【第3回】
コンピューターウイルスの概要
コンピューターウイルスも人間が開発したプログラム
(98/12/18)
前回までにコンピューターウイルスの歴史や被害について説明をしてきたが、報道やデマに惑わされず、情報を的確に判断しコンピューターウイルスを防いでいくためには、コンピューターウイルスの侵入や感染などの動作を理解する必要がある。
そこで第3回目では、コンピューターウイルスの概要について説明する。
コンピューターウイルスの定義について
コンピューターウイルスは、感染、潜伏、発病という動作が自然界のウイルスと似ていることから、このような名前で呼ばれるようになった。そのため空気感染をしたり人間に感染すると誤解されることがあるが、実体は通常利用するアプリケーションソフトと同じく、人間が開発したプログラムなのだ。
通商産業省は「平成7年通商産業省告示第429号」でコンピューターウイルスを定義しており、「第三者のプログラムやデータべースに対して意図的に何らかの被害を及ぼすように作られたプログラムであり、自己伝染機能、潜伏機能、発病機能を一つ以上有するもの。」としている。つまり、感染か発病のいずれかの機能をもっており意図的に被害を及ぼすプログラムをコンピューターウイルスと定義している。しかし、この定義は広義の定義と言われており、狭義の定義として、感染機能をもったものを「コンピューターウイルス」、感染はせず発病機能だけをもったものを「爆弾」ということもある。
コンピュータウイルスには大きく分けると「ディスク感染型」と「ファイル感染型」があり、さらにファイル感染型は、プログラムに感染するものと、アプリケーションソフト上で実行するマクロに感染する「マクロウイルス」に分かれる。
ディスク感染型コンピューターウイルスとは
ディスクに感染するコンピューターウイルスは、主にフロッピーを介して感染することが多く、感染したフロッピーを持ち込み、起動した時にハードディスクに感染する。そして、その感染したハードディスクを起動したとき常駐し、フロッピーのアクセスを監視するもので、フロッピーが使われるとそのフロッピーに感染するという動作をする。
ディスク感染型は、フロッピーやハードディスクなどのディスク上の起動プログラムやファイルの管理領域に書き込みをするため、一般的な操作では、なかなか感染していることに気がつきにくい。また、場合によってはディスクが破壊され起動しなくなったり、ファイルが読めないなどの状態になることがある。
ディスクのみに感染するコンピューターウイルスは、フロッピーなどの物理メディアを媒介としなければ感染しないためネットワーク経由では感染することがないが、ファイル感染型でありながら、ディスクにも感染するものが数種類発見されているため、プログラムファイルからディスク感染型に感染する可能性にも注意する必要がある。
ファイル感染型コンピューターウイルスとは
ファイルに感染するコンピューターウイルスは、フロッピーなどのメディアだけでなく、ネットワークを介して持ち込まれることも多い。ファイル感染型には、プログラムに感染するものと、最近被害が急増しているマクロウイルスがある。
プログラムに感染するものは、「実行時汚染型」と「実行時感染型」に分類される。コンピューターウイルス自身が他のプログラムに感染していくことを「汚染」と呼び、プログラムがコンピューターウイルスに感染することを「感染」と呼ぶ。
実行時汚染型は、フロッピーやネットワークなどにより、感染したファイルを持ち込み、実行した時に他のプログラムを汚染する。実行するたびに次々と汚染していくため、知らない間に多くのプログラムが感染してしまうことがある。一方、実行時感染型は、フロッピーやネットワークなどにより、感染したファイルを持ち込み、実行するとパソコンに常駐し、他のプログラムの実行を監視するもので、プログラムが実行されるとそのプログラムに感染するものである。パソコンのメモリに常駐するため、それだけでプログラムが実行できなくなるなどパソコンが不安定になることがある。
プログラムが感染すると通常は、ファイルがコンピューターウイルスのサイズだけ大きくなるので、感染前と感染後のファイルサイズの変化により感染したことがわかる。しかし、コンピューターウイルスによってはファイルサイズの変化を隠蔽する機能をもっており、必ずわかるというわけではない。このレーダーに発見されないステルス戦闘機のような動作をするコンピューターウイルスを「ステルス型」と呼ぶこともある。
また、最近になって感染例が増えてきたマクロウイルスは、ほとんどがMicrosoftExcelやWordに感染するものだ。フロッピーやネットワークなどを経由して感染したファイルをパソコンに持ち込み、対応したアプリケーションソフトで読んだとき、そのアプリケーションソフトに感染する。感染したアプリケーションソフトでファイルを読み込むとそのファイルに感染する。マクロウイルスに感染してもデータファイルは一定の大きさではないのでファイルサイズから感染したことを判断しにくい。しかし、コンピューターウイルスを含んだマクロが追加されるため、マクロ一覧を確認することにより感染したことがわかることがある。例えば、日本で一番最初に発見されたMicrosoft Wordに感染する「Winword/Concept」は、AAAZAO、AAAZFS、AutoOpen、FileSaveAs、PayLoadという名前のマクロが追加されていることが確認できる。
コンピューターウイルスも人間が開発したプログラム
このようにコンピューターウイルスには、いくつかのタイプがあり、どのタイプのコンピューターウイルスも感染する可能性があるので注意しなければならない。
ネットワークを利用している場合、ディスク感染型に感染する可能性は低いが、手軽にファイルをやりとりできるため、ファイル感染型に感染する可能性は高い。また、普段パソコンを利用しているとプログラムよりもワープロソフトや表計算ソフトなどで作成したデータをやりとりすることが多くなるので、ExcelやWordなどのマクロ感染型には特に注意する必要がある。
しかし、コンピューターウイルスは通常利用しているアプリケーションソフトと同じ人間が作成したプログラムであり、外部からパソコンを攻撃して内部に入り込むようなことはなく、利用者が外部からファイルやディスクを持ち込まなければ感染することはない。よって、どんなコンピューターウイルスであっても、外部からのファイルやディスクに注意をしていればほとんど防げるということを知っていてほしい。
□コンピュータウイルス対策基準(平成七年通商産業省告示第四百二十九号)
http://www.ipa.go.jp/SECURITY/antivirus/kijun429.txt
(山崎 真裕)