知らなきゃ損するセキュリティ対策|ウイルスの基礎
ウイルス対策と言えば、PC(パソコン)における対策をイメージするかもしれません。
PCであれば、Windowsセキュリティのように購入時から無料で使えるものがあります。また、有料または無料の対策ソフトを新たにインストールして、PCを保護することもできます。
現在では、PCのセキュリティ対策だけでは不十分です。インターネットに接続するのは、PCだけではないからです。タブレットやスマートフォンも世界中で使われ、身近な存在です。
これに伴って、ウイルスを取り巻く状況も大きく変わっています。その変遷や近年の傾向をまとめてみました。
記事にまとめるにあたって、まだまだ知らないことが多いことに気付き、良い勉強になりました。参考になれば幸いです。
ウイルスの変遷と傾向
ウイルスの傾向として3つ挙げることができます。
ウイルスの3つの傾向
- ウイルスの目的の変化
- ウイルスを広める手段の変化
- ウイルスの分類や動作の変化
ウイルスの目的の変化
ウイルスの目的が変わってきたことが、近年の最も大きな傾向です。
近年では、金銭の搾取を目的としたウイルスが増加しています。たとえば、ファイルを消すことではなく、消えたファイルを元に戻すために金銭を要求するのが流行しています。
また、感染を広げるより、感染に気付かれず情報を盗み続けることを考えたウイルスが出てきています。
ウイルスを広める手段の変化
ウイルスを広める手段は何でも良くなってきているようです。まさに「手段を選ばず」の状況です。
そのような状況なので、ウイルスの対象範囲は、PCだけでなくスマートフォンにまで広がっています。
また、メールとウェブ(Web)を組み合わせた詐欺の手口として、日常生活と連動するものが出てきました。
たとえば、スマートフォンのSMSからウェブへの誘導や、さらにウェブページと電話による詐欺などがあります。リアルの環境と連動しており、ますます巧妙になっています。
SMSは「ショートメッセージサービス」の略称。
電話番号を宛先にして、iPhoneやAndroidの標準アプリ「メッセージ」から短い文章を送信・受信できる。送信されるのは、「送信者の電話番号」「本文」「送信日時」のシンプルなテキストメッセージ。
以前はキャリア毎にサービス名称が異なり、同じキャリアの利用者同士でしか送れなかった。ドコモはショートメール、auはCメール、Vodafoneはスカイメールと呼ばれた。
現在では、異なるキャリアの利用者同士でもiPhoneやAndroidの標準搭載の「メッセージ」アプリでSMSを送信・受信できる。
ウイルスの分類や動作の変化
対策ソフトの開発会社では、セキュリティ関連のページでウイルスに関する情報を提供しています。
約20年ほど前であれば、せいぜい数種のウイルスに分類されて、情報が提供されていました。ウイルスが少なかったと言うより、大きく分類する程度で済んでいたと言った方が適切かもしれません。
それが現在では、10を越えるタイプに分類されるそうです(開発会社によって分類数は異なるようです)。
ただし、ウイルスの呼称や分類は、状況に合わせて従来のものと区別するためのもので、筋道だったものではありません。このような事情があるので、あまり分類にこだわる必要はないでしょう。
ここで気にしておきたいことは、ウイルスが細分化されてきたことです。しかも、複数のウイルスによる連携も増えています。
ウイルス対策ソフトも様々です。どのソフトでもたいてい無料の試用期間があるので、いきなり購入するのは止めておきましょう。
試用期間を利用して、PCとの相性や、使い心地を確認すると良いでしょう。
ウイルスの基本的な分類
先ほど、分類にこだわる必要はないと言いました。しかし、ニュースに良く取り上げられるような、基本的な分類くらいは知っておくと良いでしょう。
ウイルスは基本的に3つに分類されます。
ウイルスの基本的な分類
- ウイルス
- ワーム
- トロイの木馬
「ウイルス」「ワーム」「トロイの木馬」の3つの呼称は、ウイルスの基本的な特徴に着目したもので、古くから使われている分類です。ただし、どういう悪事を働くのかを示しているわけではありません。
ウイルスの基本的な分類|ウイルス
狭義のウイルスは、自然界のウイルスと同じで、他のプログラムに寄生して感染を広げる機能を持ちます。
最近では、ウイルスに代えてマルウェアという専門用語もよく使われるようになっています。
「マル」と聞くと「○」を連想するので、凶悪なイメージを持ちにくいかもしれません。しかし、マルウェアは、悪意のある(=マリシャス)ソフトウェアという意味なので、凶悪なウイルスです。
マルウェアのようなウイルスが増えた背景には、狭義のウイルスが減り、多種多様な手口が生まれている状況があります。
だからと言って、狭義のウイルスは減ってはいるものの、なくなったわけではないことに注意が必要です。
ウイルスの基本的な分類|ワーム
ワームとは、自己を複製して拡散する機能を持つものです。
広がり方として多いのは、ネットワークでつながっているコンピュータの脆弱性を悪用して、他のコンピュータに感染していくパターンです。
たとえば、2003年に「Blaster」、翌年に「Sasser」が猛威を振るいました。
当時のWindows 2000やXPをOSとするPCのうち、対策をしていなかったものは、インターネットに接続するだけで感染しました。このことが原因で「無防備にインターネットに接続するとウイルスに感染する」と言われるようになりました。
PCが感染すると、メールやUSBメモリを経由して拡散するものもあったので、さらに被害が広がりました。
現在は、PCもネットワークも当時と比べて格段に安全になったので、ワームの大流行は減りました。
それでも2017年には「WannaCry」が世界中で問題となりました。流行した原因は、Windowsのセキュリティ修正プログラムを更新していないPCが多かったからです。
OS(オーエス)は、オペレーティングシステム(Operating System)の略称で、コンピュータのオペレーション(操作・運用・運転)を司るシステムソフトウェアのこと。
OSは、コンピュータ全体を制御してユーザーが使いやすくするためのシステムなので、ソフトウェア(メモ帳やワードなど)とハードウェア(キーボードやマウスなど)を仲介するという重要な役割を担っている。
ウイルスの基本的な分類|トロイの木馬
以前の「トロイの木馬」は、有用なソフトウェアと思わせてインストールさせ、侵入後、裏で悪事を働くものを指していました。
ギリシャ神話の大きな木馬に人を潜ませて、敵地に侵入したエピソードにちなんだ呼称です。
今では、狭義のウイルスのようにプログラムに寄生せず、ワームのように自己複製もせず、単独で動作するものを「トロイの木馬」と分類することが多くなっています。
そうした区分けよりも焦点となるのはどんな悪事、どんな役割をするのかです。
狙われているのは情報
日本語のフィッシングメールが登場したのが2004年です。この頃から、口座番号やクレジットカードなどの情報を盗み取るウイルスが多く見られるようになります。
フィッシングとは、金融機関などを騙るメールと、偽のウェブサイトとを使った詐欺のことです。
それまでのウイルスは、人を驚かせたり、困らせたりすることが目的でした。そのウイルスが、情報を盗むという悪意のために作られるようになります。
その流れは今も変わらないどころか、さらに巧妙になっています。
情報を盗むウイルス|スパイウェア
スパイウェアとは、ユーザーに気づかれないように情報を盗み、外部に送信する機能を持つものです。
日本では、2004年頃から口座番号やクレジットカードなどの情報を狙うウイルスが多く見られるようになり、スパイウェアという言葉が生まれました。
一時、ウイルス対策ソフトとは別にスパイウェア専用の防止ソフトも出されました。しかし、現在では両方を検知する製品が主流になっています。
スパイウェアは、ウイルスの目的で区分けする呼称として用いられます。たとえば、次に紹介するキーロガーはスパイウェアの1種として分類されます。
情報を盗むウイルス|キーロガー
キーロガーとは、キーボードの入力を常時監視して、その内容を外部に送信するものです。このキーロガーの目的は、IDやパスワードなどの情報を詐取することです。
キーロガーがキーボードの入力を監視する方法は2つあります。
キーロガーの監視方法
- OSに情報としてインプットされるキーボードの入力処理を監視し、どのキーが入力されたか順番に記録して外部に送信する方法
- ブラウザに潜むタイプ。ブラウザ上で入力したキーの情報を外部に送信する方法
たとえば、「きーろがー」と入力したとします。1つ目の方法であれば、「ki-roga-」と記録され、EnterキーやSpaceキーも、それらを押したという情報が送信されます。犯罪者はそれらを元にIDやパスワードを推測します。
キーロガーの感染経路には、脆弱性の悪用をはじめ、メールの添付ファイル、正規のソフトウェアと勘違いさせてインストールさせるなどがあります。
感染経路が多いので、対策するのも難しくなります。
情報を盗むウイルス|アドウェア
アドウェアとは、頻繁にアド(広告)を表示したり、ブラウザのホーム画面を改変したりして広告を表示するプログラムのことです。
アドウェアの本来の意味は、無料でソフトウェアを提供する代わりに広告を表示することです。
しかし、近年では本来の意味を失ってしまったので、ウイルスの一種と見なすことが普通になっています。アドウェアの多くは、度を越した頻度で広告を表示したり、ユーザーの情報を収集したりします。
アドウェアを感染させる手口として、ウェブページの閲覧中に「感染しています」という警告を出すものがあります。警告から案内に誘導させることで、アドウェアをインストールさせます。また、フリーソフトと一緒に入り込むケースもあります。
スマートフォンのウイルスでは、アドウェアが最も多く検出されます。
情報を盗むウイルス|ルートキット
ルートキットとは、犯罪者が攻撃対象のPCに常にアクセスできるようにするための様々なプログラムの一式のことです。ルートキットの感染経路は多様です。
ルートキット感染の経路はさまざま
- 脆弱性を突いて侵入する。
- 他のプログラムと一緒にインストールされる。
- メールの添付ファイルを実行して感染する。
ルートキットは、一旦入り込むとOSの深い所に潜みます。そして、自らの痕跡を隠したり、OSが管理するファイルの改変権限を書き換えて、PC内に潜み続けます。その結果、感染していること自体が分からないことも多く、そのPCを信用できなくなります。
ルートキットの厄介なところは、ウイルス対策ソフトを用いても検出や駆除が難しいことです。
ルートキットに感染すると、多くの場合、OSの再インストールしか手立てがなくなります。こうした場合に備える対策としては、短時間で簡単に復旧できるシステム・バックアップを導入しておくことです。
ウイルス対策ソフトも様々です。どのソフトでもたいてい無料の試用期間があるので、いきなり購入するのは止めておきましょう。
試用期間を利用して、PCとの相性や、使い心地を確認すると良いでしょう。
単独攻撃だけでなく、連携攻撃も行うウイルス
近年、1つのウイルス単独による攻撃だけでなく、複数の異なる種類のウイルスを組み合わせて悪事を実行する攻撃も多く見られるようになってきました。複数種類のウイルスによる凶悪な連携攻撃です。
具体的には、次に示すようなものです。
連携攻撃を行うウイルス|エクスプロイト
エクスプロイトは、連携攻撃の最初に使われ、脆弱性を悪用して攻撃するプログラムです。
「ウェブページを閲覧しただけで感染してしまう」というサイバー攻撃を例に挙げます。
この場合、ウェブサイト閲覧中のOSやブラウザなどの脆弱性を突いてエクスプロイトを実行し、後に述べるダウンローダー、ドロッパー、バックドア、ボットなどのウイルスを送り込みます。
企業などへの攻撃の際には、脆弱性を探し、その脆弱性に合ったエクスプロイトを用いて侵入するケースが多く見られます。
「エクスプロイトキット」と呼ばれるツールが存在しており、これはさまざまなエクスプロイトを集めたものです。このようなツールが存在するほどに、サイバー攻撃の糸口として定着しています。
連携攻撃を行うウイルス|ダウンローダー
一般的な用語としての「ダウンローダー」は、ウェブサイトからコンテンツをダウンロードするソフトウェアのことです。
ウイルスの一種としてのダウンローダーは、他のウイルスをダウンロードするようなウイルスを指します。ダウンローダー自体は、何か悪さをするわけではありません。しかし、他のウイルスをPCに呼び込みます。
ダウンローダーは犯罪者にとって使いやすいウイルスかもしれません。その理由は、ダウンローダーの機能が単にダウンロードだけだからです。そのため、ウイルスとして検知されにくくなります。
犯罪者は、ダウンローダーを用いることによって、目的に応じてさまざまなウイルスに感染させる目論見があります。
連携攻撃を行うウイルス|ドロッパー
ドロッパーとは、PC内に侵入した後に、他のウイルスを呼び込む機能を持つものです。
前述のダウンローダーは、他のウイルスをインターネットからダウンロードします。それに対して、ドロッパーは、多くの場合、自身の中に他のウイルスを含みます。
ドロッパーの中に含まれるウイルスは、ウイルス対策ソフトに検知されにくいように暗号化されていたり、難読化されていたりします。ドロッパーは、そのようなウイルスを複合して有効化してPC内に落とします。
連携攻撃を行うウイルス|バックドア
バックドアとは、攻撃者が侵入したPCに、後からアクセスするための裏口(バックドア)を仕掛けるものです。
バックドアの仕掛け方は主に2つです。
バックドアの仕掛け方
- PCやサーバーのOS、ミドルウェアのコマンドやツールを悪用する場合
- 専用に開発されたものを用いる場合
たとえば、サーバーにはメンテナンスのために外部から安全に接続するためのツールが備わっています。1つ目の場合であれば、そのようなツールを悪用します。
2つ目の専用に開発されたバックドアには、ファイルを隠すなど感染を気づかせない機能を持つものがあります。このような機能を持つバックドアを発見するのは困難です。
いずれの場合でも、犯罪者は感染したシステムに対してコマンドを実行するだけで自由に接続アクセスして、意のままに操ることができます。
感染経路はさまざまです。多く見られるのは、最初に何かのウイルスに感染したり侵入されたりした直後に、バックドアがダウンロードされるケースです。
連携攻撃を行うウイルス|ボット
ボットとは、外部の攻撃者からの遠隔操作でさまざまな命令を実行するものです。ロボットが語源です。
感染したPCから情報を盗み出すこともありますが、ボットの事例でよくあるのはDDoS攻撃です。
DDoS攻撃とは、バックドアを通じてボットを送り込み、特定のサーバーに一斉に負荷をかけてシステムを停止させる攻撃のことです。
攻撃者は、自ら大量のPCやネットワークを用意することなく、数百~数万台のPCをボットに感染させ、思いのままに攻撃を実行できます。ボットに感染した大量のマシン経由の攻撃は、どこからの攻撃かがわかりにくいのが特徴です。
ボットに感染した被害者は、操られて加害者にもなります。加害者にならないためにも、基本的な対策をキチンと取ることが求められます。
ボットに感染した被害者が加害者にならないための対策
- 最新のOSを使う。
- ウイルス対策ソフトを常に最新の状態で使う
巧妙化・多彩化する最近のウイルス
比較的新しいウイルスを3つ挙げておきます。金銭や情報を狙う手法はさらに巧妙に、多彩になっているので、気を付けましょう。
最近のウイルス|バンキングマルウェア
バンキングマルウェアとは、ネットバンキングに関連した情報を詐取するウイルスです。「不正送金ウイルス」や「バンキングトロジャン」とも呼ばれます。
感染すると、正規のネットバンクにアクセスした際に入力した情報が、犯罪者に送信されます。そして、その情報を悪用して犯罪者が被害者の口座から無断で不正送金します。
また、利用者が送金する際に、ウイルスが裏側で送金先の情報を書き換える手口もあります。画面には正しい情報が表示されているのに、犯罪者の指定した口座に送金されます。
さらには、ネットバンクに限らず、クレジットカードの情報を盗み出すタイプも確認されています。
巧妙化するバンキングマルウェア
- ネットバンクにアクセスした際に入力した情報を送信させ、その情報を悪用して無断で不正送金する。
- 利用者が送金する際に送信先の情報を書き換え、犯罪者の指定した口座に送金させる。
- クレジットカードの情報を盗み出す。
バンキングマルウェアは2006年頃から登場しました。不正対策が取られるのですが、そのたびごとに巧妙化しています。日本では「DreamBot(Ursnif/Gozi)」というバンキングマルウェアが有名です。
ウイルスだけでなく、金融機関などを騙るメールから偽のサイトへ誘導するフィッシング詐欺も多く発生しています。いずれの場合でも、直接的な金銭搾取を目的にする犯罪が増えているので注意が必要です。
最近のウイルス|ランサムウェア
ランサムウェアとは、PC内のデータを暗号化したり、ロックしたりして、解除するための身代金を要求するものです。
ランサムウェアは、身代金ウイルスとも呼ばれます。身代金を意味する「ransom」と「software」を組み合わせた造語です。
ランサムウェアは、2013年頃から米国を中心に流行するようになりました。日本では、2015年頃から話題になりました。
多くの場合、身代金として要求されるのは、犯罪者が自分の存在を隠しやすいビットコインなどの暗号資産です。
身代金を支払っても暗号化したデータは復旧しないことが多いそうです。根本的な対策としては、日頃からデータをバックアップすることです。
また、「No More Ransom」というサイトを利用するのも対策の1つです(リンクはサイバー犯罪対策の公式サイトとして下にまとめてあります)。
このサイトでは、ランサムウェアに対抗するために、欧州サイバー犯罪センター(Europol)などが中心となって、多くのセキュリティ企業や団体が協力し合っています。
ここでは様々なツールが公開されています。たとえば、どのランサムウェアに感染したのか特定するツールや、暗号を解除する復号化ツールなどです。
日本語でも閲覧できます。サイバー犯罪対策をしているサイトともにリンクをあとで紹介しておきます。
ランサムウェア対策
- 日頃から欠かさずデータをバックアップしておく。
- ランサムウェアに対抗するツールが公開されている「No More Ransom」サイトを利用する。
たとえ被害にあったとしても、絶対に身代金を支払ってはいけません。送金してしまうと、犯罪者に対してランサムウェアが機能したことを証明するだけで、取り戻せる保証はありません。
最近のウイルス|ファイルレスマルウェア
ファイルレスマルウェアとは、その名の通りファイルとしては見えずに悪さをするウイルスです。
従来のウイルスは、どんな感染経路をとったとしても、「.exe」「.dll」などの拡張子を持ったファイルの形で存在し動作しました。
それに対して、このウイルスは、PowerShellというWindowsに元々インストールされているソフトウェアに、悪さをする命令(スクリプト)を読み込ませて実行します。
つまり、ファイルとしては正規のソフトウェアであるPowerShellが存在するだけです。命令文はリンクファイルやテキストファイルなどの実行形式ではない形で存在するので、対策ソフトで検知されにくいという特徴があります。
PowerShellのスクリプトとして実行する中には、たとえばインターネットから別のウイルスをダウンロードすることもあります。この場合でもファイルとしてPCのドライブ上に保存せず、メモリ上に展開するため発見されにくくなります。
ファイルレスマルウェアは、特定の企業などを狙う標的型攻撃で見られます。
拡張子とは、それぞれのファイルの種類を区別させるためのもの。「.exe」「.dll」などのように、ファイル名の後にピリオド、その後に3文字程度の英数文字列の構成になっている。
拡張子によって、割り当てられるアプリケーションが異なる。拡張子を間違うと、ファイルを開くことができなくなる場合がある。
PowerShellとは、Microsoftが開発したスクリプト言語およびキャラクターユーザーインターフェイス(CUI)の1つ。
CUIは主にテキストを使って、パソコンを動かしているWindows OSへ直接コマンド命令を下せる。たとえば、指定のプログラムを起動したり、ファイルの位置を移したりすることが可能。
コマンド(文字入力)という名の通り、PowerShellを直接操作するのにマウスは必要ない。コマンドによってPCの動作制御をおこなえるソフトウェアなので、PowerShellを使えばキーボード1つでPCのほとんどを操作することが可能。
Windowsには、今まで「コマンドプロンプト」というCUIが存在していたが、現在では「コマンドプロンプトに置き換わるもの」 としてPowerShellが標準搭載されている。
ウイルス対策ソフトも様々です。どのソフトでもたいてい無料の試用期間があるので、いきなり購入するのは止めておきましょう。
試用期間を利用して、PCとの相性や、使い心地を確認すると良いでしょう。
さいごに
PCやスマートフォンは、私たちの生活に身近なツールになっています。その割には、PCやスマートフォンのことをよく知らない人が多いのが現状ではないでしょうか。
もちろん、専門家ほどの知識を持つ必要はないでしょう。しかし、安全に、そして安心して利用するためには、ある程度の知識は必要だと思います。
自分の安全や安心のために、正しい知識を身に付けていきましょう。