付録 A. コンピューター脅威の種類

本マニュアルでは、コンピューターやネットワークに対して潜在的または直接的な損害を与え、ユーザーの情報や権限を漏洩させるあらゆる種類のソフトウェアを「脅威」と定義します(悪意のあるソフトウェアやその他の望まないソフトウェア)。広義では、コンピューターまたはネットワークのセキュリティに対するあらゆる種類の潜在的な危険を指して「脅威」とする場合があります(ハッカー攻撃に繋がる脆弱性)。

以下に記載する全ての種類のプログラムは、ユーザーのデータまたは機密情報を危険にさらすものです。姿を隠さないプログラム(スパム配信ソフトウェアや様々なトラフィックアナライザなど)は、状況によっては脅威と化す可能性はありますが、通常はコンピューター脅威とみなされません。

Dr.Web の分類では、全ての脅威はその危険度に応じて2つの種類に分けられます。

危険度の高い脅威 – システム内で破壊的および違法な行為(重要データを削除する、または盗む、ネットワークをクラッシュさせるなど)を実行する、古くからある典型的なコンピューター脅威。この種類のコンピューター脅威には、マルウェアと呼ばれるソフトウェア、つまりウイルス、ワーム、トロイの木馬が含まれます。
危険度の低い脅威 – 上記の脅威に比べて危険度の低いコンピューター脅威ですが、悪意のある動作を実行する為に第三者によって利用される場合があります。また、この脅威がシステム内に存在するということは、保護レベルが低いという事を示します。ITセキュリティスペシャリスト達の間では、この脅威はグレイウェアまたはPUP(potentially unwanted programs:不審プログラム)と呼ばれることがあり、アドウェア、ダイアラー、ジョークプログラム、リスクウェア、侵入用ツールが含まれます。

危険度の高い脅威

コンピューターウイルス

この種類のコンピューター脅威は、他のオブジェクト内にそのコードを埋め込む(これを感染と呼びます)ことが出来るという特徴を持っています。多くの場合、感染したファイルはそれ自体がウイルスのキャリアとなり、また埋め込まれたコードは必ずしもオリジナルのものと一致するとは限りません。ほとんどのウイルスは、システム内のデータを破損させる、または破壊する目的を持っています。

Dr.Web の分類では、ウイルスは感染させるオブジェクトの種類に応じて分けられます。

ファイルウイルス-OSのファイル(通常、実行ファイルおよびダイナミックライブラリ)を感染させ、そのファイルの起動と同時にアクティブになります。
マクロウイルスMicrosoft® Officeのドキュメント、およびマクロコマンド(通常、Visual Basicで記述されている)に対応しているその他のアプリケーションを感染させるウイルスです。マクロコマンドは、完全なプログラミング言語で書かれた埋め込み型のプログラムで、例えばMicrosoft® Wordでは、ドキュメントを開く(または閉じる、保存するなど)と自動的にマクロが開始されます。
スクリプトウイルス-スクリプト言語を使用して作成され、他のスクリプト(OSのサービスファイルなど)を感染させます。また、スクリプトの実行が可能な他のファイルフォーマットも感染させることができ、Webアプリケーションにおけるスクリプティングの脆弱性を悪用します。
ブートウイルス-ディスクのブートレコード、ハードディスクドライブのパーティションまたはマスターブートレコードを感染させます。メモリをほとんど消費せず、システムがロールアウト、再起動、またはシャットダウンするまで、そのタスクを続行出来る状態を保ちます。

多くのウイルスは検出に対抗する何らかの手段を持ち、その手法は常時改良され続けています。全てのウイルスは、その使用する手法に応じて分類することが出来ます。

暗号化ウイルス-ファイル、ブートセクター、またはメモリ内で検出されるのを防ぐため、感染の度に自身のコードを暗号化します。このウイルスのコピーは全て、ウイルス署名として使用される共通のコードフラグメント(復号化プロシージャ)のみを含んでいます。
ポリモーフィック型ウイルス-同様に自身のコードを暗号化しますが、各コピーごとに異なる特別な復号化プロシージャの生成も行います。つまり、この種類のウイルスはシグネチャバイトを持ちません。
ステルスウイルス-その活動を偽り、感染したオブジェクト内に潜むための動作を実行します。この種類のウイルスは、感染させる前のオブジェクトの情報を「ダミー」として表示させ、改変したファイルが検出されないようにします。

ウイルスは、書かれているプログラミング言語(ほとんどの場合アセンブラ、高級プログラミング言語、スクリプト言語など)、または感染させるOSに応じて分類することも出来ます。

 

コンピューターワーム

ワームは、ウイルスやその他のコンピューター脅威よりも多く見られるようになってきています。ウイルス同様、自身を複製し拡散することが出来ますが、他のプログラムやファイルを感染させません(つまり、拡散する為にホストファイルを必要としません)。ネットワークを通じて(通常、メールの添付ファイル経由で)侵入し、ネットワーク内にある他のコンピューターにコピーを拡散します。ユーザーのアクションに応じて、または攻撃するコンピューターを選択する自動モードで拡散を開始します。

ワームは1つのファイル(ワームのボディ)から成っているとは限りません。多くのワームが、メインメモリ(RAM)内にロードした後にワームのボディを実行ファイルとしてネットワーク経由でダウンロードするシェルコードを持っています。シェルコードがシステム内に存在するだけであれば、システムを再起動することで(RAMが削除されリセットされます)ワームを削除することが出来ますが、ワームのボディがコンピューターに侵入してしまった場合はアンチウイルスプログラムのみが対処可能です。

ワームはその驚異的な拡散速度によって、例えペイロードを持っていない(直接的な被害を与えない)場合でも、ネットワーク全体の機能を破壊する能力を持っています。

Dr.Web の分類では、ワームはその拡散方法によって以下のように分けられます。

ネットワーム-様々なネットワークおよびファイル共有プロトコル経由で自身のコピーを拡散します。
メールワーム-メールプロトコル(POP3、SMTPなど)を使用して拡散します。
チャットワーム-広く使用されているメッセンジャーおよびチャットプログラム(ICQ、IM、IRCなど)のプロトコルを使用します。

 

トロイの木馬プログラム

この種類のコンピューター脅威は自身を複製せず、他のプログラムを感染させません。トロイの木馬は頻繁に使用されるプログラムに成り代わり、その機能を実行します(または動作を模倣します)。同時に、システム内で悪意のある動作(データを破損または破壊、機密情報を送信など)を実行したり、ハッカーが許可無しにコンピューターにアクセス(例えば第三者のコンピューターに損害を与えるために)することを可能にします。

トロイの木馬の悪意のある特徴はウイルスのものと類似しており、またトロイの木馬がウイルスのコンポーネントであるという場合もあります。しかし、ほとんどのトロイの木馬は、ユーザーまたはシステムタスクによって起動される別の実行ファイルとして配布されます(ファイル交換サーバー、リムーバブルストレージ、メール添付ファイルなどを介して)。

トロイの木馬はしばしばウイルスやワームによって配布されることや、他の種類の脅威によっても実行されうる悪意のある動作の多くがトロイの木馬にも起因することから、その分類が難しくなっています。以下のトロイの木馬は、 Dr.Web では別の種類として分類されています。

バックドア-既存のアクセスおよびセキュリティシステムをすり抜けて侵入者がシステム内にログイン、または権限を必要とする機能を使用することを可能にしてしまうトロイの木馬です。バックドアはファイルを感染させませんが、自身をレジストリ内に書き込んでレジストリキーを改変します。
ルートキットその存在を隠す目的で、OSのシステム機能を妨害するように設計された悪意のあるプログラムです。さらに、他のプログラム(他の脅威など)のプロセスや異なるレジストリキー、フォルダ、ファイルを隠ぺいすることも出来ます。ルートキットは独立したプログラムとして、または他の悪意のあるプログラムに含まれるコンポーネントとして拡散します。また、その動作モードによって2つのグループに分けられます。ユーザーモードで動作するユーザーモードルートキット(UMR)と、カーネルモードで動作するカーネルモードルートッキット(KMR)です。UMRはユーザーモードライブラリ機能を妨害し、一方、KMRはシステムのカーネルレベルで機能を妨害し、自身の検出を困難にします。
キーロガー-ユーザーがキーボードで入力した情報を記録します。その目的は個人情報(ネットワークパスワード、ログイン、クレジットカードデータなど)を盗むことです。
クリッカー-Webサイトのトラフィックを増加させる目的で、またはDDoS攻撃を実行する為にハイパーリンクを別のアドレスにリダレクトします。
プロキシ型トロイの木馬-被害者のコンピューターを介して匿名でインターネットにアクセスします。

トロイの木馬は、Webブラウザのスタートページを変更したり特定のファイルを削除するなど、上記以外の悪意のある動作も実行することがあります。ただしそのような動作もまた、他の種類の脅威(ウイルスやワーム)によって実行される場合があります。

危険度の低い脅威

侵入用ツール

侵入用ツールは、侵入者によるハッキングを可能にするプログラムです。最も一般的なものは、ファイアーウォールまたはその他のコンピューター保護システムコンポーネントの脆弱性を検出するポートスキャナです。それらのツールはハッカーだけではなく、管理者がネットワークのセキュリティを検査するためにも用いられます。ハッキングに使用することの出来る一般的なソフトウェアや、ソーシャルエンジニアリングテクニックを使用する様々なプログラムも侵入用ツールに含まれることがあります。

アドウェア

通常、ユーザーの画面に強制的に広告を表示させるフリーウェアプログラム内に組み込まれたプログラムコードを指します。ただしそのようなコードは、他の悪意のあるプログラム経由で配布されてWebブラウザ上に広告を表示させる場合もあります。アドウェアプログラムの多くは、スパイウェアによって収集されたデータを用いています。

ジョークプログラム

アドウェア同様、この種類の脅威はシステムに対して直接的な被害を与えることはありません。ジョークプログラムは通常、実際には起こっていないエラーに関するメッセージを表示させ、データの損失につながるアクションの実行を要求します。その目的はユーザーを驚かせ不快感を与えることにあります。

ダイアラー

広範囲に渡る電話番号をスキャンし、モデムとして応答するものを見つける為の特別なコンピュータープログラムです。その後、攻撃者がその番号を使用することによって被害者に通話料の請求書が送られます。または被害者が気づかぬうちに、モデム経由で高額な電話サービスに接続されます。

リスクウェア

このプログラムはコンピューター脅威として作成されたものではありませんが、システムセキュリティを無効にする可能性のある機能を持っているため、危険度の低い脅威として分類されます。リスクウェアプログラムはデータを破損または削除してしまう可能性があるのみならず、クラッカーや悪意のあるプログラムによってシステムに被害を与える為に使用されることがあります。そのようなプログラムの中には、様々なリモートチャットおよび管理ツール、FTPサーバーなどがあります。

疑わしいオブジェクト

ヒューリスティックアナライザによって検出される、潜在的なコンピューター脅威があります。そのようなオブジェクトはいかなる脅威(未知のものを含む)でもあり得、また誤検出の場合には安全なオブジェクトである可能性もあります。

疑わしいオブジェクトは解析の為に Dr.Web ウイルスラボ に送信してください。