付録 A. コンピューター脅威の種類 |
本マニュアルでは、コンピューターやネットワークに対して潜在的または直接的な損害を与え、ユーザーの情報や権限を漏洩させるあらゆる種類のソフトウェアを「脅威」と定義します(悪意のあるソフトウェアやその他の望まないソフトウェア)。広義では、コンピューターまたはネットワークのセキュリティに対するあらゆる種類の潜在的な危険を指して「脅威」とする場合があります(ハッカー攻撃に繋がる脆弱性)。 以下に記載する全ての種類のプログラムは、ユーザーのデータまたは機密情報を危険にさらすものです。姿を隠さないプログラム(スパム配信ソフトウェアや様々なトラフィックアナライザなど)は、状況によっては脅威と化す可能性はありますが、通常はコンピューター脅威とみなされません。 Dr.Web の分類では、全ての脅威はその危険度に応じて2つの種類に分けられます。
危険度の高い脅威 コンピューターウイルス この種類のコンピューター脅威は、他のオブジェクト内にそのコードを埋め込む(これを感染と呼びます)ことが出来るという特徴を持っています。多くの場合、感染したファイルはそれ自体がウイルスのキャリアとなり、また埋め込まれたコードは必ずしもオリジナルのものと一致するとは限りません。ほとんどのウイルスは、システム内のデータを破損させる、または破壊する目的を持っています。 Dr.Web の分類では、ウイルスは感染させるオブジェクトの種類に応じて分けられます。
多くのウイルスは検出に対抗する何らかの手段を持ち、その手法は常時改良され続けています。全てのウイルスは、その使用する手法に応じて分類することが出来ます。
ウイルスは、書かれているプログラミング言語(ほとんどの場合アセンブラ、高級プログラミング言語、スクリプト言語など)、または感染させるOSに応じて分類することも出来ます。
コンピューターワーム ワームは、ウイルスやその他のコンピューター脅威よりも多く見られるようになってきています。ウイルス同様、自身を複製し拡散することが出来ますが、他のプログラムやファイルを感染させません(つまり、拡散する為にホストファイルを必要としません)。ネットワークを通じて(通常、メールの添付ファイル経由で)侵入し、ネットワーク内にある他のコンピューターにコピーを拡散します。ユーザーのアクションに応じて、または攻撃するコンピューターを選択する自動モードで拡散を開始します。 ワームは1つのファイル(ワームのボディ)から成っているとは限りません。多くのワームが、メインメモリ(RAM)内にロードした後にワームのボディを実行ファイルとしてネットワーク経由でダウンロードするシェルコードを持っています。シェルコードがシステム内に存在するだけであれば、システムを再起動することで(RAMが削除されリセットされます)ワームを削除することが出来ますが、ワームのボディがコンピューターに侵入してしまった場合はアンチウイルスプログラムのみが対処可能です。 ワームはその驚異的な拡散速度によって、例えペイロードを持っていない(直接的な被害を与えない)場合でも、ネットワーク全体の機能を破壊する能力を持っています。 Dr.Web の分類では、ワームはその拡散方法によって以下のように分けられます。
トロイの木馬プログラム この種類のコンピューター脅威は自身を複製せず、他のプログラムを感染させません。トロイの木馬は頻繁に使用されるプログラムに成り代わり、その機能を実行します(または動作を模倣します)。同時に、システム内で悪意のある動作(データを破損または破壊、機密情報を送信など)を実行したり、ハッカーが許可無しにコンピューターにアクセス(例えば第三者のコンピューターに損害を与えるために)することを可能にします。 トロイの木馬の悪意のある特徴はウイルスのものと類似しており、またトロイの木馬がウイルスのコンポーネントであるという場合もあります。しかし、ほとんどのトロイの木馬は、ユーザーまたはシステムタスクによって起動される別の実行ファイルとして配布されます(ファイル交換サーバー、リムーバブルストレージ、メール添付ファイルなどを介して)。 トロイの木馬はしばしばウイルスやワームによって配布されることや、他の種類の脅威によっても実行されうる悪意のある動作の多くがトロイの木馬にも起因することから、その分類が難しくなっています。以下のトロイの木馬は、 Dr.Web では別の種類として分類されています。
トロイの木馬は、Webブラウザのスタートページを変更したり特定のファイルを削除するなど、上記以外の悪意のある動作も実行することがあります。ただしそのような動作もまた、他の種類の脅威(ウイルスやワーム)によって実行される場合があります。 危険度の低い脅威 侵入用ツール 侵入用ツールは、侵入者によるハッキングを可能にするプログラムです。最も一般的なものは、ファイアーウォールまたはその他のコンピューター保護システムコンポーネントの脆弱性を検出するポートスキャナです。それらのツールはハッカーだけではなく、管理者がネットワークのセキュリティを検査するためにも用いられます。ハッキングに使用することの出来る一般的なソフトウェアや、ソーシャルエンジニアリングテクニックを使用する様々なプログラムも侵入用ツールに含まれることがあります。 アドウェア 通常、ユーザーの画面に強制的に広告を表示させるフリーウェアプログラム内に組み込まれたプログラムコードを指します。ただしそのようなコードは、他の悪意のあるプログラム経由で配布されてWebブラウザ上に広告を表示させる場合もあります。アドウェアプログラムの多くは、スパイウェアによって収集されたデータを用いています。 ジョークプログラム アドウェア同様、この種類の脅威はシステムに対して直接的な被害を与えることはありません。ジョークプログラムは通常、実際には起こっていないエラーに関するメッセージを表示させ、データの損失につながるアクションの実行を要求します。その目的はユーザーを驚かせ不快感を与えることにあります。 ダイアラー 広範囲に渡る電話番号をスキャンし、モデムとして応答するものを見つける為の特別なコンピュータープログラムです。その後、攻撃者がその番号を使用することによって被害者に通話料の請求書が送られます。または被害者が気づかぬうちに、モデム経由で高額な電話サービスに接続されます。 リスクウェア このプログラムはコンピューター脅威として作成されたものではありませんが、システムセキュリティを無効にする可能性のある機能を持っているため、危険度の低い脅威として分類されます。リスクウェアプログラムはデータを破損または削除してしまう可能性があるのみならず、クラッカーや悪意のあるプログラムによってシステムに被害を与える為に使用されることがあります。そのようなプログラムの中には、様々なリモートチャットおよび管理ツール、FTPサーバーなどがあります。 疑わしいオブジェクト ヒューリスティックアナライザによって検出される、潜在的なコンピューター脅威があります。そのようなオブジェクトはいかなる脅威(未知のものを含む)でもあり得、また誤検出の場合には安全なオブジェクトである可能性もあります。 疑わしいオブジェクトは解析の為に Dr.Web ウイルスラボ に送信してください。 |