コンピューターの脅威のタイプ

本マニュアルにおける 「脅威」 とは、コンピューターやネットワークに対して潜在的または直接的にダメージを与える、あるいはユーザーの情報や権利を危険にさらす可能性のある、あらゆるソフトウェア(すなわち悪意のある、またはその他の不審なプログラム)を意味します。ただし、一般的に「脅威」という言葉は、コンピューターやネットワークセキュリティに対するあらゆる潜在的な危険(すなわち、攻撃に悪用される可能性のある脆弱性)を指して使用される場合があります。

下記に記載するプログラムはすべて、ユーザーのデータや機密性を脅かす機能を持っています。自身の存在をユーザーから隠さないプログラム(スパムを送信するソフトウェアやトラフィックアナライザなど)は状況によっては脅威と成り得ますが、通常はコンピューター脅威としては見なされません。

コンピューターウイルス

この種類の悪意のあるプログラムは、他のプログラム内にそのコードを挿入する(これを感染と呼びます)ことができるという特徴を持っています。多くの場合、感染したファイルはそれ自体がウイルスのキャリアとなり、また挿入されたコードは必ずしもオリジナルのものと一致するとは限りません。ほとんどのウイルスは、システム内のデータを破損させる、または破壊する目的を持っています。

Doctor Web では、コンピューターウイルスは感染させるオブジェクトに応じて次のカテゴリーに分類されます。

ファイルウイルス―OSファイルを感染させ(通常、実行ファイルとダイナミックライブラリ)、それらが実行されると同時に起動します。

マクロウイルス - Microsoft Office、またはマクロコマンド(通常、Visual Basicで記述されている)に対応しているその他のプログラムで使用されるドキュメントを感染させるウイルスです。マクロコマンドは、完全なプログラミング言語で書かれた埋め込み型のプログラム(マクロ)で、特定の状況下で起動されます(例えばMicrosoft Wordでは、ドキュメントを開く、閉じる、または保存すると自動的にマクロが開始されます)。

スクリプトウイルス - スクリプト言語を使用して作成され、多くの場合、別のスクリプト(OSサービスファイルなど)を感染させます。Webアプリケーション内の脆弱なスクリプトを悪用することで、スクリプトの実行に対応しているその他の種類のファイルを感染させることもできます。

ブートウイルス - ディスクのブートセクター、ハードディスクのパーティションやマスターブートレコードを感染させます。メモリをほとんど消費せず、システムがロールアウト、再起動、またはシャットダウンするまで、そのタスクを続行することができます。

多くのウイルスは自身を検出から保護するための特別なメカニズムを持ち、これらのメカニズムは常時改良され続けています。しかしそれと同時に、それらに対抗するための技術も進化しています。使用する保護手法に応じて、ウイルスは次の2つのグループに分類することができます。

暗号化ウイルス - ファイル、ブートセクター、メモリ内で検出されるのを防ぐため、感染の度に自身のコードを暗号化します。このウイルスのサンプルは全て、ウイルス署名として使用可能な共通のコードフラグメント(復号化プロシージャ)のみを含んでいます。

ポリモーフィック型ウイルス - コード暗号化の他に特別な復号化プロシージャを用います。このプロシージャは各コピーごとに異なっています。つまり、この種類のウイルスはバイトシグネチャを持ちません。

ステルスウイルス(インビジブルウイルス) - 特定のアクションを実行して、感染したオブジェクトでの活動と存在を隠します。このようなウイルスは、オブジェクトを感染させる前にそのオブジェクトの特性を収集し、スキャナーが変更されたファイルを探し出す際に誤認させるための「ダミー」特性を作り出します。

ウイルスは、記述された言語(多くの場合はアセンブリで書かれていますが、高度なプログラミング言語やスクリプト言語などで書かれたウイルスもあります)や感染させるOSに応じて分類することもできます。

コンピューターワーム

ワームは、ウイルスやその他の悪意のあるプログラムよりも広く拡散されるようになってきています。ウイルス同様、自身を複製することができますが、他のオブジェクトを感染させることはありません。ネットワークからコンピューターに侵入し(通常、メールの添付ファイルとして)、ネットワーク内にある他のコンピューターに自身のコピーを拡散します。拡散はユーザーのアクションに応じて、または自動的に開始されます。

ワームは1つのファイル(ワームのボディ)から成っているとは限りません。多くのワームが、メインメモリ(RAM)内にロードされる、いわゆる感染部分(シェルコード)を持っています。その後、シェルコードによって、ワームのボディがネットワーク経由で実行ファイルとしてダウンロードされます。シェルコードがシステム内に存在するだけであれば、システムを再起動することで(RAMが削除されリセットされます)ワームを削除することができますが、ワームのボディがコンピューターに侵入してしまった場合はアンチウイルスプログラムでなければ対処できません。

ワームはその拡散速度によって、例えペイロードを持っていない(システムに直接的な被害を与えない)場合であっても、ネットワーク全体の機能を損なう能力を持っています。

Doctor Webでは、拡散手法に応じてワームを以下のように分類します。

ネットワークワーム - 様々なネットワークおよびファイル共有プロトコル経由で拡散されます。

メールワーム - メールプロトコル(POP3、SMTPなど)経由で拡散されます。

チャットワーム - 広く使用されているメッセンジャーがチャットプログラム(ICQ、IM、IRCなど)のプロトコルを使用します。

トロイの木馬

これらのプログラムは自己複製しません。トロイの木馬は頻繁に使用されるプログラムを置き換え、自身の機能を実行(またはその動作を模倣)します。一方で、システム内で悪意のある行為(データの破損または削除、秘密情報の送信など)を行ったり、ハッカーが許可なくコンピューターにアクセスできるようにしたりするなど、第三者のコンピューターに損害を与える可能性があります。

ウイルス同様、トロイの木馬もまた様々な悪意のある動作を実行し、ユーザーから自身の存在を隠すほか、それ自体がウイルスのコンポーネントとなることも可能です。ただし、多くのトロイの木馬は、ユーザーまたは特定のシステムプロセスによって起動される個別の実行ファイルとして拡散されます(ファイル交換サーバー、リムーバブルストレージ、メール添付ファイルなどを介して)。

トロイの木馬はウイルスやワームによって拡散される場合があり、また、トロイの木馬の実行する悪意のある動作の多くが他の種類の脅威によっても実行されうることから、その分類が難しくなっています。以下のトロイの木馬は、Doctor Webでは個別のクラスとして分類されています。

バックドア - 犯罪者が保護メカニズムをすり抜けてシステムにアクセスすることを可能にするトロイの木馬です。バックドアはファイルを感染させることはなく、レジストリキーを改変することで自身をレジストリ内に登録します。

ルートキット - 自身の存在を隠す目的でOSのシステム機能を妨害するように設計された悪意のあるプログラムです。また、その他のプログラムのプロセスやレジストリキー、フォルダ、ファイルを隠すことができます。個別のプログラムとして、または他の悪意のあるアプリケーションのコンポーネントとして拡散されます。ルートキットはその動作モードによって2つのグループに分けられます。ユーザーモードで動作するユーザーモードルートキット(UMR)と、カーネルモードで動作するカーネルモードルートキット(KMR)です。UMRはユーザーモードライブラリ機能を妨害し、一方、KMRはシステムのカーネルレベルで機能を妨害し、その検出を困難にします。

キーロガー - ユーザーがキーボードを使用して入力したデータを記録します。これらの悪意のあるプログラムは様々な機密情報(ネットワークパスワード、ログイン、バンクカードデータなど)を盗むことができます。

クリッカー - Webサイトのトラフィックを増加させる、またはDos攻撃を実行するためにユーザーを特定のインターネットリソースへリダレクトします。

プロキシサーバー型トロイの木馬 - サイバー犯罪者に対し、被害者のコンピューターを経由した匿名でのインターネットアクセスを提供します。

トロイの木馬は上記以外の悪意のある動作を実行することも可能です。例えば、ブラウザのホームページを変更したり、特定のファイルを削除することができます。ただし、それらの動作はその他の種類の脅威(ウイルスまたはワーム)によっても実行されることがあります。

ハッキングツール

ハッキングツールは、侵入者によるハッキングを可能にするプログラムです。最も一般的なものは、ファイアーウォールまたはコンピューター保護システムのその他のコンポーネントにおける脆弱性を検出するポートスキャナです。それらのツールはハッカーだけではなく、管理者がネットワークのセキュリティを検査するためにも用いられます。ハッキングにも使用することのできる一般的なソフトウェアや、ソーシャルエンジニアリングテクニックを使用する様々なプログラムもハッキングツールに分類されることがあります。

アドウェア

アドウェアは通常、ユーザーの画面に強制的に広告を表示させるフリーウェアプログラム内に組み込まれたプログラムコードを指します。ただしそのようなコードは、他の悪意のあるプログラム経由で配信されてWebブラウザ上に広告を表示させる場合もあります。アドウェアプログラムの多くは、スパイウェアによって収集されたデータを用いて動作します。

ジョークプログラム

アドウェア同様、このタイプの悪意のあるプログラはシステムに対して直接的な被害を与えることはありません。ジョークプログラムは通常、実際には起こっていないエラーに関するメッセージを表示させ、データの損失につながるアクションの実行を要求します。その目的はユーザを脅えさせたり、不快感を与えたりすることにあります。

ダイアラー

これらは、さまざまな電話番号をスキャンし、モデムが応答する番号を見つけるために設計された特別なプログラムです。これらの番号は、電話機能の価格をマークアップするため、または高価な電話サービスにユーザーを接続するために使用されます。

リスクウェア

コンピューター脅威として意図されたものではないプログラムです。しかし、その機能によってシステムセキュリティを脅かす可能性があるため軽微な脅威として分類されます。リスクウェアには、データを破損または削除してしまう危険性のあるプログラムのほか、ハッカーや悪意のあるアプリケーションによってシステムに害を与えるために利用される可能性のあるプログラムが含まれます。そのようなプログラムには、様々なリモートチャットおよび管理ツール、FTPサーバなどがあります。

疑わしいオブジェクト

ヒューリスティックアナライザによって検出される、潜在的なコンピューター脅威です。このようなオブジェクトには、あらゆる種類の脅威(情報セキュリティスペシャリストにとって未知のものでさえも)が含まれ、また、誤検出の際には安全なオブジェクトであることが判明する場合もあります。疑わしいオブジェクトを含むファイルは隔離へ移動し、解析のために Doctor Web アンチウイルスラボへ送信することを強く推奨します。