サイバー攻撃の手口のひとつに「コンピューターウイルス」がありますが、コンピューターウイルスには数多くの種類が存在します。また、広義と狭義の意味の違いによって、性質も異なる概念です。
この記事では、コンピューターウイルスの種類や感染源、感染を未然に防ぐ方法を解説します。
コンピューターウイルスの定義と特徴
悪意あるプログラム「マルウェア」のうち、宿主となるファイルに寄生して自己増殖するものを「コンピューターウイルス」と呼びます。つまり、コンピューターウイルスとはマルウェアの一種です。ただし、従来は悪意あるプログラムをコンピューターウイルスと総称していました。そのため、現在でも広義のコンピューターウイルス=マルウェアとして用いられる場面がよくあります。
この記事では、特に注釈がない場合の「コンピューターウイルス」は、マルウェアの一種である「狭義のコンピューターウイルス」の意味で用います。
経済産業省による定義
経済産業省「コンピュータウイルス対策基準」では、コンピューターウイルスを次のように定義しています。
【コンピューターウイルスの定義】
以下3つのうち1つ以上の機能を持ち、悪意ある動作をするプログラム。
- 自己伝染機能:自身を複製し、他のシステムへ伝染する
- 潜伏機能:発病するための条件を記憶し、条件が満たされるまで症状を出さない
- 発病機能:ファイル破壊やユーザーの意図しない動作をする
上記の定義は1995年に制定されており、当時の広義のコンピューターウイルス(=現在のマルウェア)を指すと考えられます。現在の狭義のコンピューターウイルスは自己増殖するため、必ず自己伝染機能を持ちます。
※1 出典:経済産業省「コンピュータウイルス対策基準」
広義のコンピューターウイルスの種類
マルウェアを意味する「広義のコンピューターウイルス」は、次の3種類に分けられます。
- 狭義のコンピューターウイルス
- ワーム
- トロイの木馬
以下では、それぞれの特徴を説明します。
1.狭義のコンピューターウイルス
狭義のコンピューターウイルスとは、宿主を必要とし、自己増殖するプログラムです。主に実行ファイルに寄生して自身を複製し、他のコンピューターへと感染を広げます。
基本的に、ユーザーによる「ファイルを開く」「URLをクリックする」などの操作がない限り感染しません。
2.ワーム
ワームとは、宿主を必要とせず、自己増殖するプログラムです。実行ファイルなどの寄生先が不要なため、コンピューターの中で単体で活動します。コンピューターウイルスよりも感染力が非常に高く、ネットワークを介して他の端末へ感染しやすいマルウェアです。
3.トロイの木馬
トロイの木馬とは、宿主を必要とせず、自己増殖しないプログラムです。多くの場合、便利そうな無料ソフトウェアや、無害に見える画像ファイルなどに偽装しています。
ユーザーを騙して端末にインストールさせ、データの破壊や窃取といった不正行為を実行します。
広義のコンピューターウイルス(マルウェア)については、以下の記事でより詳しく解説しています。
▼マルウェアとウイルスの違いについて解説! 感染経路や具体的な対策とは?
狭義のコンピューターウイルスの種類
マルウェアの一種である「狭義のコンピューターウイルス」は、感染対象によって細分化されます。主な種類は、以下の5つです。
- ファイル感染型ウイルス
- ブートセクタ感染型ウイルス
- マクロ型ウイルス
- ポリモーフィック型ウイルス
- 複合感染型ウイルス
以下では、ひとつずつ具体的な特徴を紹介します。
1.ファイル感染型ウイルス
ファイル感染型ウイルスとは、もっとも一般的なコンピューターウイルスです。「.exe」や「.com」といった拡張子の実行型ファイルに不正なプログラムが寄生します。
ユーザーがウイルスの潜むファイルを実行してしまうと、コンピューター内の他のファイルへ感染する仕組みです。さらに、ファイルに寄生する手法により、次の2種類に分けられます。
上書き型
上書き型とは、寄生したファイルの正規コードを自身の不正なコードに書き換えるウイルスです。プログラムを動かすための正しいコードが壊されるため、ユーザーが当該プログラムを実行しても本来の処理が行われません。したがって、ユーザーがコンピューターの異変に気付きやすい形態といえます。
追記型
追記型とは、寄生したファイルの正規コードを改変せず、自身の不正なコードを書き足すウイルスです。正規コードが破壊されないため、本来のプログラムは正しく動作します。上書き型と比べてユーザーが異変に気付きづらく、被害が拡大しやすいです。
また、不正なコードは、正しいコードの先頭や末尾、使われていないコードが並ぶ隙間などの位置に記述されます。
2.ブートセクタ感染型ウイルス
ブートセクタ感染型ウイルスは、コンピューターのストレージに存在する「ブートセクタ」に感染します。ブートセクタとは、コンピューターおよびOSを起動するための情報が記録されている領域です。
ブートセクタ感染型ウイルスに侵入された場合、コンピューターの起動後から不正活動を始めます。セキュリティソフトによる完全な駆除と復旧は難しく、セキュリティベンダーに依頼して専門的な対応を要する場合があります。
3.マクロ型ウイルス
マクロ型ウイルスは、Microsoft Officeツールの「マクロ」を悪用します。マクロとは、スクリプト言語を利用し、特定の操作を自動化する機能です。
WordやExcelといったOffice関連のファイルに潜んでおり、ユーザーがファイルを開くことで不正なマクロが実行され、自己増殖やデータ破壊が行われます。実行ファイルではなく、普段利用するファイルの形をしているため、うっかり開いて被害に合うケースが多発しました。マクロ型ウイルスを含め、スクリプト言語を悪用するウイルスは「スクリプト型ウイルス」と呼ばれます。
4.ポリモーフィック型ウイルス
ポリモーフィック型ウイルスとは、コンピューターに感染するたび、自身のプログラムのコードを変質するウイルスです。「ミューテーション型ウイルス」ともいいます。新たな感染先ではコードが変化しているため、従来のアンチウイルスでは検知が極めて困難です。
従来のアンチウイルスは、過去に発見された既知のマルウェアしか検知できません。ゆえに、感染するたびに未知のマルウェアに変化するポリモーフィック型ウイルスは、なかなか検知できないでしょう。対策として、未知のマルウェアも発見できる「NGAV(次世代アンチウイルス)」が効果的です。
NGAVついては、以下の記事でも紹介しています。
▼NGAV(次世代型アンチウイルス)とは? 従来型対策やEPP・EDRとの違いも解説
5.複合感染型ウイルス
複合感染型ウイルスは、名前の通り複数のウイルスで構築されています。実行ファイルやブートセクタなど、様々な感染先があるため、単体のウイルスよりも感染力が強い傾向があります。
コンピューターウイルスの目的
そもそも、なぜ攻撃者はコンピューターウイルスを作成し、拡散するのでしょうか。攻撃者の目的は、大きく分けて次の2つが挙げられます。
- 愉快犯や意思表明
- 金銭目的
ここからは、具体的な行動理由を説明します。
1.愉快犯や意思表明
自身の技術力を示すための愉快犯が、コンピューターウイルスを作成するパターンです。コンピューターウイルスの登場当時、多くは愉快犯による犯行でした。また、現在では、企業や団体への抗議の意思表示として、DDoS(Distributed Denial of Service)攻撃を仕掛ける場合があります。
あるいは、単なる嫌がらせとして実行するケースもあるでしょう。こうしたDDoS攻撃は、第三者のコンピューターを「踏み台」にすることがあります。そのため、事前準備として不特定多数へコンピューターウイルスを拡散させます。
DDoS攻撃ついては、以下の記事でも紹介しています。
▼DDoS攻撃の目的や種類、DoS攻撃との違い、対策方法を解説
2.金銭目的
かつては愉快犯が多くを占めていましたが、現代のコンピューターウイルスは金銭目的が主流です。金銭を得るための準備として、攻撃者はコンピューターウイルスを仕掛けます。コンピューターウイルスにより、アカウント乗っ取りによる不正送金、個人情報の窃取と売却、ランサムウェアによる身代金要求といった犯罪行為を実行します。
コンピューターウイルスの感染源
コンピューターウイルスの感染源として、代表例を5つ紹介します。
- 不審なWebサイト
- メール
- USBメモリなどの外部記憶媒体
- 新規ソフトウェアやファイル
- LAN
それぞれの詳しい感染経路を確認しましょう。
1.不審なWebサイト
不審なWebサイトには、コンピューターウイルスが組み込まれている可能性があります。近年は、実在企業そっくりに似せた偽造サイトが多数存在しており、偽物だと気付かずにアクセスしてしまうケースが多発しています。
さらに、本物の正規サイトが攻撃者に改ざんされ、閲覧したユーザーがコンピューターウイルスに感染してしまう場合もあります。
2.メール
メールは、コンピューターウイルスの感染経路として頻繁に悪用されています。メールの添付ファイルにコンピューターウイルスが仕込まれており、ダウンロードすると感染してしまいます。
もしくは、メール本文に記載されたURLから不審なWebサイトへ遷移し、感染する場合もあるでしょう。
3.USBメモリなどの外部記憶媒体
コンピューターウイルスは、USBメモリなどの外部記憶媒体にも感染します。コンピューターウイルスに感染したUSBメモリをパソコンに接続することで、感染が拡大します。
4.新規ソフトウェアやファイル
無害に見せかけた新規ソフトウェアまたはファイルの中に、コンピューターウイルスが潜んでいる場合があります。感染したファイルなどをインストールまたはダウンロードすると、コンピューターウイルスに侵入されてしまいます。
5.LAN
すでにコンピューターウイルスに感染した端末が、社内ネットワークといったLANに接続すると、同じLAN内の他のデバイスへと感染が広がります。一度でもLANに侵入されてしまうと、自社内のデバイスにコンピューターウイルスが爆発的に広がる危険性が高まるため注意が必要です。
ウイルス感染が疑われる症状
コンピューターウイルスに感染すると、どのような症状が現れるのでしょうか。PCやスマホに次のような症状が出た場合、コンピューターウイルスに感染しているかもしれません。
- コンピューターの動作が重い
- コンピューターを起動できない
- ポップアップが強制的に何度も表示される
- ファイルが削除されている、知らないファイルがある
- 身に覚えのないメールの送信履歴がある
- クラウドサービスのアカウントのパスワードが変更されている
こうした症状が現れると、情報漏えいやデータ破壊、サービスの一時停止といった被害に発展する恐れがあります。顧客にまで被害が広がると、自社の社会的な信頼が低下しかねません。
コンピューターウイルス感染が疑われる場合、早期の対処が重要です。
感染被害を最小限に抑えるには?
コンピューターウイルス感染時は、被害を抑えるすばやい行動が大切です。日頃からの備えや感染時の対処方法として、次の4項目に取り組みましょう。
- 定期的に重要なデータをバックアップする
コンピューターウイルスを完全に駆除するために、PCを初期化しなくてはいけない場合があります。あるいは、コンピューターウイルスによって大切なデータを破壊・改ざんされるかもしれません。こうした事態に備えて、定期的に重要なデータのバックアップを取っておきましょう。
また、バックアップを複数箇所に保管すると、さらに安全性を高められます。 - 感染時はすぐにネットワークから遮断する
コンピューターウイルス感染が疑われる際は、感染した端末をすぐにネットワークから切り離しましょう。ネットワークに接続したままだと、ネットワークを通じて他の端末へ感染が広がってしまいます。
有線接続ならLANケーブルを抜き、無線接続はインターネット接続をオフにすることで、感染した端末を完全に隔離できます。なお、端末の電源を切ると再起動できなくなったり、再起動によって攻撃を始めたりする危険性があるため、電源はそのままにしましょう。 - NGAVで迅速にウイルスを駆除する
NGAV(Next Generation AntiVirus)といったセキュリティソフトを使い端末をスキャンして、コンピューターウイルスを検知しましょう。具体的な駆除方法は、多くの場合セキュリティソフトに指示が表示されます。NGAVは、プログラムの振る舞いやコードの構造を検査してマルウェアを発見する仕組みです。そのため、既知だけでなく、未知のマルウェアであっても高精度に検知できます。また、ネットワークでつながっていた他の端末も、同様にスキャンを実行しましょう。 - EDRで事後対策も行う
被害を最小限に抑えるためには、EDR(Endpoint Detection and Response)による事後対策が効果的です。EDRとは、マルウェアに侵入された後のスピーディな対処をサポートするセキュリティ製品です。
マルウェアの侵入地点や被害範囲、行うべき対応が提示されるため、被害拡大を食い止められます。加えて、マルウェアに侵入された際はリアルタイムにアラートを発するので、早期対処が可能です。EDRは、下記の記事で詳しく解説しています。
▼EDR製品でどのようなセキュリティを実現できる? 概要や仕組み、具体的な製品を紹介
ウイルス感染を未然に防ぐ対策
コンピューターウイルスの感染を未然に防ぐためには、下記4つの対策が重要です。詳しい対策や必要性を説明します。
- OSやソフトウェアを最新状態にする
WindowsやMacなどのOS、ソフトウェア、アプリケーションは、常に最新状態を保ちましょう。アップデートを怠ると、ぜい弱性が放置されたままになり、コンピューターウイルスはぜい弱性を狙い侵入する可能性があります。
ネットワーク機器のファームウェアも含め、最新状態を維持できれば感染リスクを減らすことが可能です。 - 社内のIT資産を把握する
社内のIT資産を調査し、自社の守るべき情報を把握しましょう。セキュリティ製品を導入する際は、自社のIT資産を把握していないと適切な製品を選べません。
さらに、IT資産をきちんと管理できていないと、サイバー攻撃に対してぜい弱な部分が生まれやすくなります。自社のIT資産を把握することで、有効なセキュリティ体制を構築できます。 - NGAVやEDR製品を導入する
コンピューターウイルスの侵入対策には、NGAVが不可欠になります。加えて、事前対策だけでなく、事後対策を担うEDRの導入もおすすめです。NGAVとEDRのどちらかのみでは、セキュリティ対策が偏ってしまいます。
事前と事後の両面を対策すれば、コンピューターウイルスの侵入を防いだ上で、すり抜けた脅威に対しても迅速に対応できます。 - 情報セキュリティ研修を実施する
優れたセキュリティ製品を導入しても、運用する従業員の情報セキュリティ意識が低いとコンピューターウイルスの感染リスクが上がります。サイバー攻撃対策の基礎的な研修を実施し、社員の情報セキュリティ意識を高めましょう。
NGAV/EDRで感染防止、事後対応
コンピューターウイルスの予防に効果的な対策が、NGAVとEDRの導入です。コンピューターウイルスの侵入を防ぐNGAVと、侵入後の迅速な対応を行うEDRを組み合わせれば、セキュリティ体制を強化できます。
とはいえ、NGAVとEDRを導入すると、2つのセキュリティシステムを個別に運用しなくてはいけません。運用負荷が重くなり、結局どちらかしか使わなくなるパターンが考えられます。運用負荷を軽減したいのであれば、NGAVとEDRの機能を併せ持つセキュリティ製品の導入がおすすめです。
ここでは、NGAV/EDRの代表的な製品「VMware Carbon Black Cloud」と「CrowdStrike Falcon」を紹介します。それぞれの特徴を解説しますので、ぜひ参考にしてみてください。
VMware Carbon Black Cloud
VMware Carbon Black Cloudは、クラウド型のNGAV/EDRソリューションです。デバイスの使用場所を問わず、リモート環境の端末も包括的に保護します。拠点やユーザーの増減に柔軟に対応できるため、一部の端末が保護から漏れてしまうといったトラブルは発生しません。
また、エンドポイント(ネットワークに接続された終端装置)のアプリケーションやファイルを監視し、常にログの収集が可能です。未知の脅威をブロックし、ごく一部の侵入してしまった脅威も迅速に検知することで、被害拡大を阻止します。
VMware Carbon Black Cloud導入事例の資料をご用意しております。ぜひダウンロードして、ご活用ください。
CrowdStrike Falcon
CrowdStrike Falconは、NGAV/EDRをクラウドで提供するソリューションです。iOSやAndroidなどのモバイルデバイスも含め、すべてのエンドポイントをあらゆる脅威から守ります。NGAVの各機能はすべてひとつの管理画面で操作できるため、効率的な管理が可能です。
さらに、お客様に代わってCrowdStrike Falconを運用する「MDR(Managed Detection and Response)サービス」も提供しています。ITの専門家集団であるFalcon Completeチームが、ネットワークに潜んだ脅威を調査し、攻撃を徹底的に防ぎます。
テクバンは、VMware Carbon Black CloudやCrowdStrike Falconの導入支援サービスを行っています。他にも、お客様のニーズを丁寧にヒアリングし、既存システムを調査した上で、最適なセキュリティ製品を提案いたします。
セキュリティ対策に課題を感じているお客様は、ぜひご相談ください。
テクバンへ相談してみる
ウイルス対策にはセキュリティ製品を
広義のコンピューターウイルスには、トロイの木馬やワームといったマルウェアが含まれます。一方、狭義のコンピューターウイルスは、宿主となるデータに寄生し、自己増殖するマルウェアを指します。
広義・狭義ともに、コンピューターウイルスは次々と新たな種類が生まれています。多種多様なコンピューターウイルスに対抗するには、NGAVやEDRなどのセキュリティ製品の導入が必要です。
テクバンは、お客様に最適なセキュリティ製品の提案と導入支援を行っています。コンピューターウイルスの脅威や自社のセキュリティ環境などにお悩みのお客様は、ぜひお問い合わせください。