コンピュータウイルスのしくみ

奇妙に聞こえるかもしれませんが、コンピュータウイルスは情報化時代の驚異のようなものです。一方で、ウイルスは私たちがどれほど脆弱であるかを示しています。適切に設計されたウイルスは壊滅的な影響を及ぼし、生産性を混乱させ、数十億ドルの損害を与える可能性があります。一方で、それらは、人間がいかに洗練され、相互に関連し合っているかを示しています。

たとえば、専門家は、Mydoomワームが2004年1月の1日で約25万台のコンピュータに感染したと推定しています。1999年3月に、メリッサウイルスは非常に強力であったため、Microsoftや他の多くの非常に大規模な企業が完全に倒産しました。ウイルスが封じ込められるまで、電子メールシステムをオフにします。2000年のILOVEYOUウイルスも同様に壊滅的な影響を及ぼしました。2007年1月、Stormと呼ばれるワームが出現しました。10月までに、専門家は最大5,000万台のコンピューターが感染したと信じていました。多くのウイルスが信じられないほど単純であることを考えると、これは非常に印象的です。

ニュースを聞くと、さまざまな形態の電子感染について耳にします。最も一般的なものは次のとおりです。

この記事では、「従来の」ウイルスから電子メールウイルスや携帯電話を標的とする可能性のあるエクスプロイトまで、ウイルスのしくみを学び、身を守る方法を理解できるように、ウイルスについて説明します。

コンテンツ

1. ウイルスの起源
2. ウイルスの履歴
3. ウイルスの進化
4. 電子メールウイルス
5. ワーム
6. 2000年代以降のウイルス
7. コンピュータをウイルスから保護する方法

コンピュータウイルスは、生物学的ウイルスの特徴のいくつかを共有しているため、ウイルスと呼ばれます。コンピュータウイルスは、生物学的ウイルスが人から人へと伝染するように、コンピュータからコンピュータへと伝染します。

細胞とは異なり、ウイルスはそれ自体で繁殖する方法がありません。代わりに、生物学的ウイルスはそのDNAを細胞に注入する必要があります。次に、ウイルスDNAは、細胞の既存の機構を使用してそれ自体を複製します。場合によっては、細胞が破裂するまで新しいウイルス粒子で満たされ、ウイルスが放出されます。その他の場合、新しいウイルス粒子は一度に1つずつ細胞から出芽し、細胞は生きたままになります。

生物学的ウイルスが細胞に乗る必要があるのと同様に、コンピュータウイルスは、起動するために他のプログラムやドキュメントの上に便乗する必要があります。コンピュータウイルスが実行されると、他のプログラムやドキュメントに感染する可能性があります。明らかに、コンピューターウイルスと生物学的ウイルスの類似性は物事を少し引き延ばしますが、名前が固執するのに十分な類似点があります。

人々はコンピュータウイルスを書きます。人はコードを書き、それが適切に広がることを確認するためにそれをテストしてからそれを解放しなければなりません。人はまた、それがばかげたメッセージであろうとハードディスクの破壊であろうと、ウイルスの攻撃段階を設計します。なぜ彼らはそれをするのですか？

少なくとも4つの理由があります。1つ目は、破壊者や放火犯を駆り立てるのと同じ心理学です。なぜ誰かが誰かの車の窓を壊したり、建物に看板を描いたり、美しい森を焼き払ったりしたいのですか？一部の人々にとって、それはスリルのようです。そのような人がコンピュータプログラミングを知っているなら、彼または彼女は破壊的なウイルスの作成にエネルギーを注ぎ込むかもしれません。

第二の理由は、物事が爆発するのを見るスリルと関係があります。一部の人々は爆発や自動車事故のようなものに魅了されています。あなたが成長していたとき、あなたの近所に火薬の作り方を学んだ子供がいたかもしれません。そして、その子供は、退屈するか、自分自身に深刻なダメージを与えるまで、おそらくますます大きな爆弾を作りました。ウイルスの作成はそのようなものです。コンピューター内に仮想爆弾を作成し、感染するコンピューターが多いほど、爆発は「楽しい」ものになります。

3番目の理由は自慢する権利を含みます。エベレストのようなものです。山がそこにあるので、誰かがそれを登ることを余儀なくされています。悪用される可能性のあるセキュリティホールを見つけた特定のタイプのプログラマーの場合、他の誰かがあなたを殴る前に、自分でそのホールを悪用せざるを得ない可能性があります。

そして、冷たくて現金があります。ウイルスは、あなたをだまして偽のソフトウェアを購入させたり、個人情報を盗んでそれを使ってお金を稼いだり、闇市場のデジタル版で販売したりする可能性があります。強力なウイルスは価値があり、潜在的には儲かるツールです。

もちろん、ほとんどのウイルス作成者は、作成したもので実際の人々に実際の損害を与えるという点を見逃しているようです。人のハードディスク上のすべてを破壊することは本当の損害です。大企業にウイルス攻撃後のクリーンアップに数千時間を費やすことを強いることは、本当の被害です。誰かがそれを取り除くために時間を無駄にしなければならないので、ばかげたメッセージでさえ本当の損害です。このため、法制度は、ウイルスを作成する人々に対してより厳しい罰則を開発し続けています。

火曜日のパッチ

毎月第2火曜日に、MicrosoftはWindowsオペレーティングシステムの既知の脆弱性のリストをリリースします。同社はこれらのセキュリティホールのパッチを同時に発行しているため、この日はパッチ火曜日と呼ばれています。パッチが適用されていないシステムを攻撃するためにパッチ火曜日に作成および起動されたウイルスは、「ゼロデイ」攻撃として知られています。ありがたいことに、主要なウイルス対策ベンダーはMicrosoftと協力して事前に穴を特定しているため、ソフトウェアを最新の状態に保ち、システムに迅速にパッチを適用すれば、ゼロデイ問題について心配する必要はありません。

従来のコンピュータウイルスは1980年代後半に最初に広く見られ、いくつかの要因が原因で発生しました。最初の要因は、パーソナルコンピュータ（PC）の普及でした。1980年代以前は、家庭用コンピュータはほとんど存在していませんでした。実際のコンピューターはまれであり、「専門家」が使用するためにロックされていました。 80年代には、IBM PC（1982年にリリース）とApple Macintosh（1984年にリリース）の人気により、実際のコンピューターが企業や家庭に普及し始めました。 1980年代後半までに、PCは企業、家庭、大学のキャンパスに設置されていました。

2つ目の要因は、コンピューター掲示板の使用でした。人々はモデムで掲示板にダイヤルアップし、あらゆる種類のプログラムをダウンロードすることができました。ゲームは非常に人気があり、単純なワードプロセッサ、スプレッドシート、その他の生産性ソフトウェアも人気がありました。掲示板は、トロイの木馬として知られるウイルスの前兆につながりました。トロイの木馬は、クールな名前と説明を備えたプログラムになりすまして、ダウンロードするように促します。ただし、プログラムを実行すると、ハードドライブを消去するなど、クールではないことが行われます。あなたはきちんとしたゲームを手に入れていると思いますが、代わりに、あなたは一掃されたシステムを手に入れます。トロイの木馬はすぐに発見され、ユーザーの間で危険の言葉が広まるため、少数の人々にしか攻撃しません。

ウイルスの発生につながった3番目の要因はフロッピーディスクでした。 1980年代には、プログラムは小さく、オペレーティングシステム全体、いくつかのプログラム、およびいくつかのドキュメントをフロッピーディスクに収めることができました。多くのコンピュータにはハードディスクがないため、マシンの電源を入れると、フロッピーディスクからオペレーティングシステムとその他すべてがロードされます。ウイルスの作成者はこれを利用して、最初の自己複製プログラムを作成しました。

初期のウイルスは、ゲームやワードプロセッサなど、より大規模で正当なプログラムに埋め込まれたコードの断片でした。ユーザーが正規のプログラムをダウンロードして実行すると、ウイルスはそれ自体をメモリにロードし、ディスク上に他のプログラムを見つけることができるかどうかを確認します。見つかった場合は、プログラムを変更して、ウイルスのコードをそのプログラムに追加します。次に、ウイルスは「実際のプログラム」を起動します。ユーザーは、ウイルスがこれまでに実行されたことを実際に知る方法がありません。残念ながら、ウイルスは現在自分自身を複製しているため、2つのプログラムが感染しています。次にユーザーがこれらのプログラムのいずれかを起動すると、他のプログラムに感染し、サイクルが続行されます。

感染したプログラムの1つがフロッピーディスクで他の人に渡された場合、または他の人がダウンロードできるようにアップロードされた場合、他のプログラムが感染します。これは、ウイルスが広がる方法です-生物学的ウイルスの感染段階と同様です。しかし、ウイルスが自分自身を複製するだけであれば、ウイルスはそれほど激しく軽蔑されることはありません。ほとんどのウイルスには、実際に損害を与える破壊的な攻撃フェーズもあります。ある種のトリガーが攻撃フェーズをアクティブにし、ウイルスが何かを実行します。画面にばかげたメッセージを表示することから、すべてのデータを消去することまで、あらゆることを行います。トリガーは、特定の日付、ウイルスが複製された回数、または同様のものである可能性があります。

次のセクションでは、ウイルスが何年にもわたってどのように進化してきたかを見ていきます。

ウイルスの作成者は、何年にもわたってバッグに新しいトリックを追加してきました。そのようなトリックの1つは、ウイルスをメモリにロードして、コンピュータの電源が入っている限りバックグラウンドでウイルスを実行し続けることができるようにすることです。これにより、ウイルスは自分自身を複製するためのはるかに効果的な方法が得られます。もう1つのトリックは、フロッピーディスクとハードディスクのブートセクタに感染する機能です。ブートセクタは、オペレーティングシステムの最初の部分である小さなプログラムです。コンピュータがロードすること。これには、オペレーティングシステムの残りの部分をロードする方法をコンピュータに指示する小さなプログラムが含まれています。コードをブートセクタに配置することで、ウイルスはコードの実行を保証できます。すぐにメモリにロードされ、コンピュータの電源が入っているときはいつでも実行できます。ブートセクタウイルスは、マシンに挿入されたフロッピーディスクのブートセクタに感染する可能性があり、大学のキャンパスのように多くの人がマシンを共有する場所では、山火事のように広がる可能性があります。

一般に、実行可能ウイルスもブートセクタウイルスも、今日ではそれほど脅威にはなりません。彼らの衰退の最初の理由は、今日のプログラムの巨大さでした。今日購入するほとんどのプログラムはコンパクトディスクで提供されます。市販のコンパクトディスク（CD）は変更できず、製造時に製造元がウイルスをCDに書き込むことを許可しない限り、CDがウイルスに感染する可能性は低くなります。プログラムでいっぱいのフロッピーが野球カードのように取引されていた1980年代のように、人々は確かにフロッピーディスクでアプリケーションを持ち歩くことはできません。オペレーティングシステムがブートセクタを日常的に保護するようになったため、ブートセクタウイルスも減少しました。

ブートセクタウイルスおよび実行可能ウイルスからの感染は依然として可能です。それでも、以前よりもはるかに可能性が低くなります。生物学的なアナロジーを使用したい場合は、それを「縮小する生息地」と呼んでください。フロッピーディスク、小さなプログラム、および弱いオペレーティングシステムの環境により、1980年代にこれらのウイルスが可能になりましたが、その環境ニッチは、巨大な実行可能ファイル、変更できないCD、およびより優れたオペレーティングシステムの保護手段によって大幅に排除されました。

電子メールウイルスはおそらくあなたにとって最もよく知られています。次のセクションでそれらを見ていきます。

ウイルス作成者は、電子メールウイルスを作成することにより、変化するコンピューティング環境に適応しました。たとえば、1999年3月のメリッサウイルスはその攻撃において壮観でした。メリッサは、電子メールで送信されたMicrosoft Word文書で広まり、次のように機能しました。

誰かがウイルスをWord文書として作成し、インターネットニュースグループにアップロードしました。ドキュメントをダウンロードして開いた人は誰でもウイルスをトリガーします。次に、ウイルスは、その人の名簿の最初の50人に電子メールメッセージでドキュメント（したがってそれ自体）を送信します。電子メールメッセージには、その人の名前を含む親しみやすいメモが含まれていたため、受信者は無害だと思ってドキュメントを開きました。ウイルスは、受信者のマシンから50の新しいメッセージを作成します。その速度で、メリッサウイルスはすぐに誰もがその時に見た中で最も急速に広がるウイルスになりました。先に述べたように、それは多くの大企業に拡散を制御するために彼らの電子メールシステムをシャットダウンすることを余儀なくさせました。

ILOVEYOUウイルス2000年5月4日に登場し、さらに簡単でした。添付ファイルとしてコードが含まれていました。添付ファイルをダブルクリックした人がコードを起動しました。次に、被害者の名簿に載っているすべての人に自分自身のコピーを送信し、被害者のマシン上のファイルを破壊し始めました。これはウイルスが得ることができるのと同じくらい簡単です。これは、ウイルスというよりも、電子メールで配布されるトロイの木馬のようなものです。

Melissaウイルスは、MicrosoftWordに組み込まれているVBAまたはVisualBasic forApplicationsと呼ばれるプログラミング言語を利用していました。これは完全なプログラミング言語であり、ファイルの変更や電子メールメッセージの送信などを行うプログラムの作成に使用できます。また、便利ですが危険な自動実行機能もあります。プログラマーは、ドキュメントを開くとすぐに実行されるプログラムをドキュメントに挿入できます。これはメリッサウイルスがプログラムされた方法です。メリッサに感染した文書を開いた人は誰でもすぐにウイルスを活性化するでしょう。 50個の電子メールを送信し、NORMAL.DOTという中央ファイルに感染して、後で保存されたファイルにもウイルスが含まれるようにします。それは大きな混乱を引き起こしました。

Microsoftアプリケーションには、この種のウイルスを防ぐためにマクロウイルス保護と呼ばれる機能が組み込まれています。マクロウイルス対策をオンにすると（デフォルトのオプションはオン）、自動実行機能は無効になります。そのため、ドキュメントがウイルスコードを自動実行しようとすると、ユーザーに警告するダイアログがポップアップ表示されます。残念ながら、多くの人はマクロやマクロウイルスが何であるかを知らず、ダイアログを見るとそれを無視するので、とにかくウイルスは実行されます。他の多くの人々は保護メカニズムをオフにします。このため、メリッサウイルスは、それを防ぐための予防措置が講じられているにもかかわらず広がりました。

ILOVEYOUウイルスの場合、すべてが人力でした。添付ファイルとして提供されたプログラムをダブルクリックすると、プログラムが実行され、その処理が実行されました。このウイルスを助長したのは、実行可能ファイルをダブルクリックする人間の意欲でした。同じ種類のエクスプロイトが、AIMやWindows LiveMessengerなどのインスタントメッセージングネットワークにも渡されています。Commandeeredアカウントは、インスタントメッセージでウイルスへのリンクを送信します。リンクをクリックしてトロイの木馬アプリケーションをインストールすると、自分のアカウントが乗っ取られ、無意識のうちに危険なリンクで自分の友達にスパムを送信します。

電子メールウイルスについて説明したので、ワームを見てみましょう。

フィッシングとソーシャルエンジニアリング

コンピュータをウイルスに感染しないように保護するための措置を講じている場合でも、別のより陰湿なタイプの攻撃に遭遇する可能性があります。フィッシングやその他のソーシャルエンジニアリング攻撃が増加しています。ソーシャルエンジニアリングとは、オンラインまたは直接にあなたの個人情報を諦めさせようとする誰かが、それを使ってあなたから盗むことができるようにするための空想的な用語です。スパム対策トラップはフィッシング詐欺師からの電子メールメッセージをキャッチする可能性がありますが、米国のComputer Emergency Readiness Teamは、自分のゲームでそれらを打ち負かす最善の方法は用心することだと言います。また、個人情報や財務情報をオンラインで公開しないでください。

ワームは、マシン間で自分自身をコピーする機能を持つコンピュータプログラムです。ワームは、複製するときにコンピュータの処理時間とネットワーク帯域幅を使い果たし、多くの場合、かなりの損害を与えるペイロードを運びます。コードレッドと呼ばれるワームは2001年に大きな見出しを作りました。専門家は、このワームがインターネットを非常に効果的に詰まらせ、物事が完全に停止する可能性があると予測しました。

ワームは通常、ソフトウェアまたはオペレーティングシステムのある種のセキュリティホールを悪用します。たとえば、Slammerワーム（2003年1月に騒乱を引き起こした）は、MicrosoftのSQLサーバーの穴を悪用しました。ワイアード誌は、スラマーの小さな（376バイト）プログラムの内部を魅力的に見ました。

ワームは通常、コンピュータネットワークを介して移動し、他のマシンに感染します。ネットワークを使用すると、ワームは単一のコピーから信じられないほど迅速に拡大する可能性があります。 Code Redワームは、2001年7月19日の約9時間で25万回以上複製しました[出典：Rhodes ]。

Code Redワームは、それ自体が複製を開始したときにインターネットトラフィックの速度を低下させましたが、予測ほど悪くはありませんでした。ワームの各コピーは、MicrosoftセキュリティパッチがインストールされていないWindowsNTまたはWindows2000サーバーについてインターネットをスキャンしました。保護されていないサーバーが見つかるたびに、ワームは自分自身をそのサーバーにコピーしました。次に、新しいコピーは、感染する他のサーバーをスキャンしました。保護されていないサーバーの数によっては、ワームが数十万のコピーを作成する可能性があります。

Code Redワームには、次の3つのことを行うための指示がありました。

感染が成功すると、Code Redは指定された時間待機し、www.whitehouse.govドメインに接続します。この攻撃は、感染したシステムが同時に100の接続をwww.whitehouse.gov（198.137.240.91）のポート80に送信することで構成されます。

米国政府は、ワームからの特定の脅威を回避するためにwww.whitehouse.govのIPアドレスを変更し、ワームに関する一般的な警告を発行し、WindowsNTまたはWindows2000Webサーバーのユーザーにセキュリティパッチがインストールされていることを確認するようにアドバイスしました。

2007年に出現したストームと呼ばれるワームは、すぐに自分の名前を作り始めました。 Stormは、ソーシャルエンジニアリング技術を使用して、ユーザーをだましてワームをコンピューターにロードさせました。そして、少年、それは効果的でしたか？専門家は、100万から5000万台のコンピューターが感染したと信じています[出典：シュナイアー]。アンチウイルスメーカーはStormに適応し、さまざまな形態を経てもウイルスを検出することを学びましたが、インターネットの歴史で最も成功したウイルスの1つであり、いつか再び頭をもたげることができました。ある時点で、ストームワームはインターネットのスパムメールの20％を占めていると考えられていました[出典：カプラン]。

ワームが起動すると、コンピュータへのバックドアが開き、感染したマシンがボットネットに追加され、それ自体を隠すコードがインストールされます。ボットネットは、より大きく、より簡単に識別できるネットワークではなく、小さなピアツーピアグループです。専門家は、Stormを制御している人々が、スパムやアドウェアを配信したり、Webサイトへのサービス拒否攻撃を行ったりするためにマイクロボットネットを貸し出していると考えています。

インターネットの成長の初期には、あらゆる種類のウイルスが大きな脅威でした。それらはまだ存在しますが、2000年代半ば以降、ウイルス対策ソフトウェアはより良くなり、Webブラウザとオペレーティングシステムはより安全になりました。2010年代の大きな脅威は、PCではなくスマートフォンに課せられるのでしょうか。

新しいウイルスは常に出現しますが、ワームやその他のエクスプロイトがStormがかつて行ったような影響を与えることはめったにありません。世紀の変わり目と2000年代初頭に、史上最悪の10のコンピュータウイルスが発生しました。コンピュータは熟した標的でした。ウイルス対策ソフトウェアは高価であり、常に信頼できるとは限りませんでした。MicrosoftのInternet Explorerは悪用に熟しており、PCユーザーはウイルスがインターネット上でどれほど簡単に拡散するかを知りませんでした。近年、ウイルスはいくつかの理由で同じ種類の影響を及ぼしていません。

人々はウイルスについて少しよく教育されています。無料のウイルス対策ソフトウェアは簡単にダウンロードできます。 Microsoftは独自のSecurityEssentialsを推奨していますが、AVGやAvastなどの企業は独自の無料の代替手段を提供しています。一般に、コンピュータソフトウェアはインターネットを念頭に置いて設計されており、ウイルスの影響を受けにくくなっています。今日のChromeおよびFirefoxブラウザを、2001年のリリースから10年以上にわたってパッチが適用された悪名高いInternet Explorer 6と比較してください。もちろん、ウイルスはまだ存在しています。2009年には、Downadupと呼ばれるワームが数百万台のコンピュータに感染しました。日の問題。私たちはそれらの取り扱いが上手くなりつつあります。

ウイルス対策ソフトウェアが追跡するウイルスは、これまでになく増えています。これらのプログラムは、インターネット上の最新のウイルス変異を防ぐために、定期的に（多くの場合は毎日）自動的に更新されます。で、ちょうど見アバストのウイルス更新履歴多くのトロイの木馬、ワームやコードの他の極悪非道なビットは、毎日のデータベースに追加されているか確認してください。

スマートフォンやタブレットの現代では、ウイルスに感染することなくインターネットを閲覧することがこれまでになく簡単になっています。どうして？ウイルスは特定のプラットフォーム向けに作成されているためです。 Windowsで何かを悪用することを目的としたウイルスは、AppleのMacオペレーティングシステムでは機能しません。2つのシステムを構成するコードは完全に異なります。同様に、AndroidやiOSなどのモバイルオペレーティングシステムを構成するコードは、PCのコードとは異なります。コンピュータを不自由にするウイルスは、モバイルデバイスでは機能しません。

しかし、モバイルデバイス自体は完全に安全ではありません。Android携帯から個人情報を抽出する可能性のあるウイルスが世の中にあります。AppleのiOSはオープンソースのAndroidとは異なり、クローズドソースプラットフォームであるため、ウイルスを標的にすることはより困難です。その上、Windowsはまだよりジューシーなターゲットです。モバイルウイルスは、スマートフォンの売り上げが伸びるにつれて確実に人気が高まるでしょうが、2011年の時点では、それほど懸念されていません。

次のセクションでは、PCにパッチを適用する方法や、コンピューターを保護するために実行できるその他の方法について説明します。

いくつかの簡単な手順でウイルスから身を守ることができます。

従来の（電子メールではなく）ウイルスについて本当に心配している場合は、Linuxのようなより安全なオペレーティングシステムを実行している必要があります。程度は低いですが、AppleのMac OSXを実行している必要があります。これらのオペレーティングシステムでウイルスについて耳にすることはありません。それらは市場の非常に小さな部分を表しているため、Windowsオペレーティングシステムよりもはるかに少ないウイルスの標的になっています。AppleのOSXはそのシェアを見てきましたが、ウイルスは依然として主にWindowsの問題です。

セキュリティで保護されていないオペレーティングシステムを使用している場合は、ウイルス対策ソフトウェアをインストールすることをお勧めします。多くのアンチウイルスオプションがオンラインで無料で利用できます。

未知のソース（インターネットなど）からのプログラムを単に避け、代わりにCDで購入した商用ソフトウェアを使用する場合、従来のウイルスによるリスクのほとんどすべてを排除できます。

すべてのMicrosoftアプリケーションでマクロウイルス対策が有効になっていることを確認する必要があります。また、マクロの機能を理解していない限り、ドキュメントでマクロを実行しないでください。ドキュメントにマクロを追加する正当な理由はめったにないので、すべてのマクロを避けることは素晴らしいポリシーです。

実行可能ファイルを含む電子メールの添付ファイルをダブルクリックしないでください。Wordファイル（.DOC）、スプレッドシート（​​.XLS）、画像（.GIF）などとして提供される添付ファイルはデータファイルであり、損傷を与えることはありません（上記のWordおよびExcelドキュメントのマクロウイルスの問題に注意してください）。 。ただし、一部のウイルスは、.JPGグラフィックファイルの添付ファイルを介して侵入する可能性があります。EXE、COM、VBSなどの拡張子を持つファイルは実行可能ファイルであり、実行可能ファイルは必要なあらゆる種類の損害を与える可能性があります。実行すると、マシン上で何かを実行する許可が与えられます。唯一の防御策：電子メールで届く実行可能ファイルは絶対に実行しないでください。

これらの簡単な手順に従うことで、ウイルスのない状態を維持できます。

コンピュータウイルスおよび関連トピックの詳細については、次のページのリンクを参照してください。

関連記事

その他のすばらしいリンク