コンピューター脅威の分類

本マニュアルにおける 「脅威」 とは、コンピューターやネットワークに対して潜在的または直接的にダメージを与える、あるいはユーザーの情報や権利を危険にさらす可能性のある、あらゆるソフトウェア（すなわち悪意のある、またはその他の不審なプログラム）を意味します。ただし、一般的に「脅威」という言葉は、コンピューターやネットワークセキュリティに対するあらゆる潜在的な危険（すなわち、攻撃に悪用される可能性のある脆弱性）を指して使用される場合があります。

下記に記載するプログラムは全て、ユーザーのデータや機密性を脅かす機能を持っています。自身の存在をユーザーから隠さないプログラム（スパムを送信するソフトウェアやトラフィックアナライザなど）は状況によっては脅威と成り得ますが、通常はコンピューター脅威としては見なされません。

Doctor Web のマニュアルおよび製品では、脅威はその危険度に応じて2つのカテゴリーに分類されます。

•重大な脅威 は、システム内でそれ自体が破壊的または違法な動作を実行（重要なデータを削除したり盗んだりする、ネットワークをクラッシュさせる、など）する従来からあるコンピューター脅威です。この種類のコンピューター脅威には、一般的に「悪意のある」と表現されるプログラム（ウイルス、ワーム、トロイの木馬）が含まれます。

•軽微な脅威 は重大な脅威に比べて危険度の低いものですが、悪意のある活動を行う第三者によって利用される可能性があります。また、システム内に軽微な脅威が存在するということ自体が、保護レベルの低さを示しています。この種類の脅威は情報セキュリティスペシャリストによって「グレイウェア」または不審なプログラムと呼ばれることがあります。このカテゴリーにはアドウェア、ダイアラー、ジョークプログラム、リスクウェア、ハッキングツールが含まれます。

重大な脅威

コンピューターウイルス

この種類の悪意のあるプログラムは、他のプログラム内にそのコードを挿入する（これを感染と呼びます）ことができるという特徴を持っています。多くの場合、感染したファイルはそれ自体がウイルスのキャリアとなり、また挿入されたコードは必ずしもオリジナルのものと一致するとは限りません。ほとんどのウイルスは、システム内のデータを破損させる、または破壊する目的を持っています。

Doctor Webでは、コンピューターウイルスは感染させるオブジェクトに応じて次のカテゴリーに分類されます。

•ファイルウイルス―OSファイルを感染させ（通常、実行ファイルとダイナミックライブラリ）、それらが実行されると同時に起動します。

•マクロウイルス―Microsoft® Office、またはマクロコマンド（通常、Visual Basicで記述されている）に対応しているその他のプログラムで使用されるドキュメントを感染させるウイルスです。マクロコマンドは、完全なプログラミング言語で書かれた埋め込み型のプログラム（マクロ）で、特定の状況下で起動されます（例えばMicrosoft Wordでは、ドキュメントを開く、閉じる、または保存すると自動的にマクロが開始されます）。

•スクリプトウイルス―スクリプト言語を使用して作成され、多くの場合、別のスクリプト（OSサービスファイルなど）を感染させます。Webアプリケーション内の脆弱なスクリプトを悪用することで、スクリプトの実行に対応しているその他の種類のファイルを感染させることもできます。

•ブートウイルス―ディスクのブートセクター、ハードディスクのパーティションやマスターブートレコードを感染させます。メモリをほとんど消費せず、システムがロールアウト、再起動、またはシャットダウンするまで、そのタスクを続行することができます。

多くのウイルスは自身を検出から保護するための特別なメカニズムを持ち、これらのメカニズムは常時改良され続けています。しかしそれと同時に、それらに対抗するための技術も進化しています。使用する保護手法に応じて、ウイルスは次の2つのグループに分類することができます。

•暗号化ウイルス―ファイル、ブートセクター、メモリ内で検出されるのを防ぐため、感染の度に自身のコードを暗号化します。このウイルスのサンプルは全て、ウイルス署名として使用可能な共通のコードフラグメント（復号化プロシージャ）のみを含んでいます。

•ポリモーフィック型ウイルス―コード暗号化の他に特別な復号化プロシージャを用います。このプロシージャは各コピーごとに異なっています。つまり、この種類のウイルスはバイトシグネチャを持ちません。

ウイルスは記述された言語（多くの場合アセンブラ、高級プログラミング言語、スクリプト言語など）や感染させるOSに応じて分類することもできます。

コンピューターワーム

ワームは、ウイルスやその他の悪意のあるプログラムよりも広く拡散されるようになってきています。ウイルス同様、自身を複製することができ、ネットワークからコンピューターに侵入し（通常、Eメールの添付ファイルとして）、ネットワーク内にある他のコンピューターに自身のコピーを拡散します。拡散はユーザーのアクションに応じて、または自動的に開始されます。

ワームは1つのファイル（ワームのボディ）から成っているとは限りません。多くのワームが、メインメモリ（RAM）内にロードされる、いわゆる感染部分（シェルコード）を持っています。その後、シェルコードによって、ワームのボディがネットワーク経由で実行ファイルとしてダウンロードされます。シェルコードがシステム内に存在するだけであれば、システムを再起動することで（RAMが削除されリセットされます）ワームを削除することができますが、ワームのボディがコンピューターに侵入してしまった場合はアンチウイルスプログラムでなければ対処できません。

ワームはその拡散速度によって、例えペイロードを持っていない（システムに直接的な被害を与えない）場合であっても、ネットワーク全体の機能を損なう能力を持っています。

Doctor Webでは、拡散手法に応じてワームを以下のように分類します。

•ネットワークワーム―様々なネットワークおよびファイル共有プロトコル経由で拡散されます。

•メールワーム―メールプロトコル（POP3、SMTPなど）経由で拡散されます。

トロイの木馬

このタイプの悪意のあるプログラムは自身を複製しませんが、それ自体で悪意のある動作を実行することができます（データを破損または削除、機密情報を送信するなど）。また、犯罪者が許可を得ずにコンピューターにアクセス（例えば第三者に損害を与えるために）することを可能にします。

ウイルス同様、トロイの木馬もまた様々な悪意のある動作を実行し、ユーザーから自身の存在を隠すほか、それ自体がウイルスのコンポーネントとなることも可能です。ただし、多くのトロイの木馬は、ユーザーまたは特定のシステムプロセスによって起動される個別の実行ファイルとして拡散されます（ファイル交換サーバー、リムーバブルストレージ、メール添付ファイルなどを介して）。

Doctor Web ではトロイの木馬を以下の種類に分類しています。

•バックドア―犯罪者が保護メカニズムをすり抜けてシステムにアクセスすることを可能にするトロイの木馬です。バックドアはファイルを感染させることはなく、レジストリキーを改変することで自身をレジストリ内に登録します。

•ドロッパー―ボディ内に悪意のあるプログラムを含んだファイルキャリアです。起動されると、ユーザーの承諾なしに悪意のあるファイルをハードディスクにコピーし、それらを起動させます。

•キーロガー―ユーザーがキーボードを使用して入力したデータを記録します。これらの悪意のあるプログラムは様々な機密情報（ネットワークパスワード、ログイン、バンクカードデータなど）を盗むことができます。

•クリッカー―Webサイトのトラフィックを増加させる、またはDos攻撃を実行するためにユーザーを特定のインターネットリソースへリダレクトします。

•プロキシサーバー型トロイの木馬―サイバー犯罪者に対し、被害者のコンピューターを経由した匿名でのインターネットアクセスを提供します。

•ルートキット―自身の存在を隠す目的でOSのシステム機能を妨害するように設計された悪意のあるプログラムです。また、その他のプログラムのプロセスやレジストリキー、フォルダ、ファイルを隠すことができます。個別のプログラムとして、または他の悪意のあるアプリケーションのコンポーネントとして拡散されます。ルートキットはその動作モードによって2つのグループに分けられます。ユーザーモードで動作するユーザーモードルートキット（UMR）と、カーネルモードで動作するカーネルモードルートキット（KMR）です。UMRはユーザーモードライブラリ機能を妨害し、一方、KMRはシステムのカーネルレベルで機能を妨害し、その検出を困難にします。

トロイの木馬は上記以外の悪意のある動作を実行することも可能です。例えば、ブラウザのホームページを変更したり、特定のファイルを削除することができます。ただし、それらの動作はその他の種類の脅威（ウイルスまたはワーム）によっても実行されることがあります。

軽微な脅威

ハッキングツール

ハッキングツールは、侵入者によるハッキングを可能にするプログラムです。最も一般的なものは、ファイアーウォールまたはコンピューター保護システムのその他のコンポーネントにおける脆弱性を検出するポートスキャナです。それらのツールはハッカーだけではなく、管理者がネットワークのセキュリティを検査するためにも用いられます。ハッキングにも使用することのできる一般的なソフトウェアや、ソーシャルエンジニアリングテクニックを使用する様々なプログラムもハッキングツールに分類されることがあります。

アドウェア

アドウェアは通常、ユーザーの画面に強制的に広告を表示させるフリーウェアプログラム内に組み込まれたプログラムコードを指します。ただしそのようなコードは、他の悪意のあるプログラム経由で配信されてWebブラウザ上に広告を表示させる場合もあります。アドウェアプログラムの多くは、スパイウェアによって収集されたデータを用いて動作します。

ジョークプログラム

アドウェア同様、このタイプの悪意のあるプログラはシステムに対して直接的な被害を与えることはありません。ジョークプログラムは通常、実際には起こっていないエラーに関するメッセージを表示させ、データの損失につながるアクションの実行を要求します。その目的はユーザを脅えさせたり、不快感を与えたりすることにあります。

ダイアラーム

ユーザーの許可を要求した後、インターネット接続を使用して特定のWebサイトへアクセスするプログラムです。通常、これらのプログラムは署名入りの証明書を持ち、実行する動作についてユーザーに通知します。

リスクウェア

コンピューター脅威として意図されたものではないプログラムです。しかし、その機能によってシステムセキュリティを脅かす可能性があるため軽微な脅威として分類されます。リスクウェアには、データを破損または削除してしまう危険性のあるプログラムのほか、ハッカーや悪意のあるアプリケーションによってシステムに害を与えるために利用される可能性のあるプログラムが含まれます。そのようなプログラムには、様々なリモートチャットおよび管理ツール、FTPサーバなどがあります。

疑わしいオブジェクト

ヒューリスティックアナライザによって検出される、潜在的なコンピューター脅威です。このようなオブジェクトには、あらゆる種類の脅威（情報セキュリティスペシャリストにとって未知のものでさえも）が含まれ、また、誤検出の際には安全なオブジェクトであることが判明する場合もあります。疑わしいオブジェクトを含むファイルは隔離へ移動し、解析のために Doctor Web アンチウイルスラボへ送信することを強く推奨します。