キーワード5:コンピュータウィルス(こんぴゅーたうぃるす)



定義:

コンピュータウィルスには、言語で分類すると2種類に分類でき、それぞれプログラム型と、マクロ型がある。
プログラム型コンピュータウィルスとは、コンピュータプログラムの一種であるが、 以下のような悪質な特徴を持つ特殊なプログラムである。

コンピュータウィルスの入ったプログラムを動かすと、コンピュータ内の他のプログラムを 変更するなどしてコンピュータ内に潜在する(感染)。
感染したプログラムを動かしたときにコンピュータ内の他のプログラムにも感染する。
ある契機(日時、起動回数など)になるまでは、感染だけをおこない他の動作は行わない(潜伏)。
ある契機に感染以外の動作をする(発病)。
発病時の動作としては、
a)画面表示を破壊する
b)音楽を演奏する
c)メッセージを表示する
d)ファイルを破壊する
e)コンピュータを停止させる
f)ハードディスクを破壊する などがある。

マクロ型ウィルスは発病時の動作はプログラム型と変わらないが、その他の特徴として、 アプリケーションが同じであればコンピュータの機種によらず、感染・発病することがあげられる。


解説:

基本的にウイルスは、「ファイル感染型」と「ブートセクタ感染型」の2種類に分類できる。
「ファイル感染型」ウイルスは、.EXEまたは.COMファイルに接続していて、 そのプログラムファイルが実行された時に、システムの制御を奪う。
その後、他のファイルに同様に接続して再感染するのである。
「ブートセクタ感染型」ウイルスは、フロッピーディスクまたは、 ハードディスクの先頭セクタに感染しており、マシン起動時にメモリにロードして常駐するため、 他のプログラムがメモリにロードする前に、システム制御を奪うことができる。
こうすることで、ウイルスはDOSの割込みを監視して、 ドライブに挿入される他のフロッピーに再感染することができるのである。

過去のウイルス検出方法を回避できる新型のウイルスに、「ステルス型」と 「ミューテーション型」(ポリモフィック型)ウイルスがある。
「ステルス型」ウイルスは、DOSの割込み命令を思い通りに操つるなど、 革新的な方法を使用して、ファイルサイズや内容を監視するタイプの ウイルス検出から回避できる。
「ミューテーション型」ウイルスは、感染する度に自分自身に異なった暗号化を施すために、 殆どのウイルス検査プログラムが採用している、ウイルスのコードパターンを 比較するタイプのウイルス検出から回避できる。

現在までに起こったウイルスによる大規模な被害や感染は、その80パーセントが 「ブートセクタ感染型」によるものだった。
しかし今後は、モデムによるインターネットのファイル転送が一般的になったために、 「ファイル感染型」がより増大すると考えられている。
また、この傾向はさらに、データファイルにも感染できる「マクロ感染型」 ウイルスという新しいタイプの「ファイル感染型」ウイルスを生んだ。
このウイルスタイプは、ワードプロセッサのドキュメントファイルや、 表計算のスプレッドシートファイルにある、 マクロと呼ばれる小さな実行可能なコードに感染するのである(後述)。

今までのウイルスは、実行可能プログラムファイル(例:.EXE や.COMファイル) に自分自身を接続することでのみ繁殖することができた。
そこで市場にある多くのウイルス検出プログラムは、 実行可能ファイルを主にウイルス検査の対象にしてきたのである。
ところが、MS WORD AAZAO、WinWord.Concept、Prank Macroなどの名称で知られる、 ドキュメントファイルに感染する「マクロ感染型」ウイルスが実際に出現したことによって、 より高度で広範囲な検出技術が要求されている。
ドキュメントに感染できるこのようなウイルスは、 電子メールにアタッチされることが多いために、感染力が最も強いウイルスと言える。
事実、異常な速度で世界中に拡散しており、すでに変種も発見されているのである。

マクロウイルス
マクロウイルスとは、MicroSoft Wordの文章ファイルやExcelのデータファイルの マクロ機能を利用して感染するもので、機種・OS等にも依存しない事から マルチプラットホーム型ウイルスと呼ばれることもある。
通常のファイル感染型ウイルスは、実行型ファイル(拡張子がEXE,SYS等) に感染する為、自らファイルのオープン・クローズ命令を呼び出す際、 NTのセキュリティに阻まれて感染出来なかった。
しかしマクロウイルスはWordやExcelがファイルをオープンした後に感染する為、 自らファイルをオープンしているわけでは無い為、NTのセキュリティに阻まれることはなく、
またマクロ自体、WordやExcelの正規な機能である為、 OSがその中の特異な活動を見分けるのは難しいといえる。
アメリカの公的機関NCSAでのマクロウイルス感染被害データにおいてもブラウザー等で ファイルのダウンロードを行って感染したケースは全体の14.2%だが、 E-Mailの添付ファイルから感染したケースは30.5%と、 ダウンロード時に比べ2倍も多いと統計に出ている。
電子メールからの感染が多いことの原因の一つとして問題意識の差があげられる。
例えば知らない人間からの電子メールにプログラムが添付されていた場合には、 誰も素性がわかるまではそのプログラムを実行しないであろう。
だがWordやExcelのファイルであった場合はどうだろうか? 電子メールのテキスト部分に興味をそそる事が書いてあれば、 そのままダブルクリックして開けてしまうのでは無いだろうか? また優秀なメールソフトであれば親切に自動表示してくれるかもしれない。
Wordウイルスに代表されるマクロ型ウイルスへの対策には、 まずメールの添付ファイルからの感染を防ぐことが、もっとも有効であるといえるだろう。
さらに、非常に感染力の高いマクロウイルスであるが、 その開発事体は従来型のウイルスに比べ遥かに簡単である。
従来型のウイルスは95以上が高度なアセンブラ言語で書かれ、 ファイル構造を理解しないと作成するのは、困難であった。
しかしマクロウイルスはVisual Basicが書ける人間であれば簡単に作成出来てしまう。
またマクロ言語さえわかれば簡単に改造することも可能である。
まさに、時代の進化が生み出した脅威といえるだろう。


参考文献:

インターネット
(コンピュータウィルスとは):http://www.ksc.kwansei.ac.jp/campus/office/qa/virus/virus.htm
(トレンド・マイクロ社、ウィルスニュース):http://www.trendmicro.co.jp/


(担当:佐藤 亮介)