ウイルス情報

ウイルスが蔓延しています。企業中が感染したケースもあれば、連日悩まされている個人ユーザーもいます。残念ながらユーザーの多くは完全な対策を講じていません。とにかくもれなく対策を実施してください。このページでは典型的なウイルスの例を紹介しています。まず「こういうものなのか」をという認識を持っていただき、新種に対応してください。（このページは予告なく変更されます。） 問い合わせはこちらまで

IPA(情報処理事業振興協会)セキュリティセンター
コンピュータウイルス被害状況調査結果要約報告（2003年4月3日）
2002年ウイルス発見届出状況

以下、2003年に猛威を振るったウイルス「BADTRANS」の例を紹介する。今後はこのようなパターンが増加すると予測されるので、どのように対応策すればよいかポイントを把握して欲しい。

●まずウイルスを理解する

○感染ルート

インターネットを媒体として感染するウイルスが蔓延している。「Nimda」、「WORM_BADTRANS.B」などの新種のウイルスに感染すると、パソコンのメーラーに登録されているメールアドレスに対し、全く無差別にウイルス感染したメールを送ってしまう。つまり、アドレス帳に登録されているあなたの知人やお客様に、ウイルスが添付されたメールが容赦なく届くことになる。さらに、ウイルスに感染しているWebサイトやメールを見ただけで、自動的にウイルスをダウンロードして、パソコンに感染させる。

これまでのウイルスの多くは、メールに添付したファイルを開かない限り感染することはなかった。しかし、これらのウイルスは、メールやWebページを「見た」だけで感染してしまう。実は、ブラウザやメーラーの「セキュリティホール」と呼ばれる不具合を利用しているのである。これまでのように、「添付ファイルを開かなければ安全」というわけではない。そしてこれらは、現在最もポピュラーな「Internet Explorer」や「Outlook Express」の仕様に合わせて実行されるのである。（他のソフトに対する影響については不明。）

また、最近は、ファイル共用サービスを使用してネットワーク上を伝染するウイルスなど、メール以外の経路から侵入してくるタイプも増えている。

○「WORM_BADTRANS.B」の被害例

感染したコンピュータ上で次のような動作を行う。（ウイルスの種類により、症状は異なる。）

1.接続されているドライブ内にウイルスファイルを保存する。　
2.共有されているネットワークドライブ内にもウイルスファイルを保存する。　
3.システムファイルを改竄する。
4.アドレス帳に保存されたアドレスにウイルスファイルを添付したメールを送信する。（送信控は残らない。）　
5.多大なトラフィックが発生するため、ネットワークやサーバーを正常に利用できなくなることがある。

○ウイルスの命名規則（S社）

ウイルス名は通常、接頭辞、名前、接尾辞で構成されている。

1.接頭辞：
増殖対象になるプラットフォームか、あるいはウイルスの種類を表わす。DOSウイルスの名称には通常、接頭辞は付かない。
2. 名前：
そのウイルスのファミリー名である。
3. 接尾辞：
接尾辞は、そのウイルスを同じファミリーの他の亜種・変種と区別する場合に付加され、通常はウイルスのサイズを示す数字またはアルファベットで示される。 どのウイルス名にも含まれているとは限らない。

接頭辞による分類

A2KM	Access 2000ネイティブのAccessマクロウイルス。
A97M	Access 97ネイティブのAccessマクロウイルス。
AM	Access 95ネイティブのAccessマクロウイルス。
AOL	America Online環境のみを標的とし、多くの場合、AOLのパスワード情報を盗み出すトロイの木馬。
BAT	バッチファイルを使用する脅威。
Backdoor	ハッカーがインターネットを通じてユーザのコンピュータに不正アクセスできるようにする攻撃。
Bloodhound	Norton AntiVirusのヒューリスティック・スキャン技術により検出された新規または未知のウイルスに使用される名称。
DDos	分散型サービス拒否攻撃。ユーザのコンピュータを踏み台にして特定のWebサイトにフラッド攻撃を仕掛ける。
DoS	サービス拒否攻撃。名称に接頭辞が付かないDOSウイルスとは異なる。
HLLC	高級言語で記述されたコンパニオンウイルス。通常、付加的なファイル(コンパニオン）を作成して感染を広げるDOSウイルスである。
HLLO	高級言語で記述された上書き型ウイルス。 通常は、感染先ファイルをウイルスコードで上書きするDOSウイルスである。
HLLP	高級言語で記述された寄生型ウイルス。 通常は、寄生先のファイルに自分自身を添付するDOSウイルスである。
HLLW	高級言語で記述されたワーム。（注意：この接頭辞はDOS形式の高級言語ワームに対してのみ使用される。ワームがWin32形式のファイルの場合、そのワームの名称には、W32.HLLWという接頭辞が付く。）
HTML	HTMLファイルを標的にするウイルスまたはワーム。
IRC	IRCアプリケーションを標的にするウイルスまたはワーム。
JS	JavaScriptプログラミング言語で記述されたウイルスまたはワーム。
Java	JAVAプログラミング言語で記述されたウイルス。
Linux	Linuxオペレーティングシステムを標的にするウイルス。
O2KM	Office 2000 マクロウイルス。Office 2000の様々な形式のドキュメント間で増殖する可能性がある。
O97M	Office 97 マクロウイルス。Office 97の様々な形式のドキュメント間で増殖する可能性がある。
OM	Officeマクロウイルス。様々な形式のOfficeドキュメント間で増殖する可能性がある。
PWSTEAL	パスワードを盗み出すトロイの木馬。
Palm	Palm OS上で実行するように設計された脅威。
Trojan/Troj	厳密にはウイルスではなく、トロイの木馬です。 トロイの木馬は、便利なプログラムのように見せかけ、 実際には悪質なコードを実行するファイルです。 トロイの木馬は増殖活動を行わない。
UNIX	UNIXベースのオペレーティングシステム上で実行する脅威。
VBS	VBスクリプト（Visual Basic Script）プログラミング言語で記述されたウイルス。
W2KM	Word 2000 マクロウイルス。Word 2000ネイティブで、Word 2000環境下でのみ感染する。
W32	32ビット対応の全てのWindowsプラットフォームに感染するウイルス。
W95	Windows 95ウイルス。 Windows 95オペレーティングシステム環境下のファイルに感染する。Windows 95ウイルスは多くの場合、Windows 98環境でも動作する。
W97M	Word97マクロウイルス。Word 97ネイティブで、Word 97環境下でのみ感染する。
W98	Windows 98 環境下のファイルに感染するウイルス。Windows 98環境下でのみ動作する。
WM	Word 6.0/95(7.0)環境下で増殖するWordマクロウイルス。 Word97(8.0)環境下で増殖することもるが、Word 97ネイティブではない。
WNT	Windows NT環境下で感染する32ビットWindowsウイルス。
Win	Windows 3.xウイルス。Windows 3.xオペレーティングシステム環境でファイルに感染する。
X2KM	Excel 2000ネイティブのExcelマクロウイルス。
X97M	Excel 97ネイティブのExcelマクロウイルス。Excel 5.0やExcel 95環境下でも増殖する可能性がある。
XF	Excel式ウイルス。新版のExcelドキュメント内部に古いExcel 4.0形式のシートを埋め込む。
XM	Excel 5.0/95ネイティブのマクロウイルス。Excel 97にも増殖する可能性がある。

たとえば、「W32.Sasser.G」は、「W32.Sasser.Worm」のマイナーな亜種のワームで、32ビット対応のWindows（Windows XP/2000）にのみ感染するウイルスである。しかし、Windows 95/98/Me システムは、感染することはないものの、そのコンピュータから接続可能な脆弱なシステムに感染するためにワームによって利用される可能性はある。詳細は、Webサイトで確認するしかない。

○ウイルスタイプ

ActiveX形式
DoSツール
HTML形式
Java Applet
JavaScript
UNIX（ELF形式)
VBScript
Visio 5
VXD
アドウェア
ウイルス成ツール
シェルスクリプト
システム感染型
ジョークソフト
スパイウェア
ダイヤラー
デマ情報（HOAX)
トロイの木馬型
ハッキングツール
バックドア型
バッチファイル
ファイル感染型
マクロ型
レジストリスクリプト
ワーム
脆弱性
脆弱性情報
複合感染型

○ウイルスの破壊活動

BIOS破壊
DoS攻撃
Webページ改竄
ウイルスドロッパー
システムハング
システム改変
ハードディスクフォーマット
ハードディスク破壊
パスワードの設定
ハッキング活動
ファイル改変
ファイル作成
ファイル削除
ファイル破壊
プロセス停止
メール自動送信
メッセージ表示
リブート
ワーム活動
音を鳴らす
画像の表示

●ウイルスの感染を知る

感染しているかどうかの見分け方は、ウイルスの種類によって異なる。たとえば、「BadTrans」に感染しているかどうかを確認するには、次のように処理すればよい。こうした情報は、IPAやワクチンメーカーのサイト、それらの無料メールサービスで入手できる。

○改竄されたシステムファイルを調べる

1.「マイコンピュータ」またはエクスプローラを開く。
2.起動ドライブ（通常C:）を開く。
3.「Windows」というフォルダを開く。
4.「Rundll.exe」（拡張子を表示していなければ「Rundll」」）というファイルを探し、右クリックする。
5.「プロパティ」をクリックする。
6.表示された次のファイル名を確認する。
　　　RUNDLL.EXE 　　=> 未感染
　　　RUNDLL32.DLL　=> 感染している！

○発信されたメールを調べる

上記に当てはまらない場合でも、アドレス帳に登録されているユーザーから「あなたからのメールに変なファイルが添付されている」、「変なタイトルのメール送った？」、「ウイルスバスターが警告表示した！」などの問い合わせがあれば、まず間違いなく感染している。あなたは既にキャリアであり、自覚がないかもしれないが、大切な友人やお客様にウイルスによる攻撃を行なってしまったのである。

○まず、関係者にウイルスの被害を連絡する

当然、感染したパソコンでメールを送ってはいけない。駆除するまでメーラーをインターネットに接続してはならない。あなたのアドレス帳の何人にウイルスが送付されたのかは、送信ログが残らないためわからないかもしれない。とりあえず、アドレス帳に登録されている友人・知人に、ウイルスに感染していないパソコンのメールまたはFAX／TELなどで、次のような内容を連絡する。

1.ウイルスに感染し、自動的にウイルスが添付されたメールが発信された可能性があるので、不信なメールは絶対に開かず削除して欲しいこと。
2.感染してしまった場合には、ウイルスワクチンソフトのサイトで駆除方法を確認し実行して欲しいこと。
3.お詫びのことば。（取り引き先やお客様には特に丁寧に。）

　

●予防する

必要な全ての予防措置を講じなければ、再び感染する可能性が高い。現実には、いずれかの措置を忘れているユーザーが大変多いのである。必ず「全て」を実行してください。

○ブラウザとメーラーを最新のバージョンにする

「BadTrans」は、「Internet Explorer」の「セキュリティホール」と呼ばれる不具合を利用して進入してくる。見ただけでウイルスをダウンロードしてしまう。まず、インストールされている「Internet Explorer」が、「セキュリティホール」を修正したバージョンかどうか確認しよう。

1.「Internet Explorer」を開き、メニューバーの「ヘルプ」をクリックする。
2.「バージョン情報」を開き確認する。
　　バージョン　5.0未満　　　　　　　　　　　　　=> 危険
　　バージョン　5.0以上　更新バージョンSP2 => OK
　　バージョン　5.5以上　更新バージョンSP2 => OK
　　バージョン　6.0　　　　　　　　　　　　　　　　=> OK

バージョンが低かったりサービスパックがインストールされていない場合は、「Windows Update」で速やかにアップデートしてください。ダウンロードセンターからもダウンロード可能である。最初にセットアップファイルをダウンロードし、これを実行すると必要なファイル群が自動的にダウンロードされインストールされる。低速回線のユーザーは十分な時間をみておく必要がある。

さらに、今後の新種に対応するために、「Internet Explorer」のバージョン5.5（SP2）およびバージョン6.0の脆弱性を修正するプログラムもインストールしておいた方がよい。（こうした修正プログラムの提供は完了することはない。）

○メーラーの設定を変更する
　
「Outlook Express」の設定を次のように変更することにより、自動的にダウンロードされる事態を防止できる。
　　　　
1.メニューバーの「ツール」の「オプション」を開く。 　　　　　　　　
2.「読み取り」タブを開く
3.「プレビューウインドウで表示するメッセージを自動的にダウンロードする」のチェックを外して、「ＯＫ」をクリックする。

「ダウンロードしますか？」または「アクティブＸを実行しますか」というメッセージが表示された場合、安易に「はい」をクリックするとダウンロードされてしまうので注意してください。

○ワクチンソフトのパターンファイルのアップデート

ウイルスを駆除して、安心している場合ではない。あなたのメールアドレスはすでに周知であり、亜流やさらに進化したウイルスが飛来する可能性は高い。事実、数日後にまた感染し、同じ間違いを起こしてしまったケースは多い。ユーザー側でできることは、ウィルスソフトのパターンファイルを最新の状態にアップデートし、特別な理由がない限り、プロテクトシールドを常に「オン」にしておくことである。また、期限切れのソフトや試用期間限定のソフトは、ほとんど意味がないので、必ずアップグレードしてください。

これからワクチンソフトを購入する場合は、次の機能が提供されているかどうか確認してください。

1.パターンファイルが自動更新される。（インターネットに接続時にバックエンドで自動更新してくれる。）
2.メール送信時にもウイルススキャンを行なう。（ウイルス添付メールを送信しない。）
3.すべてのアカウント、メールアドレスに対応できる。

○可能な限りファイル共有サービスを無効にする

他のユーザーとファイルを共有する必要がないパソコンについては、すべてのドライブの共有設定を無効にしておく。（マイコンピュータからドライブを指定して、その「プロパティ」から「共有」タブをクリックし、「共有しない」をチェックすれば無効にできる。）

○ファイル共有やログインのためのパスワードを適切に設定する

単純なパスワードを破ろうとするウイルス（ワーム）もあるので、ファイル共有サービスを使用する場合は、面倒でも8文字以上の英数字を組み合わせたパスワードを必ず設定する。ログイン等のパスワードも同様である。

○パーソナル・ファイアウォールなどで不要なアクセスを遮断する

市販のパーソナル・ファイアウォール機能を持つソフトウェアを、パソコンにインストールし常駐させる。TCP/UDPポートの狙われやすいポート（137、138、139、445など）は塞いでおく。
参照：「SOHO・家庭向けの情報セキュリティ対策マニュアル」（PDFファイル）

○その他の防御法

ISPの提供するサービス、NTT○○などの通信業者の提供するサービス（「フレッツ・セーフティ」等）も充実しつつある。メリットとコストパフォーマンスを検討して契約するかどうか決定しよう。

●ウイルスを駆除する

　

それでも感染してしまったら、ウイルスワクチンソフトのWebサイトやIPAのサイトで駆除方法を確認し、実施してください。多くの場合、ウイルスの駆除ツールが提供されており、これをダウンロードすることができる。駆除ツールの使い方については、それぞれのWebページで確認してください。（ツールを実行するだけでは不完全な場合もあるので、Webページのとおりに実行する。）

○主なワクチンソフトのメーカー

シマンテック社
ネットワークアソシエイツテクノロジー社
ト レンドマイクロ社