・複合型 プログラム感染型のウイルスは、 com や exe などの実行形式のファイル にウイルスのコードが書き加えられることによって感染する。感染したファ イルを実行すると、ウイルスのコードが起動して他の実行形式のファイル に自己のコヒ。ーを書き加えることによって増殖していく。もっとも古くか ら知られているウイルスである。 また、プートセクタ感染型のウイルスは、フロッヒ。ーやハードディスク のプートセクタ ( コンヒ。ュータの起動時に一度だけ実行されるプログラム の部分 ) にウイルスのコードが書き加えられることによって感染する。感 染したフロッピーでコンヒ。ュータを起動するとウイルスのコードが起動し てメモリに常駐し、 ードディスクのプートセクタに感染する。一度ハ ドディスクに感染すると、それ以後作成したすべてのフロッピーに感染す る。 一方、システム領域感染型の種のウイルスは、ディスクのシステム領域 ( プートセクタ、パーティションテープル ) の情報を他の場所へ移動させ たうえで、システム領域をウイルスプログラムで上書きする。このため、 通常の起動プロセスの前にウイルスが呼び出されることになる。 ウイルスプログラムを実行した後、移動した場所にシステム領域の情報 を参照しにいくよう指示する。 DOS の仕組みにより、システムファイルよ りも先にウイルスがメモリにロードされるので、ウイルスは DOS の割り込 み命令の制御を完全に奪うことになる。感染すると急速に広まり被害を与 えるものである。そしてシステム領域感染型ウイルスは、コンビュータの 電源を切るまでメモリに常駐する。 ファイル感染型のウイルスは、 .COM/ . EXE 、 . SYS などの実行型ファイ ルに感染し、ファイルが実行される度にウイルスプログラムを実行するタ イプである。ウイルス単体ではプログラムを実行したり複製したりできな いため、 . EXE や.COM 等の実行型ファイルに付着して制御を奪い、プログ ラムを書き換えて感染増殖する。プログラムの処理を中断し、ウイルスプ 184
イルを開くとウイルスのマクロが起動する。ウイルスは、他の同種のデー タファイルに自己のコピーを書き加えることによって増殖していく。マク ロウイルスが特に問題となっている理由は、データファイルであるために ューザーの警戒感が低いことと、マクロプログラムは Visual sic などの 簡単な言語で作成されることから、新種や亜種のウイルスが次々に作られ る危険が大きいためである。 他に、ウイルスにはシステム領域感染型とファイル感染型の両方の特徴 をもつ複合型ウイルスのタイプがある、この複合型ウイルスは、℃ OM や . EXE ファイルに感染するだけでなく、フロッピーディスクやハードディ スクのシステム領域にも感染する。このウイルスに感染したフロッビーか ータを起動すると、ウイルスがメモリに常駐するばかりか、ハー らコンビュ ドディスクのシステム領域にも感染する。このウイルスの種類そのものは 少ないが、 2 つの感染形態をもっことによりシステム全体に簡単かっ急速 に感染するため、ウイルス感染被害の大きな割合を占めている。 さらに、ウイルス自身がユーザやワクチンに発見されないようにさまざ まな工夫を凝らしたタイプのステルス型がある。ステルス型は、効果的に 身を隠すことができるため、発見は難しいといわれる。また、自分自身を 複製するたびにウイルス自体の暗号化コードをランダムに改変する ミューテーション型 ( ポリモフィック型 ) もやっかいである 0 、 - ユーーーフー ション型ウイルスは、感染するたびに暗号化ルーチンが変化するパターン をとるのが特徴である。このため、既存のウイルスパターンを検索する大 半のワクチンソフトでは発見が極めて困難となっている。このウイルスの 流行は「ミューテーションエンジン」の開発によるところが大きいとされ ている。このエンジンを使用すると、通常のウイルスを、 ミューアーション 0 ミューテーションエンジンの ( 「 : 者・ 型に改造することができるからである "Dark Avenger" ( グループか個人かは不明である ) が、同工ンジンをア この種のウイルスが広まってい ンダーグラウンド B で公開したために る。 186
してウイルスは単独では存在せず、自己増殖する手段として、他のプログ ラムを改変して潜んでいることが多い。 ョーグルトなど体に良いカビ菌食品と長寿で知られるプルガリアは、 19 90 年前半までなぜかコンヒ。ュータウイルスの数が異常に発生した国でもあ り、世界のウイルス工場、ウイルス発祥地として知られている。 NCSA で は悪名高い Dark Avenger というウイルスもプルガリア発のウイルスであ る。プルガリアでウイルス出現が多い背景に、東西冷戦や欧州の経済沈滞 があるのだそうである。プログラムの訓練は受けて技能はあっても失業中 のプログラマーがたまたまプルガリアに多かったためであろうと分析され に独自のカウンターを持つものもある。悪質なウイルス ( = 発病ルーチン 満たされたときに発病する。特定の日付に発病するものや、ウイルス内部 感染の次は発病である。発病ルーチンを持つウイルスは、所定の条件が ( 2 ) ウイルス感染後の徴候と検出 ている。 180 ・メモリーやディスク容量の減少 コンピュ ータウイルスの一般的な徴候をあげると次のようなものがある。 染を識別する必要がある。 されすにいる間 ) では特に徴候を示さないため、ウイルス検出ツールで感 期化などを行ったりする。そして一般的にウイルスは感染しただけ ( 検出 して、入出力デバイスを妨害し、ファイルの上書きやハードディスクの初 るものなどがある。悪質なウイルスは、データを継続的に修正したり破壊 ファイルサイズを大きくするものや処理速度 ( パフォーマンス ) を遅くす えるものまでヒ。ンからキリまである。最も害の少ないウイルスには、ただ 蔓延し、意図的にシステム全体にダメージを与えたり、破壊的な被害を与 まんえん ウイルスの中には軽微な兆候だけで済むものから、企業システム全体に 費するので、有害なものといえる。 を持つウイルス ) ではなくても、システムのメモリ、ディスク容量等を消
けられることが多い。 ウイルスに対抗するにはウイルス検出 ( スキャン ) ツールや常駐監視 ( モニタリング ) ツールなどを常備しなければならない。機能的に分類し ておおまかに以下のツールがあげられる。 ・スキャナ ・モニター ・検出およびチェッカー ・コード識別 これらツールにはそれぞれの長所や短所があるので、システム運用担当 者は一応の知識を仕入れておくべきであろう。 ウイルスの検出には、「スキャン法」と「 AI 検出法」の 2 つが使われる。 既知のウイルスにはスキャン法が有効である。ウイルスに感染した実行ファ イルやプートセクタのコード列をスキャンすれば、そのウイルスの特徴的 なコード列を検出することができる。一方、マクロウイルスや未知のウイ ルスの場合は、コード列をスキャンしても特徴を検出するのは困難なため、 メモリ上で実行されるコードを動的に監視して、不正と推定される動作を 検出する。スキャン法に比べると検出の精度は低いが、マクロウイルスや 未知ウイルスを検出するには AI 検出法を用いるしかないと考えられてい る。 ウイルスの感染を検出したら、徹底して検出と除去を行う必要がある。 ータやフロッヒ。ーにウイルスが残っていれば、そこから再び増殖 コンヒ。ュ してしまう。会社や自宅を含めて、自分が使用しているすべてのコンヒ。ュー タやフロッピーについて、アンチウイルスで検出と除去を行う。ネットワー クの場合は、管理者に報告して接続されているすべてのコンヒ。ュータをチェッ クしなければならない。 ウイルスが元のファイルを変えずに自己のコードを追加するだけの場合 は、アンチウイルスによってそのコードを除去すれば元のファイルを復元 できる。しかし、元のファイルを上書きするウイルスやプートセクタに感 192
第 1 章リスク管理と情報セキュリティ ウイルスが発病してしまい、パソコンに保存されたすべてのデータが壊 れてしまうなど手後れになることも珍しくない。ウイルスそのものの数が 多ければ感染範囲も急速に広がる。またソフトウェアメーカーが品質管理 を行う際、あまりにも古い検索ソフトを使っていればその製品を通じてウ イルスも広がってしまう。それらの製品をどんなユーザーが使うかも重要 になってくる。新しいソフトを入手しても、ウイルス検索を行わずにその まま実行してしまう・・・このようなユーザーの存在もウイルスが大流行する 原因の一つとなっている。 ウイルスに感染すると、企業内のすべてのパソコンを 1 週間、場合によっ て数カ月間は治療しなければならない。最悪の場合、その間はシステムが 停止することもある。一度、企業内にウイルス感染が判明すると、システ ム管理者は、時間をかけてでも徹底的に駆除しなければ、たちどころに拡 散してしまう。この間、コンピュータが停止したことによる損失は膨大な ものになる。同時にワクチン・ビジネスも拡大し、べンダーやシステムイ ンテグレータの関心も急激に高まってきた。いまやウイルス対策は常識で あり、ウイルス感染でふだんの業務に差し支えていては企業の恥といえる。 企業のネットワーク化の進展に伴い、実際にこうした大規模なウイルス被 害が発生するようになってきた。 ウイルス被害急増の最大の原因は、 96 年以降、日本でも猛威を振るいは じめたマクロウイルスと呼ぶウイルスの種類の存在が大きい。マクロウイ ルスは、マイクロソフトのワープロ・ソフトである W 。 rd や表計算ソフト の Exce1 の文書ファイルに感染する新種のウイルスであり、これらのソフ トのマクロ機能を利用して動作することから、マクロウイルスと呼ばれる。 最近ではハードウェアや OS の違いも吸収し、データ・ファイルに乗って 流通するマクロウイルスというものまで現われている。 従来、フロッピー・ディスクや CD - ROM 経由で感染していたウイルスと は異なり、マクロウイルス電子メールの添付ファイルやインターネット経 由でダウンロードしたファイルに潜んで感染する。そして一度感染してし
第 3 章企業のセキュリティ対策 7 カ条 トシステムは、ステルス型ウイルスが含まれているファイルの感染 防止にも効果を発揮する。 転ばぬ先のウイルス対策 ( 7 ) スノヾ 195 習慣をつけることである。そして、近年、マイクロソフト社の MS word と すること。また、電子メールを相手に送信する前にはウイルス検査を行う 勧める。それには、メールの添付ファイルはウイルス検査後に開くように また、ファイルのダウンロード後は必すウイルス検査を行うことを強く たほうがよいだろう。 クアップデータにない貴重なデータが保存されている場合にとどめておい いかどうかを確認する必要がある。ファイルを修復するのは、そこにバッ もちろん、そのバックアップデータ自体ウイルスに感染してしまっていな それをそのバックアップデータと交換してしまったほうがより安全である。 もっと困難になる。このため、感染ファイルそのものを修復するよりは、 こうした場合、どのファイルの内容が変更されたのかっきとめることは らないままでいることがよくある。 うものがあるため、ユーザ自身が何かデータが破壊されたかどうかもわか 中にはファイル内の情報の一部分のみ変更するか、ランダムに変えてしま また、 Nomenklatura ウイルス、 Phoenix ウイルスのように、ウイノレスの いことが多いことを知っておくべきである。 感染前のファイルのデータが破壊されるだけなく、その部分は復旧できな ないこともある。たとえば、ウイルス自体の持っバグ ( 欠陥 ) があると、 さらに、これまで紹介してきた典型的なウイルス対策だけでは収拾でき 回っているのが実情である。 究者がそれに負けないウイルスプログラムを「開発」し、知らない間に出 されているが、どんな優れた防除ソフトでも、しばらくするとウイルス研 て行えるわけではない。ウイルス防除のためのソフトウェアは数多く発売 しかし市場に出ているウイルス対策ソフトで、こうした修復作業がすべ
第 3 章企業のセキュリティ対策 7 カ条 ころ完全に姿を消したウイルスはないが、なかには、すでにコンヒ。ュ 社会から忘れられてしまったウイルスもある。 発病ルーチンを持たないウイルスもトラブルの原因となりうる。システ ム内に存在するだけでハードディスク容量やメモリを消費してしまうので、 ウイルス感染が繰り返されるとシステムのパフォーマンスが著しく低下す た「被害」をもたらす場合もあるので、ウイルスはどのよう うし、つ る。 なものでもすべて排除すべきであろう。 ウイルスには、プログラムやデータを破壊したりコンヒ。ュータをハング アップさせるなどの大きな被害を与えるものもあるが、特に何も悪いこと をしないものもある。悪いことをしないといっても、増殖することによっ てディスクやメモリをむだに使ったり、オリジナルのファイルを改変する 問題がある。また、特定の日時などの条件がそろったときに大きな被害を 与えるウイルスも多いので、何もしないように見えても、ウイルスを放置 してはいけない。 ータに大きな被害を与えるプログラムでも、自己増殖の ー・方・、コンビュ 機能を持たないものは「トロイの木馬」と呼ばれて、ウイルスとは区別さ れる。勝手に増殖や感染しないという点で、ウイルスよりはるかに扱いや すい。 ( 4 ) コンビュータウイルスの分類 ータウイルスにはどのような種類があるのだろうか。おおざっ コンピュ ばに分類して、コンピュータウイルスは以下の種類で分類されることが多 ・プログラム感染型 ・システム感染型 ・プートセクタ感染型 ・ファイル感染型 ・マクロウイルス 183
MS ExceI で作成されたファイルのマクロウイルス ( マクロ命令で記述され たウイルス ) 感染件数が激増している。 この対策としては、「マクロ機能の自動実行」を避けることであろう。 また、シフトキーを押し続けながら文書ファイルを開くことによりマクロ の自動実行を止めさせることができる。また、インターネットからファイ ルをダウンロードした場合は、ウイルス検査を行ってから実行する習慣を つける。圧縮形式のファイルの場合は、解凍後にウイルス検査を行う。ま た、解凍前にウイルス検査を行うことができるワクチンソフトもあるので、 有効に活用してみることである。 感染フロッヒ。ーディスクが挿入されている場合であっても、 DIR コマン ドを実行しただけではコンピュータはそのウイルスに感染することはない。 感染ディスクを使用中、 "DIR" コマンドを実行するだけでそのコンピュー タはウイルスに感染しない。通常、 DIR コマンドを実行すると、フロッピー ディスクのプートセクターの内容はバッフアにロードされる。フロッヒ。ー ディスクがシステム領域感染型ウイルスに感染している場合、そのウイル スのプログラムコードもバッフアにロードされる。 このバッフアをチェックする検索プログラムが動作していると、バッファ 内のコードを検出して「〇〇ウイルスをメモリ内で発見した場合は、ただ ちにコンピュータの電源を切ってください」等の警告メッセージを表示さ れることがある。しかしこのバッフア内のウイルスに CPU の制御が渡され ることはないので、この時点では実際に何も危険はないが、警告メッセー ジは単純に無視してしまうのは危険である。このメッセージが表示された ら、未感染のシステムディスクでコンピュータを起動してハードディスク こでもし何のウイルスも発見され を検索しておくことである。そして、 なければ、最初に使用されたフロッヒ。ーディスクにウイルスが感染してい たことがはっきりする。ただちにフロッヒ。ーディスク上のウイルスは、そ のウイルスに見合った方法で除去しておかなければならない。 そして、予防対策のほかに、「ケア」も余念なく行っていただきたい。 196
「モニター」と呼ばれるツールである。ウイルス検出用のモニタープログ ラムは、ディスクおよびファイルのリアルタイム監視、ウイルスらしい動 作やコードのエキスパートシステムによる分析、ステルス型および多形態 型固有の検出など、保護機能のさまざまな組合せで利用されている。 モニターベースのウイルス予防は、自動的に作動することとあまり慣れ ていないユーザーでも忘れずに動作させておくことができることである。 しかし自動的に動作し続けることにより、逆に他のソフトウェアに必要 な貴重なメモリー空間を占領してしまうことが欠点としてあげられている。 また通常のディスクへの書き込みや、従来とは異なるバックアップ技法、 あるいはデータ圧縮やセクター編集ソフトウェアなどを使用すると、それ らに対する過剰反応のため誤った警告を発してしまうこともある。 シグネチャスキャンは未知のウイルスは検出できないが、この欠点を埋 めてくれるのが、マルチレベルの「ジェネリック検出」と呼ぶウイルス検 出機能である。ジェネリック検出は、チェックサム比較、チェックサムの 分析と消去作業、エキスパートシステムによるウイルス分析など、各種の 防衛機能の組合せで構成されており、未知のウイルスを検出することに効 果があるといわれている。シグネチャベースに加えて、チェックサム比較 により、システムに感染がないことが分かっているときに記録されたチェッ クサムと、疑わしいファイルやディスクの現在のチェックサムを比較する ことを行うからである。チェックサムはファイルのバイトを順番に読み取 るアルゴリズムにより作成され、基本的にファイルを表す固有の数値コー ドを作成するものである。シグネチャがウイルスコードの指紋であるとし たら、チェックサムはウイルスが感染したファイルの指紋、つまりファイ ルのビット列を示す固有な数値を検出するためのものである。 さらに、ウイルスコードを識別するエキスパートシステムも有効である。 ウイルスエキスパートシステムは、疑いのあるコードに数千から数百万回 の検査を行って、ウイルスの存在を判定し、ウイルスの解読コードを識別 する検査を行って、ウイルスの暗号を解読するものである。こうしたエキ 194
第 3 章企業のセキュリティ対策 7 カ条 イルス対策だろう。コンピュータウイルスにはあたかも生物学的ウイルス のようなライフサイクルがあるからである。コンビュータウイルスは増殖 まんえん しながら蔓延するように設計されたプログラムであり、感染者は発病する までその存在にさえ気づかないことが多い。コンヒ。ュータウイルスの感染 と発症には、作成→自己増殖→潜伏→発病→対策→絶滅の特徴的なパター ンがある。 ただ 1 点違う点は、コンピュータウイルスはあたかもウイルスのごとく 振る舞うものの、実際の生物ではないので、あらかじめ発生の種があるわ けではない。コンピュータウイルスには厳然として「ウイルス作家」が存 在し、その作家がおそらく数週間かけて、アセンプリコードと格闘して 「開発」したプログラムコードである。いかにパフォーマンスよく急速に 広まり、どのようにしたら隠然とかつインパクトのある損害が与えられる かの「研究成果」の証しがコンヒ。ュータウイルスの生態として発現してい るのである。 しかし、いったん作成され、「感染」してしまってからは、生態の抗体、 抗原、免疫のようなパターンと似通った振る舞いをする。 たとえば、ウイルスは自分自身を複製して次々と「増殖」していく。ウ イルス感染が大きな問題となっている理由の一つに、ウイルスの菌株がこ れまで以上に増えていることがあげられる。 また、現在の感染が検出されたウイルスのほとんどは、侵入してから平 均 3 年経過したウイルスによって引き起こされている。、、出来の良い " ウ イルスはすぐには発病しないように作成されているので、発病するまでに 広範囲に感染して被害を大きくするのである。統計から割り出せば約 1 , 000 ほどのウイルスしか存在しなかった 1990 年代前半に作成されたウイルスに よって現在の感染が引き起こされていることになる。 1998 年現在、少なくとも数千のウイルスが存在しており、それらの潜伏 パターンが同じようなものであるとしたら、新ウイルスの発現が急増する ことにより、もっと深刻な感染につながる可能性があるということだ。そ 1 79