人!? まあまあ? 気になる いやし系!! PV急増で「美人時計」がとった手段とは? |
 |
進化を続ける富士通ストレージETERNUS DX 製品開発者の自信を裏付けるものとは何か |
 |
運用管理の課題を“2つの観点”から分析 ユーザー満足度の高い「仮想環境」とは? |
- - PR -
お勧め求人情報
**先週の人気講座ランキング**
〜CCNA編〜
| ◆ | TomcatやJBossなどAPサーバ環境に関する 情報を集約! “業務”用APサーバ大百科 New! |
| ◆ | 一気に解説! 最新のクラスタストレージ 「RAIDを超えたストレージ基準」……など New! |
| ◆ | クラウド的ユーザー体験の変化は脅威か? 仮想化技術を使いこなす運用管理術を紹介 New! |
| ◆ | 上司や部下、部署内メンバーとの情報共有 を“ガラッ”と変えるコラボツールとは? New! |
| ◆ | おばかアプリ選手権、第4弾開催中!! ムダにカッコよくてくだらない作品求ム! |
| ◆ | 社内ファイルサーバを“クラウド”に統合 VPN直結「クラウド型ストレージ」を紹介 |
| ◆ | Twitterのアカウントはなぜ突破された? メールによる新手の攻撃手法とその対策 |
| ◆ | もう仮想化のお試しフェイズは終わりだ! Hyper-V 2.0が基幹システムも仮想化 |
| ◆ | 美人!? まあまあ? 気になる いやし系!! PV急増で「美人時計」がとった手段とは? |
| ◆ | クライアント企業から求められる人材 ⇒IT技術と経営戦略を併せ持つ「戦略家」 |
| ◆ | .NET編集長が実践する「技術情報検索術」 サンプル・コードを簡単に探す“技”は? |
| ◆ | 業務効率と情報セキュリティ対策を両立! 手間なく確実に機密情報を守る方法とは? |
| ◆ | 進化を続ける富士通ストレージETERNUS DX 製品開発者の自信を裏付けるものとは何か |
| ◆ | 運用管理の課題を“2つの観点”から分析 ユーザー満足度の高い「仮想環境」とは? |
| ◆ | 【CTC事例】約30の基幹システムを統合! 膨大なバッジジョブを制御した方法は? |
| ◆ | 仮想化すればコストは削減できるか? 仮想化に必要な「3つの視点」を解説する |
| ◆ | その数、なんと400台以上! グループ内 サーバの「統合管理」によるメリットは? |
著作権はアイティメディア株式会社またはその記事の筆者に属します。(著作権について)
当サイトに掲載されている記事や画像などの無断転載を禁止します。
「@IT」「@IT自分戦略研究所」「@IT情報マネジメント」「JOB@IT」「@ITハイブックス」「@IT MONOist」「ITmedia」「誠」「BARKS」は、アイティメディア株式会社の登録商標です。
当サイトに関するお問い合わせは「@ITへのお問い合わせ」をご覧ください。