●コンピュータウイルス対策
ここでは、コンピュータウイルスの現状、種類、対策などについてご説明します。
※このページは『PACK for WIN 1998年前期版』『PACK for MAC 1998年前期版』
掲載記事を一部加筆・訂正し、再編集したものです。
《1.コンピュータウイルスとは何か》
最近、コンピュータウイルスの話題が頻繁に、新聞・雑誌・テレビなどで取り上げられています。コンピュータウイルスという言葉は、すでに皆さんもよくご存じかと思いますし、小説や映画の題材になるなど、一般的な用語として定着しつつあります。
しかし、それらのドラマや小説の中で扱われるコンピュータウイルスの多くがモンスターやばい菌のように生物的にデフォルメされており、言葉としては知っていても、その実体を理解されている方はまだまだ少ないように思います。
では、具体的にコンピュータウイルスとはどういったものなのでしょう。
よく誤解している方がいらっしゃいますが、コンピュータウイルスは、インフルエンザのように人体に感染することはありません。なぜなら、コンピュータウイルスは自己増殖機能を持つ、非常に小さなコンピュータプログラムに過ぎないからです。
感染・潜伏・発病といった生物界のウイルスに似たサイクルと機能を持っていることから、コンピュータウイルスと名付けられています。
もちろんプログラムですから自然発生するわけではなく、多くは悪意の第三者によって作成されたものです。
そして、当然のことながら、プログラムであるコンピュータウイルスは、実行されない限り、感染活動を行うことはできません。
通商産業省告示第429号では、「コンピュータウイルス」を次のように定義しています。
コンピュータウイルスの定義
第三者のプログラムやデータべースに対して意図的に何らかの被害を及ぼすように作られたプログラムであり、次の機能を一つ以上有するもの。
- (1)自己伝染機能
- 自らの機能によってほかのプログラムに自らをコピーし、またはシステム機能を利用して、自らをほかのシステムにコピーすることにより、ほかのシステムに伝染する機能
- (2)潜伏機能
- 発病するための特定時刻、一定時間、処理回数などの条件を記憶させて、発病するまで症状を出さない機能
- (3)発病機能
- プログラム、データなどのファイルの破壊を行ったり、設計者の意図しない動作をするなどの機能
※通商産業省告示第429号より抜粋つまり、「悪意を持って作成された、感染、潜伏、発病といった能力のいずれかを持つプログラム」とまとめることができます。被害の大小にかかわらず、こうしたプログラムをコンピュータウイルスと呼ぶのです。
《2.コンピュータウイルスの分類》
コンピュータウイルスは、感染対象によって大きく二つに分類することができます。
■ブートセクタ感染型ウイルス
- ブートセクタ感染型ウイルス
- ファイル感染型ウイルス
ブートセクタ感染型ウイルスは、フロッピーディスクまたはハードディスクのブートセクタやパーティションテーブルに感染します。
感染したコンピュータは、起動時にウイルスがメモリに常駐するため、起動後に挿入されるフロッピーディスクに次々と感染していきます。また、感染したフロッピーディスクを挿入したままコンピュータを起動すると、そのコンピュータのハードディスクにも感染してしまいます。
コンピュータ起動時に実行されるブートセクタ感染型ウイルスは、ユーザ自身がウイルスの実行を制御できないため、ウイルス対策ソフトウェアなどでウイルスを駆除しない限り、永久にコンピュータはウイルスに乗っ取られた状態になってしまいます。そして、発病すると多くの場合、ハードディスクが初期化されるなどしてデータを失うことになります。また、Windows NTなどのようにウイルス作者がウイルスを作成した後に開発されたOSを使っている場合は、ウイルス作者が想定していたMS-DOSと起動手順が異なるために、コンピュータがまったく起動できなくなる場合もあります。
昨年も、某メーカから出荷されたコンピュータに、ブートセクタ感染型ウイルスが感染していたことが報道されています。
このタイプの代表的なウイルスとしては「Anti-CMOS(アンチシーモス)」「FORM(フォーム)」などがあります。
- ブートセクタとは、コンピュータが起動するときに参照する、フロッピーディスクやハードディスク内にある特殊なデータエリア。これが破壊されると、そのフロッピーディスクやハードディスクから起動できなくなってしまう。
- パーティションテーブルとは、ハードディスク内の管理データの一つ。これが破壊されると、ハードディスク内のデータをまったく読めなくなってしまう。
復旧しても、多くの場合、ハードディスク内のデータやファイルは失ってしまうことになる。
■ファイル感染型ウイルス
ファイル感染型ウイルスは、一般にプログラムファイル(拡張子がCOM、EXEなどのファイル)に感染します。
感染したプログラムファイルを実行すると、本来のプログラムに先立ち、感染したウイルスが実行され、直接ほかのプログラムファイルに感染するかメモリに常駐します。メモリに常駐した場合は、その後に実行されるプログラムファイルに次々と感染していきます。
ファイル感染型ウイルスは、ユーザが感染ファイルを実行しない限り活動を始めることはありませんが、ブートセクタ感染型ウイルスのようにハードウェアの物理的な接触がなくても、メールに添付されたり、電話回線を通してファイル転送するなどして感染ファイルが広がるため、大規模感染の可能性を秘めています。また、感染活動における機種依存がブートセクタ感染型ウイルスに比べると低く、多くのファイル感染型ウイルスは、DOS/V機(PC/AT互換機)でもPC-98シリーズでも、MS-DOSが動作する環境であれば感染活動を行うことができます。
一昨年以降大きな問題となっているマクロウイルスも、感染対象ファイルが異なりますが、実はファイル感染型ウイルスの一種です。
このタイプの代表的なウイルスとしては、マクロウイルスのほか、「Yankee Doodle(ヤンキードゥードゥル)」、「Cascade(カスケード)」などがあります。
■そのほかのウイルス
ウイルスは、基本的には「ブートセクタ感染型」と「ファイル感染型」のいずれかですが、これらの基本的な感染機能をもとにしながらも、特殊な特徴を有するウイルスが存在します。
例えば、感染するたびに自分自身(ウイルスコード)に異なった暗号化を行う「ポリモフィック型ウイルス」や、DOSの割込み命令を制御して自分自身の存在を隠そうとする「ステルス型ウイルス」、ブートセクタ感染型ウイルスとファイル感染型ウイルスの双方の感染機能を備えた「複合感染型ウイルス」などがあります。
column●マクロウイルスの仕組み
現在最も流行しているマクロウイルスは、Microsoft ExcelやMicrosoft Wordなどのドキュメントファイル(マクロプログラム)に感染する、ファイル感染型ウイルスです。マクロウイルスが発見されるまでは、一般的に実行ファイル以外にはウイルスは感染しないと言われてきましたが、95年夏に発見された「WordMacro/Concept」によって、その常識は覆されました。
これまでのファイル感染型ウイルスにないマクロウイルスの特徴に、同じバージョンのアプリケーションソフトが動作すれば、OSに依存することなく感染する場合がある、ということがあります。
つまり、Windows 95環境で作成されたドキュメントファイルがマクロウイルスに感染していた場合、Mac OS環境においても感染する可能性があります。
さらにマクロウイルスは、これまでのウイルスと比較すると、非常に容易に改造することができるという特徴を持っています。現在国内で猛威をふるっている「ExcelMacro/Laroux」には破壊活動などの発病現象はないとされていますが、誰かの手によって「ExcelMacro/Laroux」が改造され、発病機能を持ったバージョンが配布されてしまう可能性は常にあるのです。
マクロウイルスはドキュメントファイルに感染するため、その特性として、知らぬ間に(かつ瞬時のうちに)、大規模な感染を引き起こす可能性が非常に高いと言えます。感染したドキュメントファイルが企業内のネットワーク環境で共有文書として使用されたり、あるいは電子メールに添付されて配布されるといった状況を考えてみれば、すぐに納得できるでしょう。
実際、97年の11月には、環境庁のホームページに掲載されていた情報のドキュメントファイルにマクロウイルスが感染していたというケースもありました。
情報処理振興事業協会(IPA)のウイルス感染被害届出報告では、96年の届出のうち、電子メールが感染経路と考えられるケースはわずかに7%でしたが、97年には33%と、3件に1件が電子メール経由による感染となっています。これらの多くはマクロウイルスの感染によるものです。
このように、今後ますます普及していくと思われる電子メールやインターネット上のホームページ、ftpサイトは、マクロウイルスの巣窟と化す脅威に常にさらされていると言ってよいでしょう。
《3.コンピュータウイルスの感染兆候》
コンピュータウイルスは、ウイルスに感染していないクリーンな環境で突然発生することはありません。必ず、外部との接触の機会に侵入し、感染活動を行うことによってのみ広がっていくのです。
つまり、外部とファイルやメールのやりとりを行う際にのみ十分な注意を払えば、ウイルスに感染する可能性を最小限に抑えることができます。
■コンピュータウイルスの感染兆候
コンピュータウイルスは、多くの場合、感染しただけではたいした被害は出ません。大きな被害が出てくるのは発病してからであることがほとんどです。その意味でも、発病前にコンピュータウイルスを発見することが重要な課題となります。
実際にコンピュータウイルスに感染すると、その影響で次のような兆候が出てくることがあります。
- システムが突然止まる。
- システムが起動できなくなる。
- ファイルがいつの間にか消えてしまったり、ファイル属性が勝手に変更される。
- プログラムサイズやタイムスタンプなどが、なぜかオリジナルと異なっている。
- 意図しない不自然なディスクアクセスがある。
- Microsoft WordやExcelでドキュメントファイルを扱う際に、
- 意味不明のダイアログが表示される。
- ドキュメントファイルの内容が勝手に変更される。
- マクロの表示や編集ができない。
- 書き込み禁止のエラー表示時にマクロ命令が表示される。
- システム起動時に表示画面の色が以前と変わっている。
- ステータスバーに文字列が表示され、左右に動く。
- メニューの文字列が変更されている。
- ユーザの意図しない印刷が行われる。
これらすべてがコンピュータウイルスの感染によるものであるとは断言できませんが、これらの兆候が確認された場合は、念のために必ずウイルス対策ソフトを使って、ウイルス検査されることをお勧めします。
- 直感的にいつもと何かが違うと感じる。
※IPAの「パソコン・ユーザのためのウイルス対策7箇条」の一部を抜粋、再構成
column●デマウイルス情報に注意!
コンピュータウイルスの感染経路として、電子メールの危険性に対する認識が高まるにつれて、その状況を逆手にとって、いたずらをする人達がでてきました。それが、電子メールを使ったデマウイルス情報です。
デマウイルスとして有名なものには、「AOL4FREE」「BuddyLst.ZIP」「Bud Frogs Screen Saver」「Deeyenda」「Ghost.exe」「Irina」「Join The Crew」「A Moment of Silence」「PenpalGreeting」「Returned or Unable to Deliver」「Valentine's Greetings」などがありますが、その手口はおおよそ「不幸の手紙」(チェーンメール)のようなものです。
すなわち、「電子メールを通じて感染する非常に危険なウイルスが蔓延している」または「強力な新種ウイルスが発見された」などと書かれており、ウイルスの具体的な説明の後に、「危険なウイルスの被害に遭わないようにするためにも、このメールをあなたの友達、家族、ほかのニュースグループ、所属しているメーリングリストなどに転送してあげてください」といった内容になっています。
これらのデマウイルス情報の狙いは、その電子メールのメッセージが増殖して世界中を駆け巡ることにより、不安や混乱を撒き散らすことにあります。また、「Irina」のように広告宣伝効果を狙ったものもあります。
確かに電子メールに添付されているウイルス感染ファイルを実行、または開いた場合には、ウイルスに感染する危険性があります。しかし、電子メールの本文(テキストファイル)を読むだけでウイルスに感染することはありません。
もし、このようなメールを受信した場合には、すみやかに削除しましょう。くれぐれも転送して混乱を増やすようなことがないよう、注意してください。
また、新種ウイルスの情報などは、送信者に事実関係を確認した後、転送禁止としたうえで関係者に連絡するようにしましょう。
なお、WordやExcelなどのドキュメントファイルが添付ファイルとして添付されていた場合は、念のためローカルディスクに保存して、その場でウイルス検査してから開くことをお勧めします。
《4.コンピュータウイルスの環境別感染路》
ここではいくつかのパソコン環境ごとに、考えられるウイルス感染経路と、対応するウイルス対策ソフトウェアについて説明します。
■スタンドアロン環境
(コンピュータをネットワークに接続せず、単独で使用している環境)
この環境におけるウイルス感染経路は、フロッピーディスク、MO、ZIP、CD-ROM、CD-Rといったリムーバルメディアと、外部で使用されたハードディスクなどに限定されます。
基本的には、出所不明な外部からのディスクやプログラム、マクロが含まれるWordやExcelのドキュメントファイルを使用しない限り、ウイルスに感染する可能性は極めて低いと考えられます。
しかし、まれに市販ソフトや雑誌の付録CD-ROMがウイルスに汚染されていることもあり、絶対に安心と言い切ることはできません。すでにウイルスに感染してしまっている場合や、万が一のウイルス侵入を確実に防ぐためにも、ウイルス対策ソフトウェアをインストールしておいた方がよいでしょう。
すでにウイルスに感染している場合でも、ウイルス対策ソフトウェアはインストール時にウイルス検査を行いますので、早期発見に役立ちます。
使用するウイルス対策ソフトウェアは、一般的なクライアント用ソフトで十分です。
クライアント用ウイルス対策ソフトウェアは、常駐監視プログラムにより、ファイルの作成、コピー、削除、名前の変更時に対象となるファイルがウイルスに感染していないかを検査します。
また、ディスクドライブに挿入されたディスクにアクセスする際にも、ディスクのブートセクタを検査し、ウイルス感染をチェックします。
もちろん、特定のドライブやフォルダに対して、手動でウイルス検査を行うことも可能です。
■個人のネットワーク環境
(インターネットやパソコン通信などのネットワークにアクセスする環境)
この環境におけるウイルス感染経路は、「スタンドアロン環境」におけるウイルス感染経路に加えて、パソコン通信ホストからのファイルのダウンロードや電子メール、Webサイト、ftpサイトなどが主な感染経路となります。
使用するウイルス対策ソフトウェアは、「スタンドアロン環境」の場合と同様に、一般的なクライアント用ソフトで十分でしょう。
Webサイトやftpサイトからウイルスに感染したファイルをダウンロードした場合も、ウイルスを発見することが可能です。
しかし、次の点には十分注意してください。■オフィスのネットワーク環境
- 1.圧縮ファイル
- Webサイトやftpサイトにアップロードされている多くのファイルは、LZH形式やZIP形式で圧縮されています。これらのファイルに対してウイルス検査を行う場合は、必ずウイルス対策ソフトウェアの検査オプション設定で、圧縮ファイルの検査が有効になっていることを確認してください。
- 2.電子メールに添付されたエンコードファイル
- 電子メールに添付されているファイルは、uuencode形式やMIME形式などでエンコード(テキスト形式に変換)されています。通常、ウイルス対策ソフトウェアは、メールソフトで添付ファイルをディスクに保存するタイミングでウイルス検査をしますが、各種エンコード形式に対応しているウイルス対策ソフトウェアでは、受信した時点でウイルス検査することも可能です。
最近では、ファイルを削除したり、ユーザ情報(メールアドレスやパスワード)を外部の送信するなどの、悪質なJavaアプレットやActiveXコントロールを検査する機能、特定の危険サイトに対するアクセスを自動的に回避する機能を持つ製品もあります。JavaアプレットやActiveXコントロールは、設置されたホームページにアクセスするだけで自動的にダウンロードされてブラウザで実行されますので、このようなブラウザ監視型の製品が必要となります。今後は、そういったインターネット環境における危険性に重点をおいた製品がますます増えていくでしょう。
- JavaアプレットやActiveXコントロールとは、Webブラウザが持つ拡張機能の一種。これらの一部には、コンピュータ内部のコマンドを使用するものもあるため、悪用すれば「ハードディスク内のファイルを消してしまう」「手元のキー操作を外部から盗み見る」なども可能となる。
(企業などでサーバ−クライアントのコンピュータを使用している環境)
Novell社のNetWareやMicrosoft社のWindows NT Serverを使ったネットワーク環境では、サーバ−クライアント間のファイルの入出力において、ウイルスが広がっていきます。
例えばサーバ内の共有プログラムや共有テンプレートファイルがウイルスに感染していた場合、ユーザがそれらのファイルを使用することにより、瞬時に感染が広がってしまいます。
このような環境においては、各ネットワークOSに対応したサーバ用ウイルス対策ソフトウェアを使用すべきです。
サーバ用ウイルス対策ソフトウェアは、サーバ−クライアント間のファイル入出力を常時監視し、ウイルスの侵入をチェックします。また、製品によってはクライアント用ウイルス対策ソフトウェアと連動して、クライアント用ウイルス対策ソフトウェアでウイルスを発見した際に、ネットワーク管理者に警報メッセージを送ることが可能なものもあります。
企業においてはネットワーク環境を構築し、Lotus NotesやMicrosoft Exchangeなどのグループウェアを導入しているケースもあるでしょう。
グループウェアは非常に有効な情報共有ツールですが、蓄積された情報は独自のデータベースに格納されるため、グループウェアのメールに添付されたファイルに対して、通常のウイルス対策ソフトウェアではウイルス検査を行うことができません。
そこで、このような環境においては、各グループウェアに対応したウイルス対策ソフトウェアを使用します。
グループウェア用ウイルス対策ソフトウェアは、グループウェアからの電子メールの送受信時にウイルス検査をするとともに、独自のデータベース内に潜むウイルスを検査することも可能です。
《5.ウイルス対策ソフトの選び方》
現在、多くのウイルス対策ソフトウェアが販売されています。
一見、機能的にも似通っており、どのソフトウェアを購入すればよいのか迷ってしまいますが、ここではウイルス対策ソフトウェアの選び方のポイントについて説明します。
■対応OS
対応OSについては、実際に使っているOSに対応した製品を選択すれば問題はありません。複数のOSを使用しているとか、あるいは今後OSを変更する予定がある場合は、次の点に注意しましょう。
製品によっては、Windows 95とWindows NTだけに対応しているものから、DOS、Windows 3.1、OS/2まで幅広く対応しているものまでさまざまです。しかし、対応OSすべてに同様の機能を提供しているとは限りません。また、ユーザインタフェースが完全に統一されているとは限りません。どの対応OSにおいても同様の操作性と機能を実現している製品が理想といえるでしょう。
■機能
ユーザの使用する環境によって必要とされる機能は異なってきますが、次の機能が備わっていると便利でしょう。■アップデート
- 1.スケジュール検査機能
- 設定した周期(時間、日にち、曜日など)で自動的にウイルス検査を行う機能です。「毎週月曜日の朝9時にC:ドライブの“My Documents”フォルダを検査する」といったことが可能です。スケジュールを複数設定できるとさらに便利です。
- 2.スクリーンセーバ動作時のウイルス検査機能
- ユーザがコンピュータを使用していないスクリーンセーバ動作中に、設定したドライブやフォルダを自動的にウイルス検査する機能です。
- 3.検査設定の保存
- ユーザが設定したウイルス検査設定をファイルに保存する機能です。デスクトップ上にファイルを保存すると、保存ファイルのアイコンをクリックするだけで、設定内容に従ったウイルス検査を行えます。
- 4.検査対象の除外機能
- 特定のドライブ/フォルダ/ファイルをウイルス検査の対象から除外する機能です。ウイルス検査ソフトウェアが、未感染ファイルに対して誤ってウイルスを検出してしまう場合などに有効です。
- 5.設定内容のパスワード保護
- 複数のユーザが使用する環境では、設定したウイルス検査設定が変更されてしまう可能性があります。思わぬウイルスの侵入経路を作ってしまわないためにも、設定内容を他人に変更されないように保護する機能が重要です。同様に、ウイルス検査ソフトウェアを勝手に終了されないように、動作アイコンを非表示にする機能も有効です。
- 6.ウイルス駆除ウィザード
- 発見したウイルスを表示されるメッセージに従って簡単かつ的確に駆除するための機能です。コンピュータに詳しくないユーザでも、安心してウイルスの駆除作業を行うことができます。
- 7.ウイルス情報
- ウイルスに関する情報を参照するための機能です。製品によって、検出可能なウイルスの一覧を表示するだけのものから、種類や感染場所を表示するものや、詳細な情報をヘルプファイル形式で提供するものなどさまざまです。ウイルス駆除時の画面と連動している製品は非常に便利です。
ウイルス対策ソフトウェアは、最新のウイルス情報ファイル(ウイルスを発見・駆除するために必要な情報を格納しているデータベース)を使用することで最大限の能力を発揮します。ですから、店頭で購入してきたものをそのまま使い続けているだけでは、製品出荷後に発見されたウイルスの侵入を完全に防ぐことはできません。
そこで重要になってくるのが、ウイルス情報ファイルのアップデート機能です。
多くのウイルス対策ソフトウェアは、パソコン通信やインターネット経由で自動的に最新のウイルス情報ファイルをダウンロードしてアップデートする機能を持っていますが、ウイルス情報ファイルのアップデート内容によってはウイルス対策ソフトウェア自体もアップグレードしなければならないケースもあります。そのようなケースにおいても自動的に処理してくれる製品が理想的といえるでしょう。
■サポート
サポートに関しては、次の3点が重要でしょう。■バンドルされているウイルス対策ソフトウェア
- 1.電話、FAX、電子メールによるテクニカルサポート
- ウイルス対策ソフトウェアに限らず、すべてのソフトウェアのサポートに当てはまることですが、電話のつながりやすさ、質問に対するすみやかな回答、回答に時間のかかる場合の回答期限の提示など、ユーザ本位のサポートが実施されているかが大切です。製品内にサポートに関する詳しい説明資料があるかどうかも、判断基準の一つとなります。
また、製品購入以前にウイルスに感染してしまい、メーカに相談するような場合は、1社だけではなく、複数のメーカと連絡と取り、技術的に対応のよいメーカの製品を購入するのもよいかもしれません。
- 2.パソコン通信の会議室やホームページによる情報発信
- 新種ウイルスに関する情報、既存ウイルスの詳細情報、ウイルス情報ファイルのアップデートおよび製品のアップグレードに関する情報など、メーカから提供される情報はウイルス対策を行う上で非常に重要です。
また、これまでにテクニカルサポートに寄せられた質問をFAQ形式で公開しているメーカもあります。頻繁に情報内容を更新しているメーカほど、情報がまとめられており、サポートの対応も早い傾向があります。
- 3.国内でのウイルス解析
- 未知ウイルスや亜種のウイルス、ウイルス感染の疑惑、ウイルス対策ソフトウェアの誤警告など、メーカに調査を依頼しなければならないケースもあります。そんなときに国内にウイルス解析を行う部門を持っているかどうかで対応の速さや細かさに大きな違いが出てくることがあります。
また、国内でウイルスが解析できるメーカは、マクロウイルスが日本語版のMicrosoft ExcelやMicrosoft Wordに感染した場合の特殊な問題についても、対応が速いといえるでしょう。
現在販売されているメーカ製のコンピュータには、多くのソフトウェアがバンドルされています。ウイルス対策ソフトウェアもその一つです。
これらのバンドル製品は、各ハードウェアメーカの審査に通ったものですので、少なくともそのコンピュータについては動作上の問題はほぼクリアされていると言ってもいいでしょう。特にスタンドアローンの環境や、たまにパソコン通信やインターネットを使うといった程度の環境でしたら、その製品を使うことで、とりあえずのウイルス対策がとれることになります。
当面はそのソフトウェアを使用し、何か機能面で物足りなく感じたとか、あるいはサポート期間が完了したなどの時点で、あらためて購入を考えればよいでしょう。
ただし、本格的なネットワーク環境で使用する場合は、バンドルされたソフトウェアでは不十分かもしれません。求められる機能を吟味して、環境に合わせたウイルス対策を行うようにしてください。
《6.コンピュータウイルス関連リンク》
ここでは、コンピュータウイルス対策に関連するサイトをご紹介します。
英語サイト ICSA(International Computer Security Association) 米国のウイルス対策に関するメーカーで構成された任意団体のホームページ EICAR(European Institute for Computer Anti-Virus Research) ヨーロッパ各国の関係者が集まったウイルス対策技術を検討する任意団体のホームページ Virus Bulletin 「Virus Bulletin」というウイルス対策関連の情報誌を発行している企業のホームページ CIAC Internet Hoaxes デマウイルスに関する情報がまとめられているホームページ