ウィルスの基礎知識

コンピュータウィルスは世界中を脅威の渦で巻き込んでいます。しかしながら、コンピュータウィルスの存在は知っているけど実際にどのような行動をし、どのように感染し、どのような被害をもたらすのかといった情報について詳しく知っている人を探した場合、その数はぐっと少なくなるのではないでしょうか？IPA公開のウィルス認知度によると「詳しく知っている」が23.8%、「概要は知っている」が61.8%、「存在は知っている」が14.1%、「知らない」が0.8%という調査結果がでています（平成13年度統計）。この結果からわかることは、85%以上の方はウィルスの概要までは知っている、ということがわかります。しかし、なぜでしょうか？IPAの2000年の感染経路統計をみると、国内海外合わせて電子メールからの感染が90%以上という結果がでています。ウィルスの概要を知っている方が85%以上いながら、90%以上の人は最も単純な方法でウィルスに感染していると言うことができます。とは言っても最近のウィルス技術の進歩もめざましいものがあるため、一概に単純な方法であると言い切ることはできませんし、どのような経路で感染するのかはわからなくなってきています。管理人も今までに幾通ものウィルスメールが届いたことはありますが、最近ではダウンロードしたファイルにウィルスが含まれていることが多いような気がします。ウィルスに感染する人の多くは実は、自らの不注意であることがほとんどです。特に、会社内にはたいてい、そういう不注意が方がひとりはいるものです。身に覚えのある方も多いことでしょう。そこで、自分が感染源にならないためにも、ウィルスについての最低限の基礎知識を身に付けておきましょう。

■コンピュータウィルスの基本構造

コンピュータウィルスについて解説するときに、必ずといって登場するのが、感染・潜伏・発症という言葉です。感染とは、読んで字のごとくですが、コンピュータ内にウィルスが侵入することで、インターネットが主流でなかった時代はその感染媒体は主にフロッピーディスクやMOなどの記憶媒体からでした（ディスク感染型）。コンピュータウィルスに感染した状態になった場合、通常は特に目立った行動を取らないことが多いのでユーザーは感染したことにすら気づきません。次に潜伏ですが、潜伏とはある一定の条件が揃うまで破壊活動を行わずに身を潜めていることで、例えば「記念日になった」、「感染後、再起動の回数が特定の回数に達した」などの活動開始条件が揃った時に潜伏期間を終え活動し始めます。そして、その活動し始めた状態の事を発症といいます。

右図は1999年に世間を賑わせたウィルス、「Happy 99」の発症画面です。

■ウィルスの種類

それでは、ウィルスには一体どのような種類があるのかを実際に解説していきます。とはいってはウィルスの種類は非常に多岐にわたっており、全てを紹介していては日が暮れてしまいます。ここでは、ウィルスの種類を大きく３つに分けて解説していきます。ひとつは「ファイル感染型」、２つめは「マクロウィルス・ワーム型ウィルス」、３つ目に「トロイの木馬型」です。以下の表は2001年にトレンドマイクロのサポートセンターに寄せられた問い合わせをもとに順位付けを行ったものです。こう見てみると、猛威を振るったウィルスばかりありますね。なお、「トロイの木馬型」に関しては、「トロイの木馬の種類と仕組み」「トロイの木馬の駆除」で詳しく説明しているのでそちらを参照してください。

2001年ウイルス感染被害年間レポート（トレンドマイクロ調査）

順位	ウイルス名（通称）	ウイルスの種類	被害件数	発見時期
【1位】	MTX（マトリックス)	ファイル感染型	5406件	2000.9
【2位】	WORM_BADTRANS.B (バッドトランス.B)	ワーム	3498件	2001.11
【3位】	PE_MAGISTR (マジストラ)	ファイル感染型	1964件	2001.3
【4位】	WORM_HYBRIS (ハイブリス)	ワーム	1685件	2000.11
【5位】	WORM_SIRCAM.A (サーカム)	ワーム	1322件	2001.7
【6位】	NIMDA (ニムダ)	ファイル感染型	1102件	2001.9
【7位】	WORM_ALIZ.A (アリズ)	ワーム	1018件	2001.9
【8位】	X97M_LAROUX (ラルー)	マクロ型	764件	1997.11
【9位】	WORM_BYMER (バイマー)	ワーム	400件	2000.10
【10位】	VBS_HAPTIME (ハッピｰタイム)	VBスクリプト型	347件	2001.4


	◎ファイル感染型昔からあるウィルスの元祖とも言えるもので、プログラムファイルに直接感染するタイプのものです。Eメールに添付されたプログラムファイルや、外部から入手した実行ファイルなどが主な感染源となっています。このタイプのウィルスは、Windowsなどの構造について高度な知識がなければ制作することができません。インターネットからダウンロードしたオンラインソフトを実行するとウィルスに感染するというケースが多いので、対策としてはできるだけ、ネットで流通しているオンラインソフトを入手する際には、「窓の杜」や「Vector」などでダウンロードするようにした方が良いでしょう。


	◎マクロウィルス・ワーム型ウィルスマクロウィルスとは、Windows本体や、マイクロソフトのオフィスシリーズ（MS Word、MS Excelなど）に付属する「マクロ」と呼ばれる簡易プログラムの仕組みを悪用して作られたウィルスのことです。マクロウィルスは、ユーザに気づかれないようにこっそりと文書ファイルに「感染」し、自己増殖や破壊活動を行なうよう設計されています。比較的簡単に作成できるため、現在もっとも一般的なウィルスとなっており、亜種も発生しやすいウィルスです。また、新種の発生も著しく、マクロを実行できる環境さえあればどこでも感染し、複数のOSをまたがって大量感染するケースもあります。　これに対してワームとは、ウィルスの構造ではなく行動パターンから名づけられたもので、電子メールなどを利用することで人間の力に頼らずとも自力で感染範囲を広げていくウィルスのことを言います。ワームは主に、スクリプト言語やマクロなどの簡易的な技術で作成されているため、マクロウィルスにとっては相性がよく、最近のウィルスの主流はワーム型のマクロウィルスとなっています。

■マクロウィルスとは

それでは、マクロウィルスについてもう少し詳しく解説していきます。現在、Windowsの世界で猛威を振るっているのが、「マクロウィルス」と「ワーム型ウィルス」です。さらにこの２つの性格をあわせもつものが「ワーム型のマクロウィルス」と呼ばれるものです。

マクロウィルスは前述したように、Windows本体や、Word、Excelなどのアプリケーションに付属する「マクロ」という仕組みを悪用したものです。「マクロ」とは複雑な操作を自動化するために使われるもので、マクロを使うと、「Excelで作った住所録から取り出した住所のデータを、Wordで作ったフォームに組み込み、印刷する」といった操作を、クリックひとつで行うことができるようになります。マクロウィルスはこの便利な機能を利用して、Windowsのアプリケーションソフトの機能を乗っ取るようになります。そして、ウィルスに感染したメールをばらまいたり、システムを破壊したりといった不正活動を行います。以下の図はExcelデータにマクロが含まれている場合に表示されるダイアログで、「マクロを無効にする」をクリックすればマクロを起動せずにファイルだけを開くことができるようになります。信頼できるデータファイル以外はマクロを無効にして開くことが望ましいでしょう。

◎Word、Excel、PowerPoint、Outlook のマクロセキュリティレベル

マイクロソフト社のオフィスシリーズには、マクロのセキュリティレベルを設定できる項目があります。マクロを含んだデータファイルをよく使用する方は、このセキュリティレベルを適切に設定しておく必要があります。以下はExcel2000での設定例ですが、Wordや、PowerPoint、Outlookなどの設定方法も同様なので参考にしてください。

Excelを起動して、「ツール」→「マクロ」→「セキュリティ」をクリックします。

以下のような「セキュリティ」画面が現れます。Excelはデフォルトでは「中」レベルに設定されており、「コンピュータに損害を与える可能性があるマクロを実行する前に警告」するようになっています。このセキュリティレベルが「低」になっている場合は、危険極まりないので必ず「中」以上に設定するようにしてください。企業などでは、「中」のセキュリティに設定しておくと、マクロを有効にするか、無効にするかのダイアログが現れた際に、よくわからないからといって、とりあえず「マクロを有効にする」をクリックするような方がいないとも限らないので、署名のないマクロを自動的に実行不可にする「高」に設定しておいた方がよいかもしれません(勿論、署名などの作成に手間はかかりますが）。

マクロウィルスには大きく分けて２種類あります。ひとつは「VBA型のマクロウィルス」、もうひとつは「VBS型のマクロウィルス」です。以下にはこの２つの種類のウィルスについて紹介します。

■VBA型のマクロウィルス

VBA（Visual Basic for Applications）とは、WordやExcelに組み込まれているプログラミングのことで、VBA型のマクロウィルスはこれを使用して制作されています。このタイプのウィルスはVBAの組み込まれているアプリケーションソフト（マイクロソフト社のオフィスシリーズ）以外には感染せず、過去に大流行しました。しかし、最近ではほとんど見かけることはありません。

■VBS型のマクロウィルス

Windows98以降のWindowsにはWSH（Windows Scripting Host）というプログラム言語が最初から組み込まれています。これは本来は、Windowsの操作を自動化するために用意された機能でしたが、この言語自体があまりに強力すぎたために悪用される結果となっています。悪用されるのは、WSHの一部であるVBS（Visual Basic Script）という機能です。VBSを利用してつくられたマクロウィルスの実体は、ただの文書ファイルに過ぎず、うっかりダブルクリックをしてしまうと、文書内に記述されている命令どおりにWindowsが操られてしまうというものです。この典型的な例が「I Love You メール」で「Outlookのアドレス帳を開いて、中に記録されている全アドレスに、自分自身と同じプログラムを添付したメールを出せ」という命令が書かれていた場合は、そのとおりのことを実行するようになっているのです。その結果、アドレス帳などに記述されていた友人や、会社の同僚などに勝手にメールを送り、相手がその添付ファイルを開いてしまうと、その人もウィルスに感染してしまうことになります。つまり、このタイプのウィルスは「人間関係を破壊する」ウィルスであるということができますが、こんなウィルスで壊れる程度の人間関係ならむしろ、私はそんな関係は要りませんが・・・。

■ワームとは

最近は、インターネット経由での大規模な感染事故を引き起こすウィルスが増えてきました。そうしたウィルスの代表格と言えば、MTX（マトリックス）ウィルスです。これは、メールの添付ファイルとして送られてくるウィルスで、このウィルスを実行してしまうと被害者のコンピュータに登録されているメールアドレスに自分自身の複製を添付したメールをこっそりと送信をします。従来からのウィルスは、FDやMOなどのディスク感染型が主でしたが、これに対して、マトリクスは「自分で感染範囲を拡大していく」という性質のもので、このような機能を持ったウィルスのことを「ワーム」と呼びます。

このワームの機能はVBSマクロを使用することで簡単に作成することができ、それに対してマイクロソフト社のOutlook/OutlookExpressはマクロウィルスに対するガードが薄いため、たやすく操られてしまうという欠点があります。このような事情から、多くのVBS型ウィルスはワームとしての機能を持つようになりました。現在、有名なワーム型のウィルスとしては「WORM_KLEZ」（クレズ）で、被害件数も圧倒的な数にのぼっています。他にも「Melissa」（メリッサ）、「ラブレター」「HOMEPAGE」など、主要なVBS型マクロウィルスは全てこのスタイルです。いまや、ウィルスの主流は「VBSマクロ + ワーム」の複合型になったといってもよいでしょう。

■コンピュータウィルス関連リンク

企業・団体・組織	百貨辞典
トレンドマイクロ	ウィルス百科事典（トレンドマイクロ）
シマンテック	ウィルス辞典（シマンテック）
McAfee	ウィルス百科事典（ネットワークアソシエーツ）
IPAセキュリティセンター	IPAに届けられたウイルス
日本コンピュータセキュリティ協会	ネットワークセキュリティ読本